[Помогите] Взломали Joomla -вирус на сайте

Тема в разделе "Joomla", создана пользователем Zulus, 21 дек 2012.

?

Подвергался ли Ваш сайт заражению вирусом?

  1. Да

    42 голосов
    64,6%
  2. Нет

    18 голосов
    27,7%
  3. Не знаю

    5 голосов
    7,7%
  4. Мне все равно

    0 голосов
    0,0%
  1. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    682
    Симпатии:
    686
    Предлагаю обсуждать здесь все что касается безопасности joomla: закрытие "дыр", методы выявления вирусов и борьбы с ними.
    3 недели назад Яндекс пометил сайт как не желательный для просмотра, на сайте вирус. Сразу же упали продажи, ни одного входящего звонка. При просмотре через любой браузер сайт открывается нормально, антивирус на него не реагирует, но если попробовать войти с мобильного устройства, то идет перенаправление на левые сайты.
    Сразу не смог выявить левые файлы (так как столкнулся с такой проблемой первый раз), техподдержка яндекса помогла выявить несколько подозрительных файлов:
    в папке administrator изменили файл index.php и еще появились несколько левых файлов - images.php, libraries.php и sites.php в папке с шаблоном тоже появились левые файлы. И самое главное изменился файл .htaccess причем код добавлен во все .htaccess расположенных в любых директориях, где они есть.
    Вот сам код, что воткнули в .htaccess:
    Самое неприятно то, что после восстановления сайта из бекапа, все в течении суток появляется вновь.
    Для защиты в Jooml'у установил jsecure, BanIP, RSFirewall. Установил винду на чистый диск, поставил лицензионный антивирус, после этого поменял все пароли на вход в адимнку, на базу данных и на доступ по FTP, в TotalCommander'е поставил мастер пароль. Все пароли разные, состоят из цифр и букв в разном регистре (по 40 символов), подобрать практически не возможно, только выкрасть или взломать саму jooml'у другими методами.
    Сейчас у меня опять левые файлы на сайте:furious:. Что делать не знаю.
    Осталась последняя мысль - лечил только 2 сайта, на площадке у меня их 4 (2 на Joomla 2.5, и 2 на Joomla 1.5), думаю заражение происходит от туда.
    Сегодня начал полное восстановление всех сайтов на площадке из бекапа, если все идет со второй пары, то надеюсь заражения больше не повторятся. (По результатам отпишусь)

    Теперь очень остро стоит вопросы безопасности:
    -Как обезопасить себя на будущее?
    -Что делать если заражение все таки произошло?
    -Какие алгоритмы действий для выявления вредоносного кода и борьбы с ним?

    Думаю для всех эта тема актуальна.
     
    tiranov07 нравится это.
  2. 900

    900

    Регистрация:
    15 сен 2012
    Сообщения:
    51
    Симпатии:
    6
    Такое бывает, если устанавливали движок через quick start. Можно попробовать поставить чистую joomly, а потом попробовать заново натянуть шаблон. Работы много, но дело того стоит.
     
  3. mforex

    mforex

    Регистрация:
    20 дек 2012
    Сообщения:
    13
    Симпатии:
    1
    Шаблон, плагины проверьте. Может банально троян спер пасс на фтп.
     
  4. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    682
    Симпатии:
    686
    Joomla 2.5 чистая, quick start'ом не пользуюсь, шаблон чистый - делал сам. Сайт проработал год. Из расширений установлены: sh404Sef последней версии, xmap, модуль мультивкладок, редактор JCE и для защиты то, что упоминал выше jsecure, BanIP, RSFirewall. Все, больше ничего лишнего.
    [quote"]Работы много, но дело того стоит.[/quote]
    Согласен работы много, еще на стадии создания "попыхтел" прилично.
    Все модули старался вовремя обновлять, перед установкой любого компонента проверял его на наличие левого кода, перед тем как взломали ничего на сайт кроме материалов не добавлял.
    --- добавлено: 22 дек 2012 в 11:16 ---
    Сейчас этим и занимаюсь. Была такая мысль, что сперли пароли. На комп поставил новый диск, установил винду и анивирус, поменял пароли. Только после этого восстановил сайт из бекапа. Через день-два опять появляется левый код.
    Такое ощущение что зараза переползает с других сайтов на площадке.
     
  5. Yuriy

    Yuriy

    Регистрация:
    25 дек 2012
    Сообщения:
    20
    Симпатии:
    0
    Буквально недавно нашли в нем уязвимость. Качай свежую версию, уже поправили.
     
    Lasted edited by : 23 сен 2014
  6. shadrag

    shadrag

    Регистрация:
    5 ноя 2012
    Сообщения:
    3
    Симпатии:
    0
    Часто бывает что это из за упертого ftp пароля. Первым делом проверяю .htaccess. В нем не должно быть лишних строчек. Их надо в первую очередь вычистить.
     
