[Помогите] Взломали Joomla -вирус на сайте

Тема в разделе "Joomla", создана пользователем Zulus, 21 дек 2012.

?

Подвергался ли Ваш сайт заражению вирусом?

  1. Да

    42 голосов
    64,6%
  2. Нет

    18 голосов
    27,7%
  3. Не знаю

    5 голосов
    7,7%
  4. Мне все равно

    0 голосов
    0,0%
  1. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    681
    Симпатии:
    686
    Joomla 2.7 не существует в природе.
     
  2. SteadyUp

    SteadyUp

    Регистрация:
    28 янв 2013
    Сообщения:
    11
    Симпатии:
    0
    2.5.7 имел ввиду )
     
    Lasted edited by : 23 сен 2014
  3. blackfm

    blackfm

    Регистрация:
    29 янв 2013
    Сообщения:
    181
    Симпатии:
    34
    когда то раньше всегда сохранял пароли к фтп в файл-менеджере, пока пароль троян не спер... как результат - все файлы js и php на хостинге на всех сайтах были заражены вставкой постороннего кода в конце. Так как в то время был новый год и изменений в то время на сайтах не было, то пролечилось простым восстановлением из бекапов.
    А если уже с бекапом сложно, тогда можно написать скрипт для извлечения определенной строки из всех файлов на сервере, или найти уже готовый с правкой под себя
     
  4. alxndr52

    alxndr52

    Регистрация:
    5 фев 2013
    Сообщения:
    35
    Симпатии:
    13
    У меня тоже аналогичное было только бекапа не было пришлось все руками чистить. подломили точно через фтп но через кого так и не смог выяснить. несколько пользователей на фтп. хостинг на яхе и фтп лог не писал. у апача в логах фиксируются регулярные попытки подлома, баню по ip. так что если есть логи они расскажут много интересного. подломили сразу смотри логи повезет узнаешь откуда ноги растут.:throwball:
     
  5. playthetechno

    playthetechno

    Регистрация:
    31 янв 2013
    Сообщения:
    4
    Симпатии:
    1
    Недавно у меня было такое...

    Очень долго гуглил, пока не наткнулся на человека, который подсказал в чем проблема. В компоненте JCE. (т.к. он позволяет загружать GIF файлы).

    Проблема была такая, восстанавливаю бекап, все хорошо, минут через 10 сайт начинает не открываться, белое окно и все тут... (видно только title)
    + Всякие левые URL пытаются грузиться...

    Вообщем решение такое, восстанавливаете бекап, и быстро начинаете удалять файлы JCE из
    administrator/components
    plugins/editors
    ну и проверить есть ли папка JCE в components/.

    После этого, заходим в админку и деинсталируем JCE.
    Вот и все...
    Конечно, я тоже очень люблю JCE, поэтому спустя время, поставил последнюю версию и в настройках запретил загрузку GIF.
     
    Zulus нравится это.
  6. alxndr52

    alxndr52

    Регистрация:
    5 фев 2013
    Сообщения:
    35
    Симпатии:
    13
    Любая загрузка файла на сайт может обернуться взломом сайта. все, что грузится должно проверяться и выставятся права х644.
     
  7. playthetechno

    playthetechno

    Регистрация:
    31 янв 2013
    Сообщения:
    4
    Симпатии:
    1
    да это и так я думаю всем ясно.
    тут вопрос стоит в том, что делать когда уже есть заражение.
     
  8. alxndr52

    alxndr52

    Регистрация:
    5 фев 2013
    Сообщения:
    35
    Симпатии:
    13
    помимо восстановления очень желательно узнать как оно произошло по логам
    скачиваешь себе сайт через фтп ищешь какой файл(ы) заражен и в логах ищешь кто его трогал или откуда он взялся если backup сайта есть путем сравнения файлов можно найти всю заразу.
    и очень желательно backup делать хотя бы раз в неделю
     
