Устранение следов взлома на сайте cms Joomla

Ко мне обратился владелец интернет магазина,  с просьбой помочь выявить причину непонятной логики поисковиков. В поисковой выдаче вместо информации которая присутствовала на сайте, выводилась явно скамовая информация. Ранее сайт подвергался атаке, из-за несвоевременного обновления компонентов cms. Которая была устранена.

HugeDomains.com — HeilInk.com is for sale (Heil Ink)
HugeDomains.com —  Shop for over 300,000 Premium Domains

Проанализировав код страницы, не увидел ничего подозрительного. Подумав, что роботы при обходе успели проиндексировать страничку, порекомендовал подождать. Однако как Вы наверное догадались,  спустя время ничего не изменилось. 

Пришло время расчехлять тяжелую артиллерию. Я скачивал сайт и сканировал на предмет вирусов и троянов. Искал текстовым поиском комбинации текста из поисковой выдачи «HugeDomians и Shop over «. Результатов это не принесло.

Техподдержка Яндекса и Гугла, заверила что данные актуальные и находятся в выдаче, потому что при обходе эти данные присутствует на сайте. 

Техподдержка провайдера хостинга, так же ничего не смогла найти, и порекомендовали обратиться в Яндекс. В общем круг замкнулся ;(

Если честно с таким поведением сталкивался сталкивался впервые. Я понимал что, упускаю какую-то деталь.

Однако, мы знаем что усердие приносит свои плоды. В очередной раз медитируя над сайтом, я обнаружил причину. 

В файле темы обнаружил gif файл, который на самом деле, был ничем иным как обычным текстовым файлом с php кодом внутри, к которому заботливо применена обфускация. 

<?php
/*
Encoder: Google Encoder
WARNING: This file is protected by copyright law. To reverse engineer or decode this file is strictly prohibited.
*/

/Encoder: Google EncoderWARNING: This file is protected by copyright law. To reverse engineer or decode this file is strictly prohibited.*/global $Іu?R?;$Іu?R?=array(‘???S?’=>FILE);if(!defined(‘CCFBAECAFFACC’))

В итоге, убрав сам файл и ссылку на него в index файле темы, я убедился что проблема ушла.  Так же это подтвердил и сервис анализатора HTTP заголовков.

Надеюсь статья поможет тем, кто нашел по ключевым словам
«HugeDomains.com — HeilInk.com is for sale (Heil Ink)
HugeDomains.com —  Shop for over 300,000 Premium Domains» ее в интернете.

Помните своевременное обновление программного обеспечения обеспечит Вам защиту.

Отсутствует api-ms-win-core-localization-l1-2-0.dll

Кейс:При попытке запустить приложения выводится ошибка об  отсутствии библиотеки  «api-ms-win-core-localization-l1-2-0.dll». 

api-ms-win-core-localization-l1-2-0.dll

Решение:

Для решения проблемы есть рекомендации установить / переустановить 
Visual C++ 2015 redistributable комплект.

Так же возможно что на целевой системе где возникла ошибка, не установлены сервис паки SP, к примеру Windows 7 SP1. Как и было в моем случае, т.к. мне переустановка VC ++ не помогла.

Попытка ссылки на несуществующий токен windows 10

Кейс. После обновления Windows 10, у клиента
долгий вход в систему, при входе черный экран с корзиной на рабочем столе, при нажатии на пуск или иные ярлычки ошибка «Попытка ссылки на несуществующий токен».  Кроме диспетчера задач ни открывается ничего. 

Так же есть сопутствующие ошибки: «
C:\windows\system32\config\systemprofile\desktop недоступен»

«Unknown hard error»

«xxx unknown hard error»

«sihost.exe Unknown hard error»

Read more «Попытка ссылки на несуществующий токен windows 10»

Поиск дубликатов компьютеров в SPN

О наличии проблемы дубликатов могут свидетельствовать сообщения в журнале системы на домен контроллере: «KDC обнаружил повторяющиеся имена при обработке запроса проверки подлинности Kerberos. Повторяющееся имя: host/hostname.domen.ru (тип DS_SERVICE_PRINCIPAL_NAME). Это может привести к сбоям проверки подлинности или понижению до NTLM. Чтобы предотвратить появление подобной ситуации, удалите в Active Directory повторяющиеся записи для host/hostname.domen.ru.»

А также сообщение при входе на рабочую станцию через rdp: «База данных учетных записей сервере не содержит записи регистрации компьютера через доверительные отношения с этой рабочей станции»

В первом случае нужно убедиться в отсутствии spn дубликатов, запустив проверку с домен контроллера.

setspn.exe -X

 

Далее нужно удалить или скорректировать доменные имена станций, возможной причиной будут ручные записи в dns и dhcp.

 

После этого проверяем работоспособность. Если это не принесло результатов, то можно проверить и восстановить доверенный канал с доменом.

  1. Восстанавливаем доверительные отношения с доменом и сбрасываем учетную запись ПК.

netdom reset /d:имя_домена имя_ПК /server:имя_контроллера_домена /uo:имя_пользователя /po:пароль

Для того чтобы не писать пароль в открытом виде, можно указать вместо параметра /po звездочку *

2.  Сброс пароля учетной записи компьютера в AD.

