[Помогите] Взломали Joomla -вирус на сайте

Тема в разделе "Joomla", создана пользователем Zulus, 21 дек 2012.

?

Подвергался ли Ваш сайт заражению вирусом?

  1. Да

    42 голосов
    64,6%
  2. Нет

    18 голосов
    27,7%
  3. Не знаю

    5 голосов
    7,7%
  4. Мне все равно

    0 голосов
    0,0%
  1. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    682
    Симпатии:
    686
    Можете подсказать в таком случае, возможно ли перенести базу данных на новую джумлу?
    Если да, то как сделать все правильно?
     
  2. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.350
    Симпатии:
    1.378
    естественно. берёте старую бд, заливаете новые файлы от джумлы, от старой можно оставить только конфигурационный файл. и всё. Если были установлены компоненты/модули, то их тоже залить надо будет.
     
    Lasted edited by : 23 сен 2014
  3. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    682
    Симпатии:
    686
    Т.е. компоненты надо будет установить через админку?
    Если так, то думаю это будет лучшее решение в моем случае, чтобы избавиться от залитого шела.
     
  4. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.350
    Симпатии:
    1.378
    да, но рекомендую провернуть всё, сначала на локалхосте, потом переносить на продакшн
     
    Lasted edited by : 23 сен 2014
    Zulus нравится это.
  5. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    682
    Симпатии:
    686
    Ок. Так и сделаю. Что и как получилось отпишусь здесь.
     
  6. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    682
    Симпатии:
    686
    Начались заморочки. Взял все файлы из чистой джумлы, перенес конфигурационный файл и изменил в нем все соответственно настройкам локального сервера. Удалил папку инстал и импортировал базу. Сайт на локалке заработал, понятно что коряво, шаблон не установлен, расширения тоже, но проблема в том, что не могу войти в админку теперь. Был установлен jsecure и соответственно через мойсайт/administrator войти не получается и через мойсайт/administrator/?кодовое_слово то же войти не получается, так как все тот же jsecure не установлен.
    Заколдованный круг получается. :eek:

    Еще одна странность - при переносе зараженного сайта с сервера на локалхост все файлы и база данных (процедура стандартная). Сайт на локалке почти не работает.
     
  7. Miguel

    Miguel

    Регистрация:
    29 окт 2012
    Сообщения:
    3
    Симпатии:
    2
    yoda4 нравится это.
  8. Sunray

    Sunray

    Регистрация:
    31 дек 2012
    Сообщения:
    50
    Симпатии:
    4
    по поводу лечения сайтов рекомендую обратится сюда:Smile: что то типа мини антивируса в виде PHP файла, мне не раз помогал:Smile:
    http://www.revisium.com/ai/
     
  9. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    682
    Симпатии:
    686
    Нашел интересную статью Защита Joomla с помощью файла .htaccess, думаю многим будет интересно.
    Только возник вопрос, если прописываю в файле .htaccess следующие строки:
    то у меня перестают работать мультивкладки, может кто подскажет что надо дописать, чтобы разрешить работу только определенным плагинам?
     
  10. sanyaberkut

    sanyaberkut

    Регистрация:
    11 дек 2012
    Сообщения:
    94
    Симпатии:
    19
    раскажу и как у меня было.
    Было взломано несколько сайтов
    Схема почти одинаковая, версия джумлы была 1,5,22 и 1,5,24
    Сначала було загружено рнр файл (store.php) в папку images/store ( в одном случає в папку tmp)
    ну и уже оттуда пошло, В каждый файл яваскрипта который был на сайте бописали строки с iframe (200-300 файлов) , нашол прогу которая в каталоге ищет вхождение строки и заменяет на другую (@Text Replacer)
    после прочистки, обновил джумлу до 1,5,26.
    Пообщавшысь с знакомыми и проанализировав случившееся есть некие мисли и то что было замечено, взлом чаще произходит через уязвимости в следующих компонентах плагинах: jce, acebabackup, joomlapack (єто если используютса версии не последних версий).
    Короче , прочистил файлы, обновил джумлу и компоненты, пока все чисто работает.
    Еще один момент добавил в папки images/store , tmp добавил файл .htaccess с дерективами которые запрещают выполнение скриптов в данных каталогах (есть их несколько вариантов, чуть позже выложу свой который рабочий, а то их 4 разных, и разные мнения по каждому из них). Пока рецидива небыло, хотя хостер знакомый говорит что после взлома если не совсем правильно прочистить рецидив 100% будет. Пока наблюдаю.
     
  11. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    682
    Симпатии:
    686
    Можно поподробнее. Я как раз выше ссылку дал по защите через .htaccess, но как писал выше возник вопрос: - Возможно ли запретить выполнение скриптов, но в то же время разрешить лишь те, что установил сам?
     
