Рубрики
Контакты
В блоге
×
Masterpro Nivo Slider (06 фев 2023)
Это форк Vinaora Nivo Slider, пришлось переименовать, в силу требования JED. Даже старую версию качать можно было только с варезных сайтов, нашпигованную троянами. Зачем оно такое, согласитесь.
Вопрос Эпидемия на сайтах Joomla и Wordpress
9 года 8 мес. назад - 5 года 11 мес. назад #7
от Aleksej
Aleksej ответил в теме Эпидемия на сайтах Joomla и Wordpress
Продолжаем нашу коллекцию.
Еще два интересных скрипта на тему поиска зловредов на сайте в частности, и в плане обеспечения безопасной работы сайта - в общем и целом.
Первый носит название, которое говорит само за себя -
JAMSS - Joomla! Anti-Malware Scan Script .
Скачать, распаковать в корень сайта, открыть jamss.php в браузере и через несколько секунд увидеть результаты проверки, подробнее - по ссылке. Результат работы скрипта придется тщательно анализировать: все найденные потенциальные проблемы (пути указаны) оптимально сверять с дефолтными скриптами Joomla и расширений, так как срабатывает данный скрипт в буквальном смысле слова на все, что движется... что же, лучше "перебдеть чем недобдеть", как говорится на великом и могучем. Одним словом, увидите вы нечто вот такое:
Второй скрипт - Forum Post Assistant , предназначен для формирования отчета по конфигурации, который затем можно выложить на форуме в контексте испрашиваемого совета. Принцип использования - ровно тот же самый: скачать, распаковать, загрузить в корень сайта и открыть в браузере. Отчет содержит исчерпывающую информацию - здесь и конфа по серверу, и все используемые екстеншены, и permissions, и вообще чего тут только нет... в частности, как видите, даже PHP API apache2handler помечен оранжевым цветом, как некий варнинг, типа нафига название светить:
Думаю, в хозяйстве все это пригодится.
Еще два интересных скрипта на тему поиска зловредов на сайте в частности, и в плане обеспечения безопасной работы сайта - в общем и целом.
Первый носит название, которое говорит само за себя -
JAMSS - Joomla! Anti-Malware Scan Script .
Скачать, распаковать в корень сайта, открыть jamss.php в браузере и через несколько секунд увидеть результаты проверки, подробнее - по ссылке. Результат работы скрипта придется тщательно анализировать: все найденные потенциальные проблемы (пути указаны) оптимально сверять с дефолтными скриптами Joomla и расширений, так как срабатывает данный скрипт в буквальном смысле слова на все, что движется... что же, лучше "перебдеть чем недобдеть", как говорится на великом и могучем. Одним словом, увидите вы нечто вот такое:
Here are the suspicious parts of code found in this scan process :
In file ./tmp/com_virtuemart_update/components/com_virtuemart/assets/js/facebox.js-> we found 1 occurence(s) of Pattern #18 - IFRAME element
---> Details: "Found IFRAME element in code, please check if it's a valid code."
Line #: 261:
... <iframe scrolling="auto" marginwidth="0" width="'+width+'" height="' + height + '" frameborder="0" src="' + href + '" marginheight="0"></iframe>', klass)
}
function fillFaceboxFromImage(href, klass ...
--> ./tmp/com_virtuemart_update/components/com_virtuemart/assets/js/facebox.js is a file. It was last accessed: 2013-09-21T20:10:46+04:00, last changed: 2013-09-21T20:10:46+04:00, last modified: 2013-09-21T20:10:46+04:00.
File permissions:0600
In file ./tmp/com_virtuemart_update/components/com_virtuemart/assets/js/jquery-ui.min.js-> we found 1 occurence(s) of Pattern #18 - IFRAME element
---> Details: "Found IFRAME element in code, please check if it's a valid code."
Line #: 330:
... <iframe src="javascript:false;" class="ui-datepicker-cover" frameborder="0"></iframe>':"");b._keyEvent=false;return D},_generateMonthYearHeader:function(b,f,j,l,o,n,k,m){var p=this._get(b,"changeMonth ...
--> ./tmp/com_virtuemart_update/components/com_virtuemart/assets/js/jquery-ui.min.js is a file. It was last accessed: 2013-09-21T20:10:46+04:00, last changed: 2013-09-21T20:10:46+04:00, last modified: 2013-09-21T20:10:46+04:00.
