Сломали сайт на joomla

osipen

Guest

Это нравится:0 Да/0 Нет

18.10.2009 22:49:37

Всем привет!

Честно говоря у меня сайт сломали первый раз и я хочу, что бы мне подсказали как это произошло и что нужно делать сделать для устранения причины.
Зашел на свой сайт и с удивлением и возмущением :sensored:

обнаружил вот это (это не мой сайт просто нашел в гугле для примера). На скорую руку обнаружил, что заменили index.php в корневой директории.

Сервер centos 5.3 + apache-2.2.3-22
Сайт на движке joomla 1.5.14

Права были такие(может зря но на форуме joomla на index.php для пользователя apache видел такие же):

Код

# ls -l
итого 696
drwxrwxrwx 11 apache apache   4096 Янв 26  2008 administrator
drwxrwxrwx 12 apache apache   4096 Окт 10 15:59 cache
-rwxrwxrwx  1   1010   1010  94010 Июл 30 23:02 CHANGELOG.php
drwxrwxrwx 15 apache apache   4096 Окт 10 16:01 components
-r--r--r--  1 apache apache   2817 Окт 12 22:37 configuration.php
-rwxrwxrwx  1 root   root     3409 Июл 23 06:47 configuration.php-dist
-rwxrwxrwx  1 root   root     1175 Июл 23 06:47 COPYRIGHT.php
-rwxrwxrwx  1 root   root    14373 Июл 23 06:47 CREDITS.php
-rwxrwxrwx  1 root   root      894 Сен 16 15:03 favicon.ico
-rwxrwxrwx  1 apache apache   2663 Июн  3 10:40 htaccess.txt
drwxrwxrwx  6 apache apache   4096 Июл 29 13:49 images
drwxrwxrwx  8 apache apache   4096 Янв 26  2008 includes
-rwxrwxrwx  1 apache apache    591 Июн  3 10:40 index2.php
-rwxrwxrwx  1 apache apache   2052 Июн  3 10:40 index.php
-rwxrwxrwx  1 apache apache   4344 Июн  3 10:40 INSTALL.php
drwxrwxrwx  5 apache apache   4096 Июл 23 06:47 language
drwxrwxrwx 16 apache apache   4096 Июл  9  2008 libraries
-rwxrwxrwx  1 apache apache  17816 Июн  3 10:40 LICENSE.php
-rwxrwxrwx  1 root   root    27984 Июл 23 06:47 LICENSES.php
drwxrwxrwx  2 apache apache   4096 Июн  3 10:40 logs
drwxrwxrwx  3 apache apache   4096 Июл 23 06:47 media
-rwxrwxrwx  1 root   root     1876 Июн  5 17:36 metaconfig.xml
drwxrwxrwx 27 apache apache   4096 Окт 10 15:56 modules
drwxrwxrwx 11 apache apache   4096 Июл 30 23:02 plugins
-rwxrwxrwx  1 apache apache    340 Июл 27 23:16 robots.txt
drwxrwxrwx  9 apache apache   4096 Окт  9 12:22 templates
-rwxrwxrwx  1 apache apache     16 Июн  3 10:40 test2.php
drwxrwxrwx  9 apache apache   4096 Окт 13 21:59 tmp
drwxrwxrwx  4 apache apache   4096 Июн  3 10:40 xmlrpc
drwxrwxrwx  2 apache apache   4096 Июн  3 13:39 zipimport

Александр Антипов

Administrator

Сообщений: 3843 Баллов: 3870 Регистрация: 10.12.2001

Это нравится:0 Да/0 Нет

19.10.2009 23:07:45

Так может не сервер был взломан, а твой компьютер? так большинство взломов происходит. А файлы на сервере уже под легитимным пользователем перезаписываются.

Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.

osipen

Guest

Это нравится:0 Да/0 Нет

20.10.2009 09:58:47

Нет мой компьютер не имеет прямого доступа к серверу, тоесть физичеки не реально записать файлы. Но то что это вирус атаковал почти уверен, так как сайт не раскручен и врядли его могли заказать.

Нарыл еще немного инфы. Есть предпольжение, что уязвимость в компоненте agora forum. Время создания подмененного файла 02:49, вот что происходило на сервере:

