Добрый день! Просим помочь, наш сайт взломали и при попытке зайти на него выдает форму для заполнения имени пользователя и пароля. Восстановление резервной копии не помогает. Подскажите пожалуйста, что можно сделать? Домен goproject.pro
Зайти по ftp на сайт и удалить в корне сайта файлик .htpasswd А так же в в фале .htaccess удалить ~ строки AuthType Basic AuthName admin require valid-user Или так же удалить этот файл и заменить его новым.
Код: ## # @version $Id: htaccess.txt 14401 2010-01-26 14:10:00Z louis $ # @package Joomla # @copyright Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved. # @license http://www.gnu.org/copyleft/gpl.html GNU/GPL # Joomla! is Free Software ## ##################################################### # READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE # # The line just below this section: 'Options +FollowSymLinks' may cause problems # with some server configurations. It is required for use of mod_rewrite, but may already # be set by your server administrator in a way that dissallows changing it in # your .htaccess file. If using it causes your server to error out, comment it out (add # to # beginning of line), reload your site in your browser and test your sef url's. If they work, # it has been set by your server administrator and you do not need it set here. # ##################################################### ## Can be commented out if causes errors, see notes above. Options +FollowSymLinks # # mod_rewrite in use RewriteEngine On ########## Begin - Rewrite rules to block out some common exploits ## If you experience problems on your site block out the operations listed below ## This attempts to block the most common type of exploit `attempts` to Joomla! # ## Deny access to extension xml files (uncomment out to activate) #<Files ~ "\.xml$"> #Order allow,deny #Deny from all #Satisfy all #</Files> ## End of deny access to extension xml files RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR] # Block out any script trying to base64_encode crap to send via URL RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR] # Block out any script that includes a <script> tag in URL RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR] # Block out any script trying to set a PHP GLOBALS variable via URL RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] # Block out any script trying to modify a _REQUEST variable via URL RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) # Send all blocked request to homepage with 403 Forbidden error! RewriteRule ^(.*)$ index.php [F,L] # ########## End - Rewrite rules to block out some common exploits # Uncomment following line if your webserver's URL # is not directly related to physical file paths. # Update Your Joomla! Directory (just / for root) # RewriteBase / ########## Begin - Joomla! core SEF Section # RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteCond %{REQUEST_URI} !^/index.php RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$ [NC] RewriteRule (.*) index.php RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L] RewriteEngine On RewriteCond %{HTTP_HOST} ^www.goproject.pro$ [NC] RewriteRule ^(.*)$ http://goproject.pro/$1 [R=301,L] # ########## End - Joomla! core SEF Section
Попробуйте этот Код: ## # @version $Id: htaccess.txt 21064 2011-04-03 22:12:19Z dextercowley $ # @package Joomla # @copyright Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved. # @license http://www.gnu.org/copyleft/gpl.html GNU/GPL # Joomla! is Free Software ## ##################################################### # READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE # # The line just below this section: 'Options +FollowSymLinks' may cause problems # with some server configurations. It is required for use of mod_rewrite, but may already # be set by your server administrator in a way that dissallows changing it in # your .htaccess file. If using it causes your server to error out, comment it out (add # to # beginning of line), reload your site in your browser and test your sef url's. If they work, # it has been set by your server administrator and you do not need it set here. # ##################################################### ## Can be commented out if causes errors, see notes above. Options +FollowSymLinks # # mod_rewrite in use RewriteEngine On ########## Begin - Rewrite rules to block out some common exploits ## If you experience problems on your site block out the operations listed below ## This attempts to block the most common type of exploit `attempts` to Joomla! # ## Deny access to extension xml files (uncomment out to activate) #<Files ~ "\.xml$"> #Order allow,deny #Deny from all #Satisfy all #</Files> ## End of deny access to extension xml files # Block out any script trying to set a mosConfig value through the URL RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR] # Block out any script trying to base64_encode data within the URL RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR] # Block out any script that includes a <script> tag in URL RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR] # Block out any script trying to set a PHP GLOBALS variable via URL RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] # Block out any script trying to modify a _REQUEST variable via URL RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) # Return 403 Forbidden header and show the content of the root homepage RewriteRule .* index.php [F] # ########## End - Rewrite rules to block out some common exploits ########## Begin - Custom redirects # # If you need to redirect some pages, or set a canonical non-www to # www redirect (or vice versa), place that code here. Ensure those # redirects use the correct RewriteRule syntax and the [R=301,L] flags. # ########## End - Custom redirects # Uncomment following line if your webserver's URL # is not directly related to physical file paths. # Update Your Joomla! Directory (just / for root) # RewriteBase / ########## Begin - Joomla! core SEF Section # RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}] # # If the requested path and file is not /index.php and the request # has not already been internally rewritten to the index.php script RewriteCond %{REQUEST_URI} !^/index\.php # and the request is for root, or for an extensionless URL, or the # requested URL ends with one of the listed extensions RewriteCond %{REQUEST_URI} (/[^.]*|\.(php|html?|feed|pdf|raw))$ [NC] # and the requested path and file doesn't directly match a physical file RewriteCond %{REQUEST_FILENAME} !-f # and the requested path and file doesn't directly match a physical folder RewriteCond %{REQUEST_FILENAME} !-d # internally rewrite the request to the index.php script RewriteRule .* index.php [L] # ########## End - Joomla! core SEF Section Если не поможет, то нужно открывать и смотреть сайт начиная от index.php и дальше в корень
Попробовал заменить файл, не получилось. Странно что восстановление резервных копий ни за одну дату, даже когда сайт работал не помогает. А смотреть это значит в коде разбираться, боюсь моих знаний не хватит на данный момент.
С хостером общался? Может он что-то заблокировал? Попробуй, напиши ему, пусть дадут ответ что не так. Возможно, если сайт был взломан и с его стороны (со стороны твоего сайта) пошли "неадекватные" действия, то хостер то же может заблокировать. Если хостер скажет что с его стороны все в порядке, то пиши здесь. Можешь тогда потом написать в личку и дать доступ по ftp, что бы поглядеть что у тебя не так.
Общался, вот их ответ: Перепроверили ваш аккаунт еще раз. Были найдены подозрительные файлы, проверьте их, пожалуйста. {HEX}php.cmdshell.egyspider.232 : u0096826 : /var/www/u0096826/data/www/goproject.pro/cache/cache.php {HEX}php.mailer.Mzh.510 : u0096826 : /var/www/u0096826/data/www/goproject.pro/templates/theme2048/html/com_komento/comment/item/likesbutton.php {HEX}php.shell.black-id.582 : u0096826 : /var/www/u0096826/data/www/goproject.pro/tmp/css.php {HEX}php.mailer.Mzh.510 : u0096826 : /var/www/u0096826/data/www/goproject.pro/components/com_users/models/profile.php {HEX}php.mailer.Mzh.510 : u0096826 : /var/www/u0096826/data/www/goproject.pro/administrator/components/com_redirect/models/link.php {HEX}php.mailer.Mzh.510 : u0096826 : /var/www/u0096826/data/www/goproject.pro/includes/