File permissions:0600
In file ./tmp/com_virtuemart_update/components/com_virtuemart/assets/js/jquery.ui.datepicker.min.js-> we found 1 occurence(s) of Pattern #18 - IFRAME element
---> Details: "Found IFRAME element in code, please check if it's a valid code."
Line #: 74:
------Второй скрипт - Forum Post Assistant , предназначен для формирования отчета по конфигурации, который затем можно выложить на форуме в контексте испрашиваемого совета. Принцип использования - ровно тот же самый: скачать, распаковать, загрузить в корень сайта и открыть в браузере. Отчет содержит исчерпывающую информацию - здесь и конфа по серверу, и все используемые екстеншены, и permissions, и вообще чего тут только нет... в частности, как видите, даже PHP API apache2handler помечен оранжевым цветом, как некий варнинг, типа нафига название светить:
Думаю, в хозяйстве все это пригодится.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
6 года 10 мес. назад #10
от superlamer
Вот еще чего удалось найти по теме...
Источник revisium.com/
superlamer ответил в теме Эпидемия на сайтах Joomla и Wordpress
Unior82 пишет: Несколько полезных ссылок, чтобы проверять шаблоны сайта wordpress, и сам сайт wordpress, на наличие вирусов.
Вот еще чего удалось найти по теме...
Быстрый поиск шеллов в joomla, wordpress и dle (wp-conf.php, index_backup.php)
Если вы знакомы с ssh и командной строкой unix, и ваши сайты на joomla, wordpress, dle взломали в автоматическом режиме (обычно при этом появляются wp-conf.php, index_backup.php и .htaccess файлы с редиректами на index_backup.php), приведенный ниже список команд позволит вам быстро найти и удалить большую часть шеллов:
find . -name '*.php' -exec grep -l '$msg=@gzinflate(@base64_decode(@str_replace' {} \; > rem01.txt find ./images/ -name '*.php' > rem02.txt find . -name '*.php' -exec grep -l 'preg_replace("/\.\*/e","' {} \; > rem03.txt find . -name '*.php' -exec grep -l 'eval (base64_decode($_POST["php"]));' {} \; > rem04.txt find . -name '.htaccess' -exec grep -l 'android|midp|j2me|symbian|series' {} \; > rem05.txt find . -name '.htaccess' -exec grep -l 'google|ask|yahoo' {} \; >> rem05.txt find . -name '*.php' -exec grep -l 'if(@md5($_POST\["gif"\])' {} \; > rem06.txt find . -name 'index.php' -exec grep -l '$_REQUEST\[.*\]; eval' {} \; > rem07.txt find . -name '*.php' -exec grep -l '&& function_exists("getmxrr"))' {} \; > rem08.txt find . -name '*.php' -exec grep -l '<br/>Security Code: <br/><input name="security_code" value=""/>' {} \; > rem09.txt find . -name '*.php' -exec grep -l 'ncode(print_r(array(),1)),5,1).c),$c);}eval($d);' {} \; > rem10.txt find . -name 'index.html' -exec grep -l '<META HTTP-EQUIV="Refresh" CONTENT="0; ' {} \; > rem11.txt find . -name '*.php' -exec grep -l '= array("Google", "Slurp", "MSNBot"' {} \; > rem12.txt find . -name 'index_backup.php' > rem13.txt find . -name '*.jpg' -exec grep -l 'eval(base64' {} \; > rfix_jpg.txt
Что нужно сделать:
1. создайть файл find_shell.sh в директории сайта, скопируйте в него приведенный выше код
2. зайти на хостинг по ssh, перейти в директорию сайта
3. запустить скрипт командой sh find_shell.sh
в результате будут созданы файлы вида remXX.txt. Пустые можно удалить (значит шелла с данной сигнатурой у вас нет), а в непустых замените "./" на "rm -f ./"
проверьте список файлов в remXX.txt, может что-то из этого не стоит удалять? Например, вы могли разместить в каталоге "images" joomla какой-то свой скрипт, наподобие наложения watermark'а на фотографию
4. выполните команды
sh rem1.txt
sh rem2.txt
...
для каждого оставшегося remXX.txt файла
5. в файле rfix_jpg.txt будут JPG файлы, у которых в метаданных шелл. Их тоже надо почистить (либо через графический редактор, либо можно просто заменить в файле "eval" на "love"
6. теперь проверьте сайт скриптом AI-BOLIT на оставшийся вредоносный код.
Источник revisium.com/
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.