Предупреждение о хакерской атаке

Discussion in 'Вопросы безопасности' started by Dionis0.618, Aug 20, 2018.

  1. Offline

    Dionis0.618 Недавно здесь

    Joined:
    Aug 8, 2018
    Messages:
    16
    Likes Received:
    0
    Gender:
    Male
    Всем привет. Помогите пожалуйста, кто как говорится чем может. Я новичок совсем в этом деле и сайт по наследству достался на новом рабочем месте сделан на Джумле, домен и хостинг на Джино. Пришло предупреждение на почту, как я понял о хакерской атаке. Вопрос, что теперь делать!!! Какие первые шаги предпринять?? Подскажите пожалуйста... Вот собственно предупреждение:

    ** PATTERNS MATCHED (possible hack attempts)

    * Local File Inclusion $_GET['f'] => ../../../configuration.php
    * Local File Inclusion $_REQUEST['f'] => ../../../configuration.php

    ** PAGE / SERVER INFO
    *REMOTE_ADDR : 197.3.211.72
    *HTTP_USER_AGENT : python-requests/2.18.4
    *REQUEST_METHOD : GET
    *QUERY_STRING : f=../../../configuration.php

    ** SUPERGLOBALS DUMP (sanitized)
    *$_GET DUMP:
    Array
    (
    [f] => configuration.php
    )
    *$_POST DUMP:
    Array
    (
    )
    *$_COOKIE DUMP:
    Array
    (
    )
    *$_REQUEST DUMP:
    Array
    (
    [f] => configuration.php
    )
     
    Dionis0.618, Aug 20, 2018
    #1

  2. Ads Master

     
  3. OlegK
    Offline

    OlegK Russian Joomla! Team Staff Member ⇒ Профи ⇐

    Joined:
    Jan 17, 2011
    Messages:
    7,812
    Likes Received:
    771
    Gender:
    Male
    Это письмо от плагина Марко. Проверяй актуальность версий Джумла и расширений, чтобы не содержали уязвимость.
    Проверь сайт сканером вирусов- айболитом
     
    OlegK, Aug 20, 2018
    #2
    Dionis0.618 likes this.
  4. Offline

    Dionis0.618 Недавно здесь

    Joined:
    Aug 8, 2018
    Messages:
    16
    Likes Received:
    0
    Gender:
    Male
    Вчера еще три или четыре предупреждения пришли. Может это быть из за проверки ай болитом потому что три из них пришли во время проверки. А последний конечно пришел опять уже после этого. Извините конечно может это ерунда, но я же боюсь мне страшно я же можно сказать первый раз и все учусь. Кстати ай болит выдал предупреждения, но что с ними делать???? Я конечно сходил по путям вроде бы все норм, но я пока не знаю кода полностью. Не скажете на что можно обратить внимание? Спасибо всем кто откликнется....
    Предупреждения ниже:
    Первое:
    ** PATTERNS MATCHED (possible hack attempts)
    * Union Select $_GET['start'] => 572999999.1 union select unhex(hex(version())) -- and 1=1
    * Union Select $_REQUEST['start'] => 572999999.1 union select unhex(hex(version())) -- and 1=1
    ** PAGE / SERVER INFO
    *REMOTE_ADDR : 151.1.48.6
    *REQUEST_METHOD : GET
    *QUERY_STRING : cat=35&start=572999999.1%20union%20select%20unhex(hex(version()))%20--%20and%201%3D1
    ** SUPERGLOBALS DUMP (sanitized)
    *$_GET DUMP:
    Array
    (
    [cat] => 35
    [start] => 572999999.1 -- unhex(hex(version())) -- and 1=1
    )
    *$_POST DUMP:
    Array
    (
    )
    *$_COOKIE DUMP:
    Array
    (
    )
    *$_REQUEST DUMP:
    Array
    (
    [cat] => 35
    [start] => 572999999.1 -- unhex(hex(version())) -- and 1=1
    )
    Второе:
    ** PATTERNS MATCHED (possible hack attempts)
    * Union Select $_GET['start'] => 57299999' union select unhex(hex(version())) -- 'x'='x
    * Union Select $_REQUEST['start'] => 57299999' union select unhex(hex(version())) -- 'x'='x
    ** PAGE / SERVER INFO
    *REMOTE_ADDR : 151.1.48.6
    *REQUEST_METHOD : GET
    *QUERY_STRING : cat=35&start=57299999%27%20union%20select%20unhex(hex(version()))%20--%20%27x%27=%27x
    ** SUPERGLOBALS DUMP (sanitized)
    *$_GET DUMP:
    Array
    (
    [cat] => 35
    [start] => 57299999' -- unhex(hex(version())) -- 'x'='x
    )
    *$_POST DUMP:
    Array
    (
    )
    *$_COOKIE DUMP:
    Array
    (
    )
    *$_REQUEST DUMP:
    Array
    (
    [cat] => 35
    [start] => 57299999' -- unhex(hex(version())) -- 'x'='x
    )
    Третье:
    ** PATTERNS MATCHED (possible hack attempts)
    * Union Select $_GET['start'] => 57299999" union select unhex(hex(version())) -- "x"="x
    * Union Select $_REQUEST['start'] => 57299999" union select unhex(hex(version())) -- "x"="x
    ** PAGE / SERVER INFO
    *REMOTE_ADDR : 151.1.48.6
    *REQUEST_METHOD : GET
    *QUERY_STRING : cat=35&start=57299999%22%20union%20select%20unhex(hex(version()))%20--%20%22x%22=%22x
    ** SUPERGLOBALS DUMP (sanitized)
    *$_GET DUMP:
    Array
    (
    [cat] => 35
    [start] => 57299999" -- unhex(hex(version())) -- "x"="x
    )
    *$_POST DUMP:
    Array
    (
    )
    *$_COOKIE DUMP:
    Array
    (
    )
    *$_REQUEST DUMP:
    Array
    (
    [cat] => 35
    [start] => 57299999" -- unhex(hex(version())) -- "x"="x
    )
    Эти три во время проверки ай-болитом.
    А это сам по себе:

