Перейти к содержимому

MOAB

Проблемы уязвимости CMS Joomla

уязвимости joomla joomla1.5 заражение сайта

  • Войдите, чтобы ответить
Сообщений в теме: 10

#1 Антон

Антон

    Продвинутый

  • Участник
  • PipPipPip
  • 233 сообщений
44
  • ИзАбу-Даби, Баку, Мускат, Тбилиси. В общем где-то рядом

Отправлено 13 Сентябрь 2013 - 16:28

Даже не знаю как правильно в заголовке описать проблему с CMS поэтому постараюсь более подробно описать в самом тексте.

То, что joomla обладает рядом недостатков, как и преимуществ, не раз обсуждалось. В одной из других моих тем этот вопрос опять же поднимался. однако сейчас у меня чисто практический вопрос.

В виду корявых рук и дырок в cms сайт постоянно подвергается взломам. Разными методами, получается отбиваться. Сейчас не знаю, как исправить проблему. При заходе на страницу со статьёй поле там где текст и информация о дате публикации и авторе становится кликабельным. Это кликабельное поле имеет ссылку
http://адрес_сайта/категория/адрес_страницы?viagra=
При нажатии на него обновляется страница и появляется сама страница с рекламой этой срани. То есть не переводит на сторонний сайт.

В базах данных искать корни или где-то в файлах? Напомню, что сайт работает на joomla 1.5.26

Сообщение отредактировал Антон: 13 Сентябрь 2013 - 16:29


#2 Fitsh

Fitsh

    Юзер

  • Участник
  • PipPipPipPipPip
  • 1 733 сообщений
1 393

Отправлено 13 Сентябрь 2013 - 16:47

Цитата

joomla 1.5.26

Обновляться до 3.* или какая там версия актуальна

#3 Антон

Антон

    Продвинутый

  • Участник
  • PipPipPip
  • 233 сообщений
44
  • ИзАбу-Даби, Баку, Мускат, Тбилиси. В общем где-то рядом

TC Отправлено 13 Сентябрь 2013 - 17:00

Просмотр сообщенияПыщ-Пыщ (13 Сентябрь 2013 - 16:47) писал:

Обновляться до 3.* или какая там версия актуальна
Понятное дело. Но до этого я так понимаю, нужно избавиться от всего хлама, который там есть. Вчера почистил с полсотни файлов с кодом base64. Но не помогло. Почему и интересуюсь, надо искать в базе или где-то среди файлов. Было бы проще, если файлов. Я бы на чистую joomla поставил имеющуюся базу и скопировал картинки. А потом бы обновился до последней версии. А если сидит в базе, то на обновленный движок перенесу всё старое г...

#4 Spinne

Spinne

    Зануда™

  • Основатель
  • PipPipPipPipPip
  • 2 007 сообщений
3 427
  • Излесу, вестимо

Отправлено 13 Сентябрь 2013 - 17:12

А может, надо быть чуть проще? :)

Сделайте поддомен. Снимите дамп базы. Поройтесь в нем на предмет того кода, который у вас сейчас "лишний". На поддомене соберите чистый движок с этим дампом, пройдитесь по нему, проверьте... Если все чисто – действуйте как задумали.

Дело в том, что по вашему описанию проблемы все равно никто точно не скажет – что и насколько повреждено.
Ник не менял, подпись поменяю позже. Ваш Зануда. Он же AHP-net, но это уже там

#5 Антон

Антон

    Продвинутый

  • Участник
  • PipPipPip
  • 233 сообщений
44
  • ИзАбу-Даби, Баку, Мускат, Тбилиси. В общем где-то рядом

TC Отправлено 14 Сентябрь 2013 - 00:11

Просмотр сообщенияSpinne (13 Сентябрь 2013 - 17:12) писал:

А может, надо быть чуть проще? :)

Сделайте поддомен. Снимите дамп базы. Поройтесь в нем на предмет того кода, который у вас сейчас "лишний". На поддомене соберите чистый движок с этим дампом, пройдитесь по нему, проверьте... Если все чисто – действуйте как задумали.

Дело в том, что по вашему описанию проблемы все равно никто точно не скажет – что и насколько повреждено.
Спасибо. Почему-то об этом сразу не додумался. Попробую.

#6 Антон

Антон

    Продвинутый

  • Участник
  • PipPipPip
  • 233 сообщений
44
  • ИзАбу-Даби, Баку, Мускат, Тбилиси. В общем где-то рядом

TC Отправлено 15 Сентябрь 2013 - 15:22

Выяснил. Проблема лежала где-то среди файлов. База данных чиста. Поставил на чистый движок и ссылка перестала появляться.

