[Решено] Взломали сайт

Тема в разделе "Joomla", создана пользователем Goproject, 11 май 2016.

Статус темы:
Закрыта.
  1. Goproject

    Goproject

    Регистрация:
    11 май 2016
    Сообщения:
    6
    Симпатии:
    0
    Добрый день! Просим помочь, наш сайт взломали и при попытке зайти на него выдает форму для заполнения имени пользователя и пароля. Восстановление резервной копии не помогает. Подскажите пожалуйста, что можно сделать? Домен goproject.pro
     
  2. alex_storm

    alex_storm webdev

    Регистрация:
    11 дек 2012
    Сообщения:
    1.151
    Симпатии:
    667
    Зайти по ftp на сайт и удалить в корне сайта файлик .htpasswd
    А так же в в фале .htaccess удалить ~ строки
    AuthType Basic
    AuthName admin
    require valid-user

    Или так же удалить этот файл и заменить его новым.
     
    Zulus нравится это.
  3. Goproject

    Goproject

    Регистрация:
    11 май 2016
    Сообщения:
    6
    Симпатии:
    0
    А где расположен Файл .htpasswd В корне его не видно
     
  4. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    746
    Симпатии:
    722
    Напиши здесь полное содержимое файла .htaccess
     
  5. Goproject

    Goproject

    Регистрация:
    11 май 2016
    Сообщения:
    6
    Симпатии:
    0
    Код:
    ##
    # @version $Id: htaccess.txt 14401 2010-01-26 14:10:00Z louis $
    # @package Joomla
    # @copyright Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved.
    # @license http://www.gnu.org/copyleft/gpl.html GNU/GPL
    # Joomla! is Free Software
    ##
    
    
    #####################################################
    #  READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE
    #
    # The line just below this section: 'Options +FollowSymLinks' may cause problems
    # with some server configurations.  It is required for use of mod_rewrite, but may already
    # be set by your server administrator in a way that dissallows changing it in
    # your .htaccess file.  If using it causes your server to error out, comment it out (add # to
    # beginning of line), reload your site in your browser and test your sef url's.  If they work,
    # it has been set by your server administrator and you do not need it set here.
    #
    #####################################################
    
    ##  Can be commented out if causes errors, see notes above.
    Options +FollowSymLinks
    
    #
    #  mod_rewrite in use
    
    RewriteEngine On
    
    ########## Begin - Rewrite rules to block out some common exploits
    ## If you experience problems on your site block out the operations listed below
    ## This attempts to block the most common type of exploit `attempts` to Joomla!
    #
    ## Deny access to extension xml files (uncomment out to activate)
    #<Files ~ "\.xml$">
    #Order allow,deny
    #Deny from all
    #Satisfy all
    #</Files>
    ## End of deny access to extension xml files
    RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
    # Block out any script trying to base64_encode crap to send via URL
    RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
    # Block out any script that includes a <script> tag in URL
    RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
    # Block out any script trying to set a PHP GLOBALS variable via URL
    RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
    # Block out any script trying to modify a _REQUEST variable via URL
    RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
    # Send all blocked request to homepage with 403 Forbidden error!
    RewriteRule ^(.*)$ index.php [F,L]
    #
    ########## End - Rewrite rules to block out some common exploits
    
    #  Uncomment following line if your webserver's URL
    #  is not directly related to physical file paths.
    #  Update Your Joomla! Directory (just / for root)
    
    # RewriteBase /
    
    
    ########## Begin - Joomla! core SEF Section
    #
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteCond %{REQUEST_URI} !^/index.php
    RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$  [NC]
    RewriteRule (.*) index.php
    RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
    RewriteEngine On
    RewriteCond %{HTTP_HOST} ^www.goproject.pro$ [NC]
    RewriteRule ^(.*)$ http://goproject.pro/$1 [R=301,L]
    #
    ########## End - Joomla! core SEF Section
     
  6. alex_storm

    alex_storm webdev

    Регистрация:
    11 дек 2012
    Сообщения:
    1.151
    Симпатии:
    667
    Попробуйте этот
    Код:
    ##
    # @version $Id: htaccess.txt 21064 2011-04-03 22:12:19Z dextercowley $
    # @package Joomla
    # @copyright Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved.
    # @license http://www.gnu.org/copyleft/gpl.html GNU/GPL
    # Joomla! is Free Software
    ##
    
