[Помогите] Взломали Joomla -вирус на сайте

Тема в разделе "Joomla", создана пользователем Zulus, 21 дек 2012.

?

Подвергался ли Ваш сайт заражению вирусом?

  1. Да

    42 голосов
    63,6%
  2. Нет

    19 голосов
    28,8%
  3. Не знаю

    5 голосов
    7,6%
  4. Мне все равно

    0 голосов
    0,0%
  1. gavag

    gavag

    Регистрация:
    5 янв 2013
    Сообщения:
    112
    Симпатии:
    10
    Во общем, нужно совсем немного: защитить админку, поставить фаервол и плагин защиты от инъекций. Самое простое: изменить параметры входа: нестандартный логин, сложный пароль и подправить атрибуты файлов и папок.
     
  2. libert

    libert

    Регистрация:
    5 апр 2013
    Сообщения:
    39
    Симпатии:
    10
    А xss, csrf? В любом случае проверить стоит на эксплоит-дб
     
  3. gavag

    gavag

    Регистрация:
    5 янв 2013
    Сообщения:
    112
    Симпатии:
    10
    Ну для этого нужно установить специальный скрипт перехвата (который как я понимаю должен сработать на стороне сервера). Понятное дело хакерские технологии совершенствуются и за всем не уследишь, поэтому нужна комплексная защита (понятное дело нет и не может быть 99.9% гарантии). Но от целенаправленных злоумышленников ("вредных" конкурентов) и просто от вредоносного кода все же защититься можно.

    "дб" - !? Честно, не совсем понятно что имеется в виду. Если речь о базах данных - то в структуре db (я по крайней мере) не встречал (не сталкивался) с таким кодом. Что касается доступа к базам: можно просто вынести конфигурационные файлы за пределы определенных директорий.
     
  4. libert

    libert

    Регистрация:
    5 апр 2013
    Сообщения:
    39
    Симпатии:
    10
    Самая большая база сплоитов после прикрытого милворма http://exploit-db.com вот, что имел ввиду, извиняюсь за неточность, думал будет ясно исходя из моего прошлого сообщения.
     
  5. gavag

    gavag

    Регистрация:
    5 янв 2013
    Сообщения:
    112
    Симпатии:
    10
    Ну, если вы хороший знаток в этом вопросе может подскажете кое в чем: хотя не знаю можно или нет (стоит или нет: безопасно ли) здесь выложить (опубликовать) один код? Наверное все таки для этого есть специальные ресурсы.
     
  6. libert

    libert

    Регистрация:
    5 апр 2013
    Сообщения:
    39
    Симпатии:
    10
    Немного не понял чего тут может быть небезопасного, можно на пастбеин выложить, или тут с хайдом в 1 пост, я в вопросе безопасности имею чуть больше опыта, чем скрипткидди, но могу светом помочь:smile:
    --- добавлено: Apr 7, 2013 10:26 PM ---
    Итак, решил выложить тут, рекомендую сделать ВСЕМ! Вот небольшое дополнение для .htacess с ним у вас с сайта исчезнут большинство ботов и "кулхацкеров"
    Альтернативный вариант тоже через RewriteCond
    Перенаправление ботов через SetEnvIfNoCase тут так-же, как и в первом конфиге нужно указать правильную ссылку на 403-ю
    А это то-же самое, только для NGINX:
    Данный конфиг блочит 210 популярных юзерагентов для ботов, спаммеров, хактлзов и т.п., список не исчерпывающий, вот есть ещё все (в т.ч. неактуальные)юзерагенты спамботов(436 штук):
    Вписали раз и избавились от головной боли со взломом и спамом(не панацея, но помогает очень хорошо!)
    Если появляется вопрос, куда это вставить, пишите, помогу:smile: Можно тут, а дабы не захламлять тему можно в личку
     
    gatsby и gurkin нравится это.
  7. Pelmen

    Pelmen Guest

    Кто-нибудь использует скрипты или программы для мониторинга файлов сайта?
    Вдруг зловред что-то поменял или удалил или добавил ?
     
  8. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.580
    Симпатии:
    1.482
    одно из интересных решений: использовать CVS, например git.
     
  9. Pelmen

    Pelmen Guest

    Вчера поставил "Санти" антивирус для сайтов. в принципе, файлы мониторит, изменения можно откатить.
     
  10. mira99

    mira99

    Регистрация:
    27 дек 2013
    Сообщения:
    2
    Симпатии:
    0
    Интересен скрипт "Айболит", интересный проект для чистки сайта. У меня несколько сайтов на Joomla! ломают последнее время частенько.
     
  11. gurkin

    gurkin

    Регистрация:
    17 янв 2013
    Сообщения:
    17
    Симпатии:
    6
    я пользуюсь тулзой fls - рекомендую!
     
