Joomla 1.5 Взломали сайт - как понять где дыра

Тема в разделе "Вопросы безопасности", создана пользователем pracyk, 26.10.2010.

  1. pracyk
    Offline

    pracyk Недавно здесь

    Регистрация:
    02.11.2008
    Сообщения:
    28
    Симпатии:
    0
    Пол:
    Мужской
    Joomla 1.5.21
    Заметил случайно в папке /plugins/content/ директорию js Там оказался полноценный сателлит с гороскопами.
    Как выявить дыру?
    Логи прилагаются
     

    Вложения:

  2.  
  3. Offline

    _voland_ специалист

    Регистрация:
    12.04.2008
    Сообщения:
    2 173
    Симпатии:
    102
    Пол:
    Мужской
    knopa3.js и knopa2.js - что там внутри и откуда оно?
     
  4. pracyk
    Offline

    pracyk Недавно здесь

    Регистрация:
    02.11.2008
    Сообщения:
    28
    Симпатии:
    0
    Пол:
    Мужской
    Это в папке что залили мне на сайт
    knopa1.js, knopa2.js, knopa3.js
    Код (PHP):
    1. document.write("<div align=\"center\"style=\"border: 0px;margin-bottom: 2000px;\"><a href=\"http://bit.ly/aqT2hb\"rel=\"nofollow\"><img border=\"0\"src=\"1.jpg\"></a></div>");
     
  5. Offline

    _voland_ специалист

    Регистрация:
    12.04.2008
    Сообщения:
    2 173
    Симпатии:
    102
    Пол:
    Мужской
    откуда они? нужно смотреть полностью логи, анализировать откуда залито... на форуме можно долго писать
     
  6. pracyk
    Offline

    pracyk Недавно здесь

    Регистрация:
    02.11.2008
    Сообщения:
    28
    Симпатии:
    0
    Пол:
    Мужской
    Я так понимаю залито запросом "GET /plugins/content/js/unzip.php HTTP/1.0"
    Полные логи выложить начиная с 19 октября?
     
  7. Offline

    _voland_ специалист

    Регистрация:
    12.04.2008
    Сообщения:
    2 173
    Симпатии:
    102
    Пол:
    Мужской
    скорее всего залито раньше - возможно по фтп, чтоб сделать разбор полетов нужны и логи и доступ к фтп, и возможно, логи фтп.
    PS А как с вирусами на компе?
     
  8. pracyk
    Offline

    pracyk Недавно здесь

    Регистрация:
    02.11.2008
    Сообщения:
    28
    Симпатии:
    0
    Пол:
    Мужской
    Вирусов нет, зато есть подозрения на хостера.
    Логи есть с 30 сентября (200 мб), в ftp логах только мои 2 IP начиная с 16 декабря.
    Сколько будут стоить ваши услуги?
     
  9. Offline

    _voland_ специалист

    Регистрация:
    12.04.2008
    Сообщения:
    2 173
    Симпатии:
    102
    Пол:
    Мужской
    600 руб\час, скорее всего при наличии всех доступов хватит и получаса (если есть ssh - просто отлично)
     
  10. sergiks
    Offline

    sergiks специалист

    Регистрация:
    10.10.2010
    Сообщения:
    362
    Симпатии:
    36
    Пол:
    Мужской
    Вы когда редактировали сайт, подключались к хостеру по FTP или по SFTP?
     
  11. pracyk
    Offline

    pracyk Недавно здесь

    Регистрация:
    02.11.2008
    Сообщения:
    28
    Симпатии:
    0
    Пол:
    Мужской
    По ftp каждый день, но в логах ftp только мои IP
     
  12. sergiks
    Offline

    sergiks специалист

    Регистрация:
    10.10.2010
    Сообщения:
    362
    Симпатии:
    36
    Пол:
    Мужской
    Это один из частых каналов утечки пароля - передается в открытом виде, только ставь сниффер на соседнем компе.
    Логи доступа могли (и должны были бы обязательно) скорректировать, или они отдельно у хостера живут?
     
  13. pracyk
    Offline

    pracyk Недавно здесь

    Регистрация:
    02.11.2008
    Сообщения:
    28
    Симпатии:
    0
    Пол:
    Мужской
    Сниффер - это для меня сложно. Извиняюсь за невежество что это?
    Логи в отдельных директориях хостера находятся.
     
  14. sergiks
    Offline

    sergiks специалист

    Регистрация:
    10.10.2010
    Сообщения:
    362
    Симпатии:
    36
    Пол:
    Мужской
    Сниффер (англ. sniffer, дословно "нюхач" : ) — хакерская примочка, которая переводит сетевую карту компа в особый режим, в котором она начинает принимать не только сетевые пакеты, адресованные именно ей, а все, что проходит мимо нее в ветке сети - в т.ч. траффик соседних компьютеров.
    Если несколько компов воткнуты в один дешевый хаб (а не свитч, который фильтрует трафик), то сниффер на любом из них может "слушать" всю сетевую коммуникацию соседей. Можно поставить на него фильтр, который будет вылавливать, например, только пакеты протоколов FTP и SMTP и вылавливать в них пароли.
    На деле это выглядит так: ставится примочка, или ловится вирус, который слушает сеть, и как только вылавивает очередной пароль - шлет его "хозяину".

    Так в вашем случае логи ftp точно никто не мог изменить? Вы не можете зайти по фтп в папку с логами и стереть скажем, один из них?
     
    Vamp нравится это.
  15. pracyk
    Offline

    pracyk Недавно здесь

    Регистрация:
    02.11.2008
    Сообщения:
    28
    Симпатии:
    0
    Пол:
    Мужской
    Зайти могу, смотреть могу, изменять права на файл и сам файл не могу
     
  16. sergiks
    Offline

    sergiks специалист

    Регистрация:
    10.10.2010
    Сообщения:
    362
    Симпатии:
    36
    Пол:
    Мужской
    Значит, версию об утечке FTP пароля пока отложим в сторону : )
    Только успокойте: с "ваших двух IP" более ни один комп в сеть не выходит? Из того же офиса, из того же дома. Ведь офис и дом - как раз такие сегменты, внутри которых возможно прослушивание. Хорошо ли вы знаете ваших соседей?! B)
     
  17. pracyk
    Offline

    pracyk Недавно здесь

    Регистрация:
    02.11.2008
    Сообщения:
    28
    Симпатии:
    0
    Пол:
    Мужской
    Нет, но я уже знаю IP взломщика и чей у него провайдер интернет. У нас с ним разные провайдеры
     

Поделиться этой страницей

Загрузка...