    
    #####################################################
    # READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE
    #
    # The line just below this section: 'Options +FollowSymLinks' may cause problems
    # with some server configurations. It is required for use of mod_rewrite, but may already
    # be set by your server administrator in a way that dissallows changing it in
    # your .htaccess file. If using it causes your server to error out, comment it out (add # to
    # beginning of line), reload your site in your browser and test your sef url's. If they work,
    # it has been set by your server administrator and you do not need it set here.
    #
    #####################################################
    
    ## Can be commented out if causes errors, see notes above.
    Options +FollowSymLinks
    
    #
    # mod_rewrite in use
    
    RewriteEngine On
    
    ########## Begin - Rewrite rules to block out some common exploits
    ## If you experience problems on your site block out the operations listed below
    ## This attempts to block the most common type of exploit `attempts` to Joomla!
    #
    ## Deny access to extension xml files (uncomment out to activate)
    #<Files ~ "\.xml$">
    #Order allow,deny
    #Deny from all
    #Satisfy all
    #</Files>
    ## End of deny access to extension xml files
    # Block out any script trying to set a mosConfig value through the URL
    RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
    # Block out any script trying to base64_encode data within the URL
    RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
    # Block out any script that includes a <script> tag in URL
    RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
    # Block out any script trying to set a PHP GLOBALS variable via URL
    RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
    # Block out any script trying to modify a _REQUEST variable via URL
    RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
    # Return 403 Forbidden header and show the content of the root homepage
    RewriteRule .* index.php [F]
    #
    ########## End - Rewrite rules to block out some common exploits
    
    
    ########## Begin - Custom redirects
    #
    # If you need to redirect some pages, or set a canonical non-www to
    # www redirect (or vice versa), place that code here. Ensure those
    # redirects use the correct RewriteRule syntax and the [R=301,L] flags.
    #
    ########## End - Custom redirects
    
    
    # Uncomment following line if your webserver's URL
    # is not directly related to physical file paths.
    # Update Your Joomla! Directory (just / for root)
    
    # RewriteBase /
    
    
    ########## Begin - Joomla! core SEF Section
    #
    RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
    #
    # If the requested path and file is not /index.php and the request
    # has not already been internally rewritten to the index.php script
    RewriteCond %{REQUEST_URI} !^/index\.php
    # and the request is for root, or for an extensionless URL, or the
    # requested URL ends with one of the listed extensions
    RewriteCond %{REQUEST_URI} (/[^.]*|\.(php|html?|feed|pdf|raw))$ [NC]
    # and the requested path and file doesn't directly match a physical file
    RewriteCond %{REQUEST_FILENAME} !-f
    # and the requested path and file doesn't directly match a physical folder
    RewriteCond %{REQUEST_FILENAME} !-d
    # internally rewrite the request to the index.php script
    RewriteRule .* index.php [L]
    #
    ########## End - Joomla! core SEF Section
    
    Если не поможет, то нужно открывать и смотреть сайт начиная от index.php и дальше в корень
     
    Lasted edited by : 11 май 2016
  7. Goproject

    Goproject

    Регистрация:
    11 май 2016
    Сообщения:
    6
    Симпатии:
    0
    Попробовал заменить файл, не получилось. Странно что восстановление резервных копий ни за одну дату, даже когда сайт работал не помогает. А смотреть это значит в коде разбираться, боюсь моих знаний не хватит на данный момент.
     
  8. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    746
    Симпатии:
    722
    С хостером общался?
    Может он что-то заблокировал? Попробуй, напиши ему, пусть дадут ответ что не так. Возможно, если сайт был взломан и с его стороны (со стороны твоего сайта) пошли "неадекватные" действия, то хостер то же может заблокировать.
    Если хостер скажет что с его стороны все в порядке, то пиши здесь.
    Можешь тогда потом написать в личку и дать доступ по ftp, что бы поглядеть что у тебя не так.
     
  9. Goproject

    Goproject

    Регистрация:
    11 май 2016
    Сообщения:
    6
    Симпатии:
    0

    Общался, вот их ответ: Перепроверили ваш аккаунт еще раз. Были найдены подозрительные файлы, проверьте их, пожалуйста.