  9. diks13

    diks13

    Регистрация:
    22 янв 2013
    Сообщения:
    63
    Симпатии:
    22
    Именно так я избавлялся от своей заразы, и в этом мне помогла замечательная программа Beyond Compare (есть на rutracker.org)
    умеет сравнивать папки,тексты,базы, и тп..
    сравниваем папку бэкапа и папку с хоста и прога подсвечивает измененные файлы,новые файлы.
    еще проверяем сайт доктором на заразу,
     
  10. Grek

    Grek

    Регистрация:
    18 янв 2013
    Сообщения:
    171
    Симпатии:
    18
    Недавно один из слабозащищенных забитых сайтов атаковали Албанские Хакеры) Поставили черную табличку и лозунги, суровые ребята) В общем, мой набор для защиты - права на папки, SQL Marco's Plugin, Akkeba Backup, скрытие админки, позиций, 404, htaccess, backendtoken и др.
     
  11. sanyaberkut

    sanyaberkut

    Регистрация:
    11 дек 2012
    Сообщения:
    94
    Симпатии:
    19
    А про єто backendtoken можно чуть подробнее?
     
  12. Grek

    Grek

    Регистрация:
    18 янв 2013
    Сообщения:
    171
    Симпатии:
    18
    backendtoken - очень хороший плагин для защиты админки от взломов. Делает адрес админки не site/administrator, а siteadministrator?token=(секретное слово). Кстати, пользователя админ - переименовать обязательно, генераторы, мететеги тоже настроить нужно
     
  13. sanyaberkut

    sanyaberkut

    Регистрация:
    11 дек 2012
    Сообщения:
    94
    Симпатии:
    19
    Я для этих целей использовал AdminTools:
    дополнительная авторизация в админпанель настраивается посредство хтпасворд , и есть функции изменения айди админа, установка прав на папки ну и ещё много чего интересного, особенно в про версии
     
  14. Grek

    Grek

    Регистрация:
    18 янв 2013
    Сообщения:
    171
    Симпатии:
    18
    AdminTools для других целей. Им я менял префиксы в J2.5, исправлял таблицы, чистил кеш и другое. Хотя сейчас найти нормальную неурезанную версию AdminTools довольно проблемно. Но похоже мы удалились от темы)
     
  15. Traglodit

    Traglodit

    Регистрация:
    20 мар 2013
    Сообщения:
    9
    Симпатии:
    0
    Админку надо прятать однозначно. Плагинов полно, гугл в помощь "прячем админку joomla".
     
  16. Yuriy

    Yuriy

    Регистрация:
    25 дек 2012
    Сообщения:
    20
    Симпатии:
    0
    Плохо что она гвоздями прибита к папке Administrator
     
  17. tandrup

    tandrup

    Регистрация:
    27 мар 2013
    Сообщения:
    5
    Симпатии:
    0
    Из моего опыта могу сказать, что ломают часто из за новых дырок в плагинах. Спасает ежедневный backup и слежка за лентой найденных дырок.
     
  18. gavag

    gavag

    Регистрация:
    5 янв 2013
    Сообщения:
    109
    Симпатии:
    10
    Было и у меня дело: конкуренты "ломанули" сайт заказчика, причем так что все выдачи по гуглу упали (хитрый такой код: цеплялся к ссылкам (около 40 т. вхождений было)). Восстановил, поставил защиту (уже два месяца держит: хотя по нагрузке на сервер видно что попытки взлома идут), теперь заказчик не жалеет средств на защиту.
     
  19. sanyaberkut

    sanyaberkut

    Регистрация:
    11 дек 2012
    Сообщения:
    94
    Симпатии:
    19
    Для уменьшения вероятности взлома нужно скрывать следы СМС
    отключить показ позиций модулей
    убрать <meta name="generator" content="Joomla! - Open Source Content Management" />
     
  20. libert

    libert

    Регистрация:
    5 апр 2013
    Сообщения:
    39
    Симпатии:
    10
    А я бы посоветовал, кроме чистки джумловского копирайта выписать на листочек отдельно все модули, которые были использованы в джумле и БЕГОМ на http://exploit-db.com/ и там в поиске смотреть не скомпрометирован ли какой-нибудь из компонентов, ну и поставить чего-нибудь на всякий случай вроде sh404sef(плагин ЧПУ ссылок)мне ни раз помогал