#7 virtuoso

virtuoso

    Продвинутый

  • Участник
  • PipPipPip
  • 227 сообщений
154
  • ИзЛитвы

Отправлено 15 Сентябрь 2013 - 16:00

Насколько я знаю - в базе глюки бывают очень редко. В Joomla в 99 процентах заражение происходит через левые шаблоны (не считая взлома админки, конечно). Уж сколько народу влетело, поставив красивенький шаблон, и не просмотрев предварительно фалы:)

#8 Антон

Антон

    Продвинутый

  • Участник
  • PipPipPip
  • 233 сообщений
44
  • ИзАбу-Даби, Баку, Мускат, Тбилиси. В общем где-то рядом

TC Отправлено 15 Сентябрь 2013 - 16:07

Просмотр сообщенияvirtuoso (15 Сентябрь 2013 - 16:00) писал:

Насколько я знаю - в базе глюки бывают очень редко. В Joomla в 99 процентах заражение происходит через левые шаблоны (не считая взлома админки, конечно). Уж сколько народу влетело, поставив красивенький шаблон, и не просмотрев предварительно фалы :)
Именно на него и грешу. Что интересно, примерно в первый год трояны особо не волновали. Потом началось. Шаблон был поставлен по бедности. По-хорошему, конечно нужно создавать свой с нуля. В устанавливаемом шаблоне далеко не всегда можно проверить на чистоту кода. К моему шаблону шло неимоверное количество javascript css до конца не определишь что и для чего работает. Тем более, когда сам на уровне пользователя.

#9 MAzZY

MAzZY

    Биоробот на 146%

  • Участник
  • PipPipPipPipPip
  • 4 753 сообщений
2 331
  • Извсегда здесь был

Отправлено 15 Сентябрь 2013 - 20:07

JCE обновите
"Конечно, я умный человек, умнее очень многих, но счастье не в этом..." А.П. Чехов. "Три сестры"
Carpe diem / Memento mori / Ecce Homo
Под столетними сугробами библейских анекдотов...

#10 virtuoso

virtuoso

    Продвинутый

  • Участник
  • PipPipPip
  • 227 сообщений
154
  • ИзЛитвы

Отправлено 15 Сентябрь 2013 - 20:38

Просмотр сообщенияMAzZY сказал:

JCE обновите
- кстати да, на плагинах и всяких примочках тоже палятся. Я стараюсь использовать минимум, и только скачанные с официального Джумловского сайта.

#11 Антон

Антон

    Продвинутый

  • Участник
  • PipPipPip
  • 233 сообщений
44
  • ИзАбу-Даби, Баку, Мускат, Тбилиси. В общем где-то рядом

TC Отправлено 15 Сентябрь 2013 - 23:27

Просмотр сообщенияMAzZY (15 Сентябрь 2013 - 20:07) писал:

JCE обновите
Увы вовремя не следил, откуда могли приходить пакости, поэтому и не знаю на что грешить. Стояли сторонние плагины, которые ставились вместе с шаблоном. Может быть и оттуда что-то. За сегодняшний день успел освоить перенос базы и файлов на чистый движок и миграцию до версии 2.5. Теперь ищу кто бы смастерил уникальный простой шаблон. Если есть кто, постучитесь в личку.

Может кому-то будет интересно для решения подобный проблемы. Скачал архив всего сервера и проверил каспером. Вот какой зоопарк он мне выдал:

Backdoor.PHP.Agent.vd (при чём троян является файлом картинки dropmenu.jpg)
Backdoor.PHP.PhpShell.do (к файлу в корне сайта w18773679n.php)
Backdoor.PHP.PhpShell.do (к файлу w6434636n.php)
Backdoor.PHP.PhpShell.dl (файл wp-config.php сразу в нескольких корнях папок)

Но увы проблему не решило.

Может быть топорным способом, но к ночи определил... Если из шаблона убрать две строчки
<jdoc:include type="message" />
<jdoc:include type="component" />
то пропадает само собой текст, он и вместе с ним вирусная ссылка. Пойду дальше копать в этом направлении.

Сообщение отредактировал Антон: 16 Сентябрь 2013 - 00:20





Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных



© 2019 SMO&SEO форум «WEBIMHO» — продвижение и создание сайтов, интернет-маркетинг

По вопросам рекламы на форуме и цены на рекламу
Все материалы SEO форума разрешены к копированию только с установкой гиперактивной ссылки на webimho.ru,
тем, кто этого не сделает, мы оторвем руки и ноги и поменяем местами,
а когда выйдем из тюрьмы, опять оторвем и опять поменяем.


Россия, г. Москва

Мы в соцсетях: twitter | вконтакте | facebook | livejournal