    {HEX}php.cmdshell.egyspider.232 : u0096826 : /var/www/u0096826/data/www/goproject.pro/cache/cache.php
    {HEX}php.mailer.Mzh.510 : u0096826 : /var/www/u0096826/data/www/goproject.pro/templates/theme2048/html/com_komento/comment/item/likesbutton.php
    {HEX}php.shell.black-id.582 : u0096826 : /var/www/u0096826/data/www/goproject.pro/tmp/css.php
    {HEX}php.mailer.Mzh.510 : u0096826 : /var/www/u0096826/data/www/goproject.pro/components/com_users/models/profile.php
    {HEX}php.mailer.Mzh.510 : u0096826 : /var/www/u0096826/data/www/goproject.pro/administrator/components/com_redirect/models/link.php
    {HEX}php.mailer.Mzh.510 : u0096826 : /var/www/u0096826/data/www/goproject.pro/includes/inc.php
    {HEX}php.shell.black-id.582 : u0096826 : /var/www/u0096826/data/www/goproject.pro/libraries/css.php


    Подробную информацию о методах решения подобных вопросов вы можете найти, обратившись к нашей базе знаний - https://www.reg.ru/support/hosting-...asnost-hostinga/chto-delat-esli-sayt-zarazhen

    С нашей стороны можем предложить восстановление сайта из резервной копии - https://www.reg.ru/support/hosting-...bekapy/kak-vosstanovit-sayt-ili-skachat-bekap

    Обращаем ваше внимание, что восстановление из резервной копии не решит первоначальную причину возникновения проблемы. Если в скриптах ваших сайтов уже была уязвимость, то ей смогут воспользоваться повторно и после восстановления сайта.

    Наши специалисты не могут нести ответственность за безопасность используемых вами скриптов и наличие в них уязвимостей, а также за хранение паролей для доступа к услуге хостинга.
     
  10. blikblik

    blikblik

    Регистрация:
    11 май 2016
    Сообщения:
    2
    Симпатии:
    0
    Для начала переименуйте указанные файлы , если это поможет и сайт заработает то смело удаляйте их. Но Вам обязательно надо сделать полный анализ сайта и найти ваше слабое звено , чтобы не повторилось подобное. И поставьте защиту на сайт
     
  11. pasha-b

    pasha-b

    Регистрация:
    9 янв 2013
    Сообщения:
    190
    Симпатии:
    109
    Проверьте права, для файлов должно быть 644. Иначе как раз изменение файла невозможно.
    Как происходило восстановление? Надо полностью удалить весь сайт с хостинга, все файлы и папки и залить вместо них резервную копию.
     
  12. Goproject

    Goproject

    Регистрация:
    11 май 2016
    Сообщения:
    6
    Симпатии:
    0
    Сейчас антивирус говорит что вирусов не найдено, вручную заменил файлы на оригинальные, а так же файл .htaccess.txt сайт по прежнему не работает.
    --- Добавлено, 12 май 2016 ---
    написал в службу хостинга, они сказали что блокировка отключена. Значит с их стороны была, без предупреждения. Сайт работает, тему пожалуйста закрывайте.
     
  13. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    746
    Симпатии:
    722
    Немного подытожу и дам несколько рекомендаций.
    Что-бы исключить дальнейшие повторение таких ситуаций надо сделать следующее:
    1) Обновить jooml'у до последней актуальной версии;
    2) Обновить все используемые сторонние модули и в дальнейшем периодически их обновлять (зачастую взлом происходит через сторонние модули);
    3) Изменить все пароли (к ftp, к базе и к админке, к управленю хостиногм и т.д.);
    4) Не хранить пароли на компе, т.е. не сохранять их в программах или использовать мастер пароль, где это возможно;
    5) Обязательно использовать хороший антивирус на копме;
    6) Использовать защиту для самой джумлы - порекомендую RSFierwall (нагрузка возрастает, но защита действенная);
    7) Скрыть следы джумлы, что бы если кто и захочет взломать сайт, то для него было бы проблемой установить что за цмс используется.
     
Статус темы:
Закрыта.