Malware атака на FTP - Joomla 1.5

  1. Weblancer
  2. Форум фрілансерів
  3. Програмування
Владимир В.
12 повідомлень
#12 років тому
Всем привет,

мой провайдер сообщил, что мой сайт был атакован. Сайт работает на Joomla 1.5.

Инфицированный файл (как сообщает провайдер): /htdocs/x.txt
Файлы, которые провайдер заблокировал: /htdocs/tmp/x.txt и /htdocs/images/x.txt
Файл, которые провайдер считает не безопасным: /htdocs/index.php

Подскажите:
Это действительно опасно? И что мне делать?
Евгений О.
263 повідомлення
#12 років тому
Вы бы привели здесь хотя-бы то, что Вам написал Ваш провайдер: какая атака, в чем она проявлялась и пр. я уж не говорю о том, что не плохо было-бы посмотреть на содержимое "подозрительных" файлов, а то у нас получается лечение не то, что по телефону, а по прошлогоднему трамвайному билету. Если стесняетесь, можете написать в приватные сообщения.
Серафима Л.
10571 повідомлення
#12 років тому
Vlad64, Вчера у знакомой Сайт повис - смотрю ошибка 500. Но уж больно странно. Полезла внутрь. Визуально вроде все нормально - админка работает. Потом в папки, там и выловила и трояна и странные файлы и везде по папкам насыпаны были txt, а в них - hacked by s13doeL.
Появился вот такой мерзавец. Полезла в интернет , а там в поиске куча сайтов, что он сломал - .... Помог хостер - после мой ловли восстановил, что было.
Тоже Joomla 1.5
Серафима Л.
10571 повідомлення
#12 років тому
Только было z.txt
Владимир В.
12 повідомлень
#12 років тому
Illarion_SA,

Добрый день, это всё что мне сообщили: была атака Malware, несколько файлов они удалили сами, потом список который я привёл вверху а далее был указан IP адрес и страна хакера Индонезия.
Серафима Л.
10571 повідомлення
#12 років тому
Vlad64, Понятно опять видимо учения хакеров
Владимир В.
12 повідомлень
#12 років тому
Вот ещё у меня на рабочем комп. сайт не открывается с окончанием ***.de. а с окончанием ***.com работает.
А с других комп. работает всё нормально. Вот что выходит на главной странице рабочего. я скопировал часть текста

fast loan 15000
student loans easy approval
hrsa loan repayment online application
fast closing va loan
bank of america loan online access
car loan rates 60 months
loan money online philippines
cash out refinance car loan
pay day loan default in texas
payday loan lenders raleigh nc
quick cash loans by phone
guaranteed payday loans no upfront fees
cash loans lubbock tx
paid off student loans now what
apply for personal loan online india

get cash loan no bank account
Серафима Л.
10571 повідомлення
#12 років тому
Vlad64, Спам где-то прописан) Часто пишукт в индексе , в других файлах внизу закодированным текстом. Я не раз находила ниже прокрутки, после белого поля, чтоб не заметили.
Денис Авдеев
599 повідомлень
#12 років тому
Цитата ("Vlad64"):
И что мне делать?


Для начала смените пароли доступа на ФТП и проверьте права доступа на папках Джумлы. После этого накатите рабочий бэкап.
Серафима Л.
10571 повідомлення
#12 років тому
wertex76, А если трояны в папках, как я нашла, что бекап даст? Все равно где-то что-то лежать?
Денис Авдеев
599 повідомлень
#12 років тому
Цитата ("AlexsimA"):
wertex76, А если трояны в папках, как я нашла, что бекап даст? Все равно где-то что-то лежать?


Бэкап у Вас должен быть чистый, без троянов. Т.е. последняя чистая рабочая версия. И естественно всю папку с джумлой на сервере прибить нужно, а затем накатить чистый бэкап.
Роман Беляев
16382 повідомлення
#12 років тому
Цитата ("wertex76"):
Для начала смените пароли доступа на ФТП

Пароли частенько утекают с машины имеющего доступ к ftp. Машина заражена и меняй пароли, не меняй - все равно уходят. Тоже надо учитывать.
Серафима Л.
10571 повідомлення
#12 років тому
wertex76, Ну так конечно. Я по датам вылавливала через встроенный ФТП менеджер)
Денис Авдеев
599 повідомлень
#12 років тому
Цитата ("AlexsimA"):
wertex76, Ну так конечно. Я по датам вылавливала через встроенный ФТП менеджер)


У меня подобное с сайтом было, но по логам доступов - с фтп доступ к сайта был только с моего компьютера. При чем, после чистки и смены пароля фтп все вернулось обратно. В итоге после смены прав доступа на папки Джумлы атаки прекратились.
Серафима Л.
10571 повідомлення
#12 років тому
Значит они не через ФТП лезут. Через запросы к базе или еще как-то. Поймать бы одного голубчика и допросить...
Смирнов Александр
155 повідомлень
#12 років тому
Цитата ("AlexsimA"):
...Поймать бы одного голубчика и допросить...


Без личных намеков, но частенько виной таким сценариям как этот - скачанные с вареза расширения.
Серафима Л.
10571 повідомлення
#12 років тому
AlexSmirnov, Соглсна, часто ставят все что надо и не надо вовсе и потом весь этот хлам внутри От глупости или просто так? Куча мала.
Дима Г.
87 повідомлень
#12 років тому
Цитата ("AlexSmirnov"):
Цитата (AlexsimA):
...Поймать бы одного голубчика и допросить...

Без личных намеков, но частенько виной таким сценариям как этот - скачанные с вареза расширения.


Ох и не говорите, я вот C под Linux понемногу учу, так год назад ради развлечения написал вирус бекдор для виндовса, а клиент управления из под линукса был конечно. Так потратил около 2 часов, чтобы вирус не увидел не один из антивирусников на этом сайте

Потом выложил зараженные файлы на варез и торрент. За неделю компьютеров 200 заразил
И вирус бал хороший, он даже мог сам себя обновлять.... эх...


PS Вирус ничего не делал. Я тоже ничего не делал. Ниодин пользователь и файл не пострадал
Владимир В.
12 повідомлень
#12 років тому


Доброй ночи,

я собрал все файлы, которые подходят по датам обновления.

Ещё странно многие из них имеют одинаковый размер 2290

Посмотрите пожалуйста и подскажите ,что можно удалить
Владимир В.
12 повідомлень
#12 років тому
12
Остання