  12. sanyaberkut

    sanyaberkut

    Регистрация:
    11 дек 2012
    Сообщения:
    94
    Симпатии:
    19
    Сейчас использую .htaccess в каталогах куда можно что-то загрузить, єто один из вариантов, на моих серверах работает

    Код:
     php_value php_flag engine 0
    AddType "text/html" .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .wml 
    а какие файлы в этих каталогах вы будете использовать, в Joomla в єтих каталогах нету рнр файлов и не видел расширений которіе туда что-то пишут (рнр) и используют.
    Хотя на одном сайте возникла проблема (пока небіло времени разбиратся) при заливке подобного файла .htaccess в папку images на сайте пропадают картинки, єто один из старіх сайтов и там для работі некого расширения включён режим совместимости с версией 1.0 может из-за этого предполагаю, но ещё не пробовал. на остальных пока всё работает
     
  13. balalar

    balalar

    Регистрация:
    12 янв 2013
    Сообщения:
    80
    Симпатии:
    5
    Как вариант защиты У себя в htaccess я написал:

    <Filesmatch "^index.php">
    order allow,deny
    allow from all
    </Filesmatch>

    <Filesmatch "^index2.php">
    order deny,allow
    allow from all
    </Filesmatch>
    --- добавлено: 12 янв 2013 в 15:24 ---
    Так же хочу добавить что необходимо пароли для FTP по возможности не сохранять для входа автоматом. У меня был сохранен пароль в total comander и на сайт лез кто то, - вставлял свой код. Поменяв пароль для доступа по FTP вроде пока прекратились несанкционированные доступы.
    Еще ко мне нас сайт лазили через нинзя эксплорер - удалил.
     
    gluckbahr нравится это.
  14. gluckbahr

    gluckbahr

    Регистрация:
    16 дек 2012
    Сообщения:
    81
    Симпатии:
    9
    CMS Joomla! была найдена уязвимость. Проблема в теме оформления Bluestork. Злоумышленник может закачивать в данную тему свои php скрипты и соответственно выполнять их. По общим наблюдениям данные скрипты производят атаку на самые различные серверы и сервисы. На данный момент командой разработчиков Joomla!, не было объявлено официально о данной уязвимости
     
  15. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    682
    Симпатии:
    686
    Если прописать это то один модуль перестает работать, как можно через .htaccess запретить все, и дать разрешение на исполнение только конкретных скриптов?
    --- добавлено: 12 янв 2013 в 18:34 ---
    Интересная информация. У себя все стандартные шаблоны удалил сразу. Так что не думаю что зарза проникла через шаблон.
     
  16. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    682
    Симпатии:
    686
    Подведу итог проделанной работе (с чего все началось смотрите начало темы):
    1) Удалил все левые файлы что появились при заражении (вошел в shell, постами выше подсказал Амир как это сделать и уже там нажал "удалить shell").
    2) Удалил левый код из файла .htaccess.
    3) Сменил пароли на FTP (не сохраняю в ftp-клиенте), в базе данных, в админку, на хостинг и на всякий случай на электронную почту, что связанна с jooml'ой. Все пароли сохранил в текстовом файле и добавил в запароленый архив, который храню отдельно (все запомнить невозможно, тем более, что все пороли в 35-40 символов, цифры, знаки и буквы в разном регистре).
    4) Установил и настроил RSFirewall (взят с этого форума).
    5) В BanIp заблокировал доступ к адинке со всех ip-адресов и добавил в белый список только свои.
    6) Удалил все сайты с площадки, что были для экспериментов и обновил один сайт с joomla 1.5 до 2.5.
    7) Установил только нужные и самые последние модули/плагины.
    8) Пере установил систему на компе и установил лицензионный антивирус.
    В результате: Сайт чист уже 2 недели, это большой ПЛЮС.
    Но есть небольшой МИНУС, из-за использования RSFirewall сайт работает немного медленнее чем раньше, но это не страшно спокойствие дороже.
    Небольшие рекомендации:
    Следите за обновлениями Joomla и модулей/плагинов.
    Почаще делайте бекап сайта.
    Позаботьтесь о безопасности заранее.
     
    gluckbahr нравится это.
  17. sanyaberkut

    sanyaberkut

    Регистрация:
    11 дек 2012
    Сообщения:
    94
    Симпатии:
    19
    Но есть небольшой МИНУС, из-за использования RSFirewall сайт работает немного медленнее чем раньше, но это не страшно спокойствие дороже.

    насколько медленее стал работать? (не пробовали делать замеры, наприме6р по количеству запросов до и после)
    насколько большой сайт у Вас и насколько много посетителей?
     
  18. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    682
    Симпатии:
    686
    Страница грузится на 1-2 секунды дольше чем раньше, когда каждый день работаешь над сайтом, то визуально, мне, сразу заметно.
    Замеры делать не пробовал. Посетителей в среднем 40-50 в день. Сайт небольшой, сейчас полноценных страниц ~350-360 шт., но постоянно добавляю новые. По примерным подсчетам страниц будет в 10 раз больше и на страницах будет больше информации, добавлю видео и фото инструкции.
    Если хотите, можете взглянуть:
    ссылка на раздел с 75% готовности.
    Это мой небольшой бизнес, который я стараюсь развить. Поэтому когда его взломали, это мне заметно ударило по карману. Сразу пропали посетители и ни одного звонка в течении 2-х недель. Неприятно и досадно. Но здесь сам виноват, не позаботился о безопасности заранее.
     
  19. sanyaberkut

    sanyaberkut

    Регистрация:
    11 дек 2012
    Сообщения:
    94
    Симпатии:
    19
    Конечно для такого (небольшого) сайта немного медленно страницы загружаются, но для такого типа сайта это приемлемо.
    Я спашивал о скорости так как подумывал на один сайт поставить RSFirewall (30000 статей 5тис хостов в день) и теперь понял что не стоит.
     
  20. gluckbahr

    gluckbahr

    Регистрация:
    16 дек 2012
    Сообщения:
    81
    Симпатии:
    9
    Простые медоты защиты htaccess
     
    yoda4 нравится это.