vkleforward12Пока 2 дня без инклюдов после 444 чмода.Пока не понадобится вносить изменения в файлы - так оно и будет. Потом для заливки какой-нить картинки разрешают запись в директорию, потом как-нибудь забывают снять... Потому помогает только некоторое время. В общем, человеческий фактор )))

это человеческий фактор,но в другом месте.

картинка и любой другой файл на сервере, это не тоже самое что исполняемый скрипт. куча сайтов имеют возможность заливки файлов, но это не означает что залив скрипт его можно запустить.

что в апаче, что в нджинксе что в любом другом вебсервере, для скриптов назначаються обработчики.

пхп файл стартует не потому что он пхп, а потому что для файлов с расширением из трех букв - пхп , задан обработчик - пхп.экзе.

так что не надо автору не надо городить охинею на сервере.

права на папку должны быть как по умолчанию - у меня это 775. 755(можно) если по какойто причине надо было чтоб пхп работал под юзером1, и принадлежал группе2, в которую ещо ктото входит левый.

кроме самого пхп, никто не запишет в такую папку ну и рута.

любой код который сохраняет в папку файлы, сохраняет их в жосткозаданную папку, ну или жосткость контролируеться кучей проверок, чтобы не получилось что в соседнюю папку сохранит.

там где храняться пользовательские файлы, веб серверу запрещено выполнять скрипты любые!

-----
а вообще, если вебрут у нас папка1, то все система может размещаться на уровень выше, а в вебруте вся лабуда - картинки, скрипты и пользовательские файлы с логами.

а пытаться латать дыры в коде, строгими запретами это не решение. ибо когдато эти запреты будут мешать, и будут сниматься, и врядли информированость о опасности будет 100% админа.

netwindforward12Как могли поменять дату создания скрипта? У злоумышлеников нет доступа рут и фтп.
а с чего вы взяли что ее вообще поменяли?
взломали еще давно. а сейчас вам решили показать как надо монтезировать сайты.

кстате да... сам видел на визитосайтах, что люди заходят и тупо закидывают туда свой код. а когда сайт после сео стаёт популярным, начинают его использовать. :) прикинте что было...

заходит человек на сайт больницы, выбирает раздел - товаров, и получает товары, в дизе сайта, но другого магазина - разные смазки, фалоимитаторы, вагины - по доступным ценам, ну а при нажатии купить уже на сайт продавца попадает. главврач больницы просто ввосторг пришол :)

netwindНу и, кстати, поменять дату модификации злоумышленник тоже мог.
Если выражаться в терминах традиционных для unix файловых систем, mtime меняется, а нельзя сменить именно ctime. Именно так проверяют специальные программы. Вы каким образом проверяли эту дату ?

серьёзно!!!???

проделай команды

Програмёрforward12спасибо всем за мысли и советы. Но я так понимаю что у злоумышленников универсальный инструмент по внедрению файлов. Сегодня нашел вредоносный файл в папке совсем другого компонента.
components/com_ninjarsssyndicator/s31e09.php(255) : runtime-created function(1) : eval()'d code:1]
Вот этот вот код часто встречался в других файлах. Только он раньше использовался дл редиректов.
Начало всегда одинаковое eval(base64 ну а дальше уже шифрованное тело скрипта.
Я скрипт прибыил и закрыл доступ к этой папке. Дата изменения файла тоже февраль. Не верю что два компонента ставились в один день и оба компонента с вирусами.

Да нету никакого универсального инструмента ). Просто дырок много... и пока все не будут закрыты такая хрень будет происходить. Если злоумышленник не ломает твой сайт вручную (а я уж сомневаюсь, что он так намеренно ломает именно этот сайт без какого либо смысла (получения прибыли)), то это делает некий автоматический инструмент через какую-то из известных дырок. У нас на сайте одном такая же хрень была (он не на joomla), так админ просто закрыл eval, а я когда пришёл и увидел, конечно не одобрил решения, но пока времени нету туда влезть, я просто забил и работаю дальше.

А этот злобный код весит и ничего сделать не может :) Сидит, бедный, в заключении и полном одиночестве.

я думаю дырок не много а одна. через которую все ходят и заливают файлы. то что файлов несколько ..это легко мог один человек залить, имено в расчёте на то, что при трабле, админ найдет один файл, удалит и успокоиться, другие выискивать не будет.

у вас там случаем элфаиндер не используеться??? распространёный способ заливать свои файлы...лей сколько хочешь.

netwindalex564657498765453, серьезно. вы не задумывались над тем, что при архивировании дата модификации почему-то записывается в файл и потом восстанавливается при разархивировании ?

я бы прокоментировал, да трудно понять мысль и к какому именно посту моему она относиться.

==
могу лишь сказать, что точно помещая файл в архив,

МАНЫ

ну тоесть это не дань, а лишь действие по умолчанию. при толкании таром в архив, хочешь вкачестве mtime берёшь из файла, хочешь текущую

при разорхивировании, есть опция -m(--touch) - понятно что она делает :) - касаеться разархивированых файлов, и эта датавремя станет временем извлечения из архива.