Netdom Resetpwd /Server:имя-контроллера-домена /UserD:учетная-запись-администратора-домена /SecurePasswordPrompt /PasswordD:* 

 

Для того чтобы зайти на проблемную машину, необходимо отключить сетевой LAN кабель, либо войти под локальным пользователем.

 

Конвертация ova в vmx

Иногда возникает необходимость конвертации образа виртуальной машины из ova формата в vmx.

Сделать это можно через приложение конвертер VMware-ovftool Ссылка на последнюю версию тут .

Для конвертации необходимо через командную строку зайти в папку с приложением и оттуда запустить команду.

ovftool.exe путь_к_исходному файлу путь_к_новому_файлу

В моем примере происходила конвертация Eset Applicance

ovftool.exe —lax —acceptAllEulas C:\era\eraappliance.ova C:\era\1.vmx

Ключи:

— acceptAllEulas для принятия соглашения на работу.

— h список доступных команд.

Настройки контроля товарных остатков УТ 11.4

Ситуация: Необходимо контролировать остатки организации работающей в Управлении Торговлей 11 (УТ 11.4) чтобы исключить возможность реализации в минус.

Решение: Необходимо установить два параметра отвечающих за контроль.

1- НСИ и администрирование- Финансовый результат и контроллинг.

2 — НСИ и администрирование- Склады и магазины. Далее выбираем склад в котором требуется осуществлять контроль остатков.

 

После этого в рабочем месте кассира и в реализациях будет осуществляться контроль остатков.

Печать ФИО кассира в чеке 1с Трактир фронт офис

Необходимо настроить печать ФИО кассира вместо «Кассир» или «Системный администратор».

Решение

В справочнике сотрудники создаем или корректируем данные о нужных людях. Вносим должность.

Далее в настройках Рабочего места, устанавливаем настройки кассы.

 

Далее можно авторизоваться в Фронт Офисе под кассиром, и попробовать пробить чек. Программа автоматически добавит ФИО кассира и его должность в соответствующие поля чека.

 

Если Вам нужна помощь при внедрении или консультация, всегда можете воспользоваться нашей консультацией info@61bit.ru

 

Перенос журнала регистрации на другой диск через символическую ссылку

Задача по переносу может возникнуть когда на системном диске «C» при первоначальной установке системы зажали места распределив 60-80 Гб либо системный диск очень маленького размера. А журнал регистрации имеет свойство жиреть не по дням, а по часам 😉

Решением является создание символической ссылки в системе для переназначения файла на другой системный диск.

Порядок работы:
1. В панели управления в администрировании находим Службы. Отключаем службу сервера 1C:Enterprise 8.3 Server Agent
2. Перемещаем папку srvinfo в новое место
3. Проверяем доступ к папке для службы 1С, установив нужные права при необходимости.
4. В командной строке запущенной под администратором создаём символьную ссылку mklink /j «C:\Program Files (x86)\1cv8\srvinfo» «D:\srvinfo»
5. Запускаем службу сервера. Проверяем служба должна запуститься в штатном режиме. Проверим работоспособность сервиса.

Удаление файлов старше чем N дней через командную строку

Часто молодые, опытные и не очень администраторы пытаются автоматизировать удаление старых файлов через разные программы автоматизации. Такие как xstarter и т.п. решения. С одной стороны это правильное подход т.к. нет ничего роднее чем «свой велосипед».
Сегодня я предлагаю познакомиться с стандартным решением для этой задачи, командной строкой Windows.
Реализуется удаление очень просто

FORFILES /p C:\temp\ /s /m *.* /d -10 /c «CMD /c del /Q @FILE»
FORFILES /S /P «C:\temp\» /d -2 /m *.* /c «cmd /c del /q @file »

Ключи:
S — Рекурсивное выполнение
P — Путь к папке
D — Дата
M — Маска файлов
С — Команда которая будет применяться к файлам

Более подробно про ключи можно почитать в help , вот простой пример двух команд которые чистят файлы старше 10 дней в директории по маске *.*

Для полной автоматизации данную команду, можно сохранить в bat файл, и выполнять в ручном режиме или через планировщик задач по расписанию.

Настройка Stunnel+1С Предприятие

После того как тройка основных провайдеров электронной почты (Яндекс, MailRu, Google) перешли на защищенный тип соединения SSL отправки почты, многие пользователи платформы 1С Предприятия 8.2 стали испытывать трудности в отправки писем.

Вся проблема в том, что платформа не поддерживает в коробке отправку почты, а именно не умеет отсылать используя SSL соединение. 1С для решения выкатило версию 8.3, однако даже на текущий день есть достаточное количество людей которые не хотят переезжать на новую версию, т.к. есть ряд подводных каменей.

Сегодня рассмотрим один из таких случаев, когда нужно обратно подружить 1С 8.2 с Яндекс почтой. Read more «Настройка Stunnel+1С Предприятие»