    ** PATTERNS MATCHED (possible hack attempts)
    * Local File Inclusion $_GET['f'] => ../../../configuration.php
    * Local File Inclusion $_REQUEST['f'] => ../../../configuration.php
    ** PAGE / SERVER INFO
    *REMOTE_ADDR : 77.68.90.159
    *HTTP_USER_AGENT : python-requests/2.19.1
    *REQUEST_METHOD : GET
    *QUERY_STRING : f=../../../configuration.php
    ** SUPERGLOBALS DUMP (sanitized)
    *$_GET DUMP:
    Array
    (
    [f] => configuration.php
    )
    *$_POST DUMP:
    Array
    (
    )
    *$_COOKIE DUMP:
    Array
    (
    )
    *$_REQUEST DUMP:
    Array
    (
    [f] => configuration.php
    )
     
    Last edited by a moderator: Aug 21, 2018
    Dionis0.618, Aug 21, 2018
    #3
  5. OlegK
    Offline

    OlegK Russian Joomla! Team Staff Member ⇒ Профи ⇐

    Joined:
    Jan 17, 2011
    Messages:
    7,812
    Likes Received:
    771
    Gender:
    Male
    Простыни кода прячь под спойлер редактора форума. Ломятся в основном по сайтам со старой версии ДЖумла.
     
    OlegK, Aug 21, 2018
    #4
  6. Offline

    Dionis0.618 Недавно здесь

    Joined:
    Aug 8, 2018
    Messages:
    16
    Likes Received:
    0
    Gender:
    Male
    Ок, понял. Но джумла у меня вроде бы новой версии.
     
    Dionis0.618, Aug 21, 2018
    #5
  7. vetalist
    Offline

    vetalist Недавно здесь

    Joined:
    Dec 4, 2013
    Messages:
    6
    Likes Received:
    1
    Gender:
    Male
    Олег привет! Вот получаю такие письма и не могу понять : беспокоиться или нет?

    Код (PHP):
    1. ** PATTERNS MATCHED (possible hack attempts)
    2.  
    3. * Local File Inclusion $_GET['f'] => ../../../configuration.php
    4. * Local File Inclusion $_REQUEST['f'] => ../../../configuration.php
    5.  
    6.  
    7. ** PAGE / SERVER INFO
    8.  
    9. *REMOTE_ADDR : 51.68.112.14
    10. *HTTP_USER_AGENT : python-requests/2.20.1
    11. *REQUEST_METHOD : GET
    12. *QUERY_STRING : f=../../../configuration.php
    13.  
    14.  
    15. ** SUPERGLOBALS DUMP (sanitized)
    16.  
    17. *$_GET DUMP:
    18. Array
    19. (
    20. [f] => ../../../configuration.php
    21. )
    22.  
    23.  
    24. *$_POST DUMP:
    25. Array
    26. (
    27. )
    28.  
    29.  
    30. *$_COOKIE DUMP:
    31. Array
    32. (
    33. )
    34.  
    35.  
    36. *$_REQUEST DUMP:
    37. Array
    38. (
    39. [f] => ../../../configuration.php
    40. )
     
    Last edited by a moderator: Dec 13, 2018
    vetalist, Dec 13, 2018
    #6
  8. OlegK
    Offline

    OlegK Russian Joomla! Team Staff Member ⇒ Профи ⇐

    Joined:
    Jan 17, 2011
    Messages:
    7,812
    Likes Received:
    771
    Gender:
    Male
    Такого плана запросы идут и на мой сайт, меняются IP. 51.68.112.14 France .
    Если не нужен регион Франция, то можно забанить подсеть. Иначе советую банить .htacces только по IP
    Код (PHP):
    1. Order Allow,Deny
    2. Allow from All
    3. Deny from 51.68.112.14
     
    OlegK, Dec 13, 2018
    #7
    vetalist likes this.
< отображается левый сайт | Взломан сайт на Джумла 1.5 >

Share This Page

Loading...