Malware атака на FTP - Joomla 1.5

  1. Weblancer
  2. Форум фрилансеров
  3. Программирование
Владимир В.
12 сообщений
#12 лет назад
Всем привет,

мой провайдер сообщил, что мой сайт был атакован. Сайт работает на Joomla 1.5.

Инфицированный файл (как сообщает провайдер): /htdocs/x.txt
Файлы, которые провайдер заблокировал: /htdocs/tmp/x.txt и /htdocs/images/x.txt
Файл, которые провайдер считает не безопасным: /htdocs/index.php

Подскажите:
Это действительно опасно? И что мне делать?
Евгений О.
263 сообщения
#12 лет назад
Вы бы привели здесь хотя-бы то, что Вам написал Ваш провайдер: какая атака, в чем она проявлялась и пр. я уж не говорю о том, что не плохо было-бы посмотреть на содержимое "подозрительных" файлов, а то у нас получается лечение не то, что по телефону, а по прошлогоднему трамвайному билету. Если стесняетесь, можете написать в приватные сообщения.
Серафима Л.
10571 сообщение
#12 лет назад
Vlad64, Вчера у знакомой Сайт повис - смотрю ошибка 500. Но уж больно странно. Полезла внутрь. Визуально вроде все нормально - админка работает. Потом в папки, там и выловила и трояна и странные файлы и везде по папкам насыпаны были txt, а в них - hacked by s13doeL.
Появился вот такой мерзавец. Полезла в интернет , а там в поиске куча сайтов, что он сломал - .... Помог хостер - после мой ловли восстановил, что было.
Тоже Joomla 1.5
Серафима Л.
10571 сообщение
#12 лет назад
Только было z.txt
Владимир В.
12 сообщений
#12 лет назад
Illarion_SA,

Добрый день, это всё что мне сообщили: была атака Malware, несколько файлов они удалили сами, потом список который я привёл вверху а далее был указан IP адрес и страна хакера Индонезия.
Серафима Л.
10571 сообщение
#12 лет назад
Vlad64, Понятно опять видимо учения хакеров
Владимир В.
12 сообщений
#12 лет назад
Вот ещё у меня на рабочем комп. сайт не открывается с окончанием ***.de. а с окончанием ***.com работает.
А с других комп. работает всё нормально. Вот что выходит на главной странице рабочего. я скопировал часть текста

fast loan 15000
student loans easy approval
hrsa loan repayment online application
fast closing va loan
bank of america loan online access
car loan rates 60 months
loan money online philippines
cash out refinance car loan
pay day loan default in texas
payday loan lenders raleigh nc
quick cash loans by phone
guaranteed payday loans no upfront fees
cash loans lubbock tx
paid off student loans now what
apply for personal loan online india

get cash loan no bank account
Серафима Л.
10571 сообщение
#12 лет назад
Vlad64, Спам где-то прописан) Часто пишукт в индексе , в других файлах внизу закодированным текстом. Я не раз находила ниже прокрутки, после белого поля, чтоб не заметили.
Денис Авдеев
599 сообщений
#12 лет назад
Цитата ("Vlad64"):
И что мне делать?


Для начала смените пароли доступа на ФТП и проверьте права доступа на папках Джумлы. После этого накатите рабочий бэкап.
Серафима Л.
10571 сообщение
#12 лет назад
wertex76, А если трояны в папках, как я нашла, что бекап даст? Все равно где-то что-то лежать?
Денис Авдеев
599 сообщений
#12 лет назад
Цитата ("AlexsimA"):
wertex76, А если трояны в папках, как я нашла, что бекап даст? Все равно где-то что-то лежать?


Бэкап у Вас должен быть чистый, без троянов. Т.е. последняя чистая рабочая версия. И естественно всю папку с джумлой на сервере прибить нужно, а затем накатить чистый бэкап.
Роман Беляев
16382 сообщения
#12 лет назад
Цитата ("wertex76"):
Для начала смените пароли доступа на ФТП

Пароли частенько утекают с машины имеющего доступ к ftp. Машина заражена и меняй пароли, не меняй - все равно уходят. Тоже надо учитывать.
Серафима Л.
10571 сообщение
#12 лет назад
wertex76, Ну так конечно. Я по датам вылавливала через встроенный ФТП менеджер)
Денис Авдеев
599 сообщений
#12 лет назад
Цитата ("AlexsimA"):
wertex76, Ну так конечно. Я по датам вылавливала через встроенный ФТП менеджер)


У меня подобное с сайтом было, но по логам доступов - с фтп доступ к сайта был только с моего компьютера. При чем, после чистки и смены пароля фтп все вернулось обратно. В итоге после смены прав доступа на папки Джумлы атаки прекратились.
Серафима Л.
10571 сообщение
#12 лет назад
Значит они не через ФТП лезут. Через запросы к базе или еще как-то. Поймать бы одного голубчика и допросить...
Смирнов Александр
155 сообщений
#12 лет назад
Цитата ("AlexsimA"):
...Поймать бы одного голубчика и допросить...


Без личных намеков, но частенько виной таким сценариям как этот - скачанные с вареза расширения.
Серафима Л.
10571 сообщение
#12 лет назад
AlexSmirnov, Соглсна, часто ставят все что надо и не надо вовсе и потом весь этот хлам внутри От глупости или просто так? Куча мала.
Дима Г.
87 сообщений
#12 лет назад
Цитата ("AlexSmirnov"):
Цитата (AlexsimA):
...Поймать бы одного голубчика и допросить...

Без личных намеков, но частенько виной таким сценариям как этот - скачанные с вареза расширения.


Ох и не говорите, я вот C под Linux понемногу учу, так год назад ради развлечения написал вирус бекдор для виндовса, а клиент управления из под линукса был конечно. Так потратил около 2 часов, чтобы вирус не увидел не один из антивирусников на этом сайте

Потом выложил зараженные файлы на варез и торрент. За неделю компьютеров 200 заразил
И вирус бал хороший, он даже мог сам себя обновлять.... эх...


PS Вирус ничего не делал. Я тоже ничего не делал. Ниодин пользователь и файл не пострадал
Владимир В.
12 сообщений
#12 лет назад


Доброй ночи,

я собрал все файлы, которые подходят по датам обновления.

Ещё странно многие из них имеют одинаковый размер 2290

Посмотрите пожалуйста и подскажите ,что можно удалить
Владимир В.
12 сообщений
#12 лет назад
12
Последняя