--у тебя походу почти верное отношение к политике партии вплане atime,mtime,ctime
это не тоже что стикибит у файлов. по сути у этих характеристик файлов, чисто прикладное значение. тоесть логика ядра ОС не завязана на эти вещи. и когда они автоматом обновляються. у этих величин прикладное значение. по умолчанию всё настроенно так, чтобы это было время последнего доступа, время актуальности данных, и время последних действий с "системным обьектом" файл.(ctime) - то что относиться не к данным файла, а к самому обьекту в файловой системе.

netwindalex564657498765453, я просто пытался узнать о топикстартера какую именно из характеристик файла он использует для оценки времени модификации злоумышленником.
а в качестве примера приводил архиватор, который прекрасно восстанавливает mtime. это же самое может сделать и злоумышленник

:) мог, но зачем!? раз залил архив, значит и мог скрипт лить, раз смог разархивировать - значит мог и тачем установить любое время модификации.

а мог и архивом...

а теперь всёх удевлю.

в php.ini директива
disable_functions
запрещает использование пхп функций.

А теперь затаите дыхание - eval, это не функция, о конструкция языка!

netwindforward12, ну значит теперь уже посмотри на значение disable_function и опубликует. там же никаких секретов нет.
Даже если конкретно этому злоумышленнику надоест, придет и другой.

Вообще, вы все делает неправильно. боретесь со следствием, а не с причиной.
Вам бы стоило установить joomla с нуля, перенести дизайн и содержимое, минимизировать число расширений, не использовать ворованные шаблоны. И регулярно обновлять все эти компоненты.

Но это слишком трудозатратно. Поэтому весь веб и в говне у нас.

тада, я и писал уже автору, что ерундой занимаеться... видать упорный тип.


АВТОРУ

1код шифруеться бейс64 или подобное чтото, чтобы он был не читаем, чтобы профан заглянул в файл и закрыл не утруждуя себя вниканием в суть дела. если он не будет зашифрован, раз
вы ищите вручную, то на вашем сайте нету автомтического обнаружения лишнего кода.

поэтому запретом скрывать код, бейс64, он может его как датафайл сохранить рядом и грузить...и другие - вы увеличиваете защиту аж на 0.000000000000000000%

2.запретом прегриплейс, это фактически тоже что и 1. чтоб заглянувший в код не понял
что он делает, не зная про модификатор е, подумал что какаято подмена текста в тексте.

итого, вы мучали форумчан два дня, а продвижения в тематике топика - защита сайта,
результат нулевой.

правда грубая сила с правами, это лучше чем ничего.

forward12netwindforward12, ну значит теперь уже посмотри на значение disable_function и опубликует. там же никаких секретов нет.
Даже если конкретно этому злоумышленнику надоест, придет и другой.

Вообще, вы все делает неправильно. боретесь со следствием, а не с причиной.
Вам бы стоило установить joomla с нуля, перенести дизайн и содержимое, минимизировать число расширений, не использовать ворованные шаблоны. И регулярно обновлять все эти компоненты.

Но это слишком трудозатратно. Поэтому весь веб и в говне у нас.
сайт писал не я. Я там только мелкие правки вносил. И я не его владелец. Связи с владельцем у меня не будет еще дней 10. Смтп пока отключен так что спамма нет.
Проанализировал логи сервера. Теперь я знаю IP злоумышленника (если это не ботнет).
Злоумышленник живет в одном городе со мной.
Я согласен с вами что надо бы джумлу всю перепотрошить. Но я без согласия владельца это делать не могу. В идеале ее уберем вообще, и все будет на самодельных скриптах + чистый хтмл.

ты по логам посмотрел?? каким?
раз живёт с тобой в одном городе, вполне окажеться при дальнейшем изыскании, что ты же и есть....(всмысле либо залил файлы с нужными вместе взяв откудато, либо логи попутал, и не те логи за основу взял.) - ибо злоумышленики кидающие подобный код, они из какого нибудь занзибара, тайваня, китая... (прокся анонимная)

forward12alex564657498765453пропущено...


ты по логам посмотрел?? каким?
раз живёт с тобой в одном городе, вполне окажеться при дальнейшем изыскании, что ты же и есть....(всмысле либо залил файлы с нужными вместе взяв откудато, либо логи попутал, и не те логи за основу взял.) - ибо злоумышленики кидающие подобный код, они из какого нибудь занзибара, тайваня, китая... (прокся анонимная)
я смотрел по логам сервера аппач, по логу access. Так вот там пост запрос на вредоносный скрипт, и в параметрах отправка мейла. Ну как я мог такое сделать? Как я мог спутать сам с собой?

или страница сайта просматриваемая , аджаксом сделала этот запрос...притом не обязательно твоего зайста.