  7. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    682
    Симпатии:
    686
    Последнюю не ставил, вернее с последней откатился на версию ниже. С новой версией перестал работать плагин imgmanager, у меня версия 209, новее не нашел.
     
  8. gluckbahr

    gluckbahr

    Регистрация:
    16 дек 2012
    Сообщения:
    81
    Симпатии:
    9
    После нелепой установки шаблона постоянно сканят порты!
    Началось с этого
    Вот так фаервол пишет!
    Это ж канитель полюбому с сервака светит,где лопатить?!ПОМОГИТЕ!
    Я на роуторе поставил на сервак перенаправлять только по 80,а все остальное на мою машину...можно не сцать!?
     
  9. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    682
    Симпатии:
    686
    попробуй установить BanIP, заблокируй с его помощью ip-шники по которым к тебе лезут.
    --- добавлено: 26 дек 2012 в 16:55 ---
    Как устанавливал? Просто шаблон установил или быстрый старт использовал?
     
  10. gluckbahr

    gluckbahr

    Регистрация:
    16 дек 2012
    Сообщения:
    81
    Симпатии:
    9
    тут вообще такая вылесзла лабуда
    2:15:46 0.0.0.0 Обнаружена атака, узел не заблокирован WRONG_PACKET
     
  11. KoHcTaHTuHblLj

    KoHcTaHTuHblLj

    Регистрация:
    9 ноя 2012
    Сообщения:
    156
    Симпатии:
    11
    Может, предложу не совсем корректный шаг, но действенный. Поставить на время (параллельно или вместо) другой движок. Если заражение будет - Joomla ни причём, взлом через ФТП.
     
  12. Platinumhost

    Platinumhost

    Регистрация:
    22 дек 2012
    Сообщения:
    50
    Симпатии:
    5
    хостера поменяй
     
    Lasted edited by : 23 сен 2014
  13. Амир

    Амир

    Регистрация:
    27 дек 2012
    Сообщения:
    3
    Симпатии:
    1
    могли взломать хостинг и иметь доступ ко всем сайтам на сервере. Обратись в техподдержку.
     
  14. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    682
    Симпатии:
    686
    Итак, к чему пришел (смотрите начало темы) - все экспериментальные сайты с площадки удалил, осталось три рабочих, один, тот что на joomla 1.5 полностью переделал по новой (сайт-визитка) на jooml'e 2.5. Он 100% чист. 2 и 3 восстановил из бекапа.
    В итоге: файл .htaccess на всех сайтах изменениям не подвергается, но на одном все так же в папке administrator появляются три файла images.php, libraries.php и sites.php. В 2-х файлах одно и то же содержание, а третий не на много отличается.
    Декодировать текст не смог, может кто поможет с раскодировкой?
    Содержание libraries.php
    --- добавлено: 27 дек 2012 в 19:38 ---
    Код из файлов images.php и sites.php разместить не смог, больше 1000 символов.
    Думаю зараза лезет через уязвимость в каком либо из расширений, экспериментирую дальше.
     
  15. Амир

    Амир

    Регистрация:
    27 дек 2012
    Сообщения:
    3
    Симпатии:
    1
    очевидно же, что это вебшелл.)
    измени в этом коде мд5 на свой пароль зайди и посмотри)
    уже могли быть и другие файлы подкорректированы, с новой джумлы)
     
  16. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    682
    Симпатии:
    686
    Можно поподробнее. Куда и как войти? И про пароль то же, если не сложно можно "разжевать"?
     
  17. Амир

    Амир

    Регистрация:
    27 дек 2012
    Сообщения:
    3
    Симпатии:
    1
    это da9bee45f0556cd2ad8ae1a53461f812
    измени на это 4a7d1ed414474e4033ac29ccb8653d9b
    зайди браузером на эту страницу, пароль будет 0000
     
    yoda4 нравится это.
  18. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    682
    Симпатии:
    686
    Спасибо!
    Зашел! Охренел. Есть доступ ко всем доменам на площадке.:banghead:
    Амир, посоветуйте, какие должны быть действия дальше?
     
  19. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    682
    Симпатии:
    686
    Если через вебшелл есть доступ к сайту, то злоумышленник может делать на нем все что захочет.
    Возник вопрос, в саму базу данных возможно внедрить какой-либо вредоносный код?
    Просто не соображу как все правильно вычистить, или придется все с нуля делать?
     
  20. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.350
    Симпатии:
    1.378
    В БД хранятся только данные, записи.. там кода быть не может (я про джумлу), т.к. там фильтруется вывод.
     
    Lasted edited by : 23 сен 2014