  12. limura

    limura

    Регистрация:
    3 янв 2014
    Сообщения:
    5
    Симпатии:
    1
    1) Проверить файлы сайта антивирусом
    2) Перезалить проверенный сайт
    3) Ограничить доступ по фтп, например выставить доступ только с определенных IP
    4) Поменять пароль к админке
     
  13. gurkin

    gurkin

    Регистрация:
    17 янв 2013
    Сообщения:
    17
    Симпатии:
    6
    5) поменять пароль к фтп
    6) поменять пароль к хостингу
    7) поменять пароль к mysql серверу
    8) поменять пароль на почтовом ящике админа

    оказывается, есть антивирус для джумлы OSE Antivirus
     
    limura нравится это.
  14. gavag

    gavag

    Регистрация:
    5 янв 2013
    Сообщения:
    112
    Симпатии:
    10
    Поделюсь своим опытом: пользуюсь RSFirewall, и еще несколькими "тулзами". В принципе доволен, защита вот уже как около года держит нормально.
     
  15. huggi

    huggi

    Регистрация:
    14 янв 2014
    Сообщения:
    4
    Симпатии:
    0
    "Сразу же упали продажи, ни одного входящего звонка.... " - если коммерцией (бизнесом) занимаетесь на сайте, я так полагаю рубите БАБЛО - то формат "школоло" (халява) - вам не подойдет для спокойной работы)

    Хех... вопрос избитый до дыр, чтобы обезопасить работу сайтов на joomla нужно сделать 4 пункта:
    1. Обезопасить свой комп - купить и поставить антивирус (можно нод32) и antispyware - именно КУПИТЬ, а не скачать на халяву)
    2. Перевести все старые версии joomla на последнюю 3.х (старые все дырявые - со своими расширениями скачанными на халяву - в расширениях дыр вагон - на хак-форумах видел до 15 вариантов взлома старой joomla)))
    3. Сторонние шаблоны, компоненты, модули, плагины - которые не идут в комплект стандарта - ТОЖЕ ПРИДЕТСЯ КУПИТЬ), так как они обновляются и тестятся на уязвимость, правда не у всех, а у самых популярных
    4. Не пользуйтесь - дешевыми хостингами! У них у самих серверные приложения иногда дырявые и не допиленные по уму - DDoS атаки идут на такие хосты регулярны)

    P.S. Сам занимаюсь коммерцией - у меня все покупное (обновления идут постоянно, что радует) и старый западный хост не ниже 25$ в месяц... Доволен как слон - полет нормальный)
    P.S. Хотя... максимально обезопасить, но не на 100% конечно - можно и в "школоло" формате)

    Если какие-то вопросы по joomla безопасности и многому другому пишите в личку, времени у меня мало и я ценю свое время - консультации только платные
     
  16. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    746
    Симпатии:
    722
    Если есть чем поделиться не в "школоло" формате, то отписывайся здесь, а свои "платные консультации" рекламируй в другом (рекламном) разделе.
     
  17. vitosa

    vitosa

    Регистрация:
    14 янв 2014
    Сообщения:
    2
    Симпатии:
    0
    Учитывая участившиеся бруты на админки Joomla, желательно накладывать на админку сайта через .htaccess базовую авторизацию. Или разрешить вход в админку с определенных IP-адресов.
    --- Добавлено, 14 янв 2014 ---
    Также желательно регулярно проверять свой личный ПК на вирусы, так как многие вирусы перехватывают логины и пароли и перенаправляют их злоумышленникам.
     
  18. Сентинел

    Сентинел

    Регистрация:
    5 мар 2013
    Сообщения:
    239
    Симпатии:
    121
    ПЖил себе сайт, а сегодня пришло письмо что зарегистрирован юзер.
    Хотя как убеждали хозяева регистрация отключена.

    Оказалось что она ВКЛЮЧЕНА просто не отображается нигде на сайте.

    По логам видно что китайский друг или через проксю китайскую зашол ровно по двум ссылкам
    http://site.com/index.php?option=com_virtuemart&view=user
    http://site.com/component/users/?view=login
    Потом пошол по плагинам и компонентам
    • убил юзера
    • отключил регистрацию
    • снял бекапы за неделю и сделал текущий
    • закрыл папку /administrator паролем
    • закрыл доступ к /administrator по ip
    • сменил все пары логин/пароль юзеров, mysql, ftp
    • ftp закрыл по ip
    • отключил ssh им все равно никто там не пользуется
    • в .htaccess редиректом на главную все попытки обратиться по выше указанным ссылкам
    RewriteCond %{QUERY_STRING} (^|&)view=login(&|$)
    RewriteRule ^component/users/$ http://site.com/? [L,R]​

    RewriteCond %{QUERY_STRING} (^|&)option=com_virtuemart&view=user(&|$)
    RewriteRule ^index.php$ http://site.com/? [L,R]
     
    $iD нравится это.
  19. Dmitry80

    Dmitry80

    Регистрация:
    5 апр 2015
    Сообщения:
    1
    Симпатии:
    0
    а когда лучше закрывать дыры и защищать сайт от взлома когда создан каркас-дизайн или когда уже он частично наполнен контентом?
     
  20. Сентинел

    Сентинел

    Регистрация:
    5 мар 2013
    Сообщения:
    239
    Симпатии:
    121
    Сразу как только увидел или заметил.
    Перед выносом на production все должно быть вылизано.