Код

85.110.220.175 - - [18/Oct/2009:02:48:05 +0400] "GET /templates/siteground-j15-90/images/but.gif HTTP/1.1" 304 -
85.110.220.175 - - [18/Oct/2009:02:48:05 +0400] "GET /templates/siteground-j15-90/images/menu_arrow.png HTTP/1.1" 304 -
85.110.220.175 - - [18/Oct/2009:02:48:05 +0400] "GET /templates/siteground-j15-90/images/footer_bg.png HTTP/1.1" 304 -
85.110.220.175 - - [18/Oct/2009:02:48:24 +0400] "POST /components/com_agora/img/members/0/shelll.php HTTP/1.1" 200 5153
85.110.220.175 - - [18/Oct/2009:02:48:27 +0400] "POST /components/com_agora/img/members/0/shelll.php HTTP/1.1" 200 5866
85.110.220.175 - - [18/Oct/2009:02:48:40 +0400] "POST /components/com_agora/img/members/0/shelll.php HTTP/1.1" 200 5016
85.110.220.175 - - [18/Oct/2009:02:48:44 +0400] "POST /components/com_agora/img/members/0/shelll.php HTTP/1.1" 200 5016
85.110.220.175 - - [18/Oct/2009:02:48:48 +0400] "POST /components/com_agora/img/members/0/shelll.php HTTP/1.1" 200 5016
85.110.220.175 - - [18/Oct/2009:02:48:51 +0400] "POST /components/com_agora/img/members/0/shelll.php HTTP/1.1" 200 5866
85.110.220.175 - - [18/Oct/2009:02:48:56 +0400] "POST /components/com_agora/img/members/0/shelll.php HTTP/1.1" 200 4888
85.110.220.175 - - [18/Oct/2009:02:49:01 +0400] "POST /components/com_agora/img/members/0/shelll.php HTTP/1.1" 200 5866
85.110.220.175 - - [18/Oct/2009:02:49:08 +0400] "POST /components/com_agora/img/members/0/shelll.php HTTP/1.1" 200 4872
85.110.220.175 - - [18/Oct/2009:02:49:10 +0400] "POST /components/com_agora/img/members/0/shelll.php HTTP/1.1" 200 6630
85.110.220.175 - - [18/Oct/2009:02:49:24 +0400] "POST /components/com_agora/img/members/0/shelll.php HTTP/1.1" 200 4482
85.110.220.175 - - [18/Oct/2009:02:49:26 +0400] "POST /components/com_agora/img/members/0/shelll.php HTTP/1.1" 200 5107
85.110.220.175 - - [18/Oct/2009:02:49:32 +0400] "POST /components/com_agora/img/members/0/shelll.php HTTP/1.1" 200 7886
85.110.220.175 - - [18/Oct/2009:02:49:36 +0400] "POST /components/com_agora/img/members/0/shelll.php HTTP/1.1" 200 6620
85.110.220.175 - - [18/Oct/2009:02:49:41 +0400] "POST /components/com_agora/img/members/0/shelll.php HTTP/1.1" 200 4569
85.110.220.175 - - [18/Oct/2009:02:49:51 +0400] "POST /components/com_agora/img/members/0/shelll.php HTTP/1.1" 200 6621
85.110.220.175 - - [18/Oct/2009:02:49:58 +0400] "POST /components/com_agora/img/members/0/shelll.php HTTP/1.1" 200 5463
85.110.220.175 - - [18/Oct/2009:02:50:03 +0400] "POST /components/com_agora/img/members/0/shelll.php HTTP/1.1" 200 7596
85.110.220.175 - - [18/Oct/2009:02:50:10 +0400] "POST /components/com_agora/img/members/0/shelll.php HTTP/1.1" 200 7897
85.110.220.175 - - [18/Oct/2009:02:50:15 +0400] "POST /components/com_agora/img/members/0/shelll.php HTTP/1.1" 200 7901
85.110.220.175 - - [18/Oct/2009:02:50:19 +0400] "GET / HTTP/1.1" 200 26003
85.110.220.175 - - [18/Oct/2009:02:50:20 +0400] "GET /media/system/js/mootools.js HTTP/1.1" 304 -
85.110.220.175 - - [18/Oct/2009:02:50:20 +0400] "GET /media/system/js/caption.js HTTP/1.1" 304 -
85.110.220.175 - - [18/Oct/2009:02:50:20 +0400] "GET /templates/system/css/system.css HTTP/1.1" 304 -
85.110.220.175 - - [18/Oct/2009:02:50:20 +0400] "GET /templates/siteground-j15-90/css/template.css HTTP/1.1" 304 -
85.110.220.175 - - [18/Oct/2009:02:50:20 +0400] "GET /images/M_images/searchButton.gif HTTP/1.1" 404 -
85.110.220.175 - - [18/Oct/2009:02:50:20 +0400] "GET /images/stories/helpdesk.jpg HTTP/1.1" 304 -
85.110.220.175 - - [18/Oct/2009:02:50:21 +0400] "GET /images/stories/outsourcing.jpg HTTP/1.1" 304 -
85.110.220.175 - - [18/Oct/2009:02:50:21 +0400] "GET /images/stories/help.jpg HTTP/1.1" 304 -

Дед * Guest	#4 Это нравится:0 Да/0 Нет 20.10.2009 09:58:57 Администратор прав. Сломали тебя. С ли пароль на ftp или ssh доступ. По правам ЗДЕСЬ почитай...

SOLDIER Guest	#5 Это нравится:0 Да/0 Нет 20.10.2009 10:38:57 А сломали По-видимому, вот ТАК.

osipen Guest	#6 Это нравится:0 Да/0 Нет 21.10.2009 10:07:22 Понял всем спасибо!

maxpa30 Guest	#7 Это нравится:0 Да/0 Нет 05.11.2009 12:17:21 Та же самая фигня.С сайтом слава богу ниче не случилось.Проверка компа каспером на вирусы выявила в архиве с бэкапом сайта вот такух хню - Обнаружено: Backdoor.PHP.C99Shell.bv - в папке components/com_agora/img/members/0/ Предполагаю что файл был загружен давненько поскольку как только узнал об этой уязвимости в компоненте агора запретил загружать php файлы.Там в админке в доступных для загрузки пользователем расширениях файлов эта возможность почему то была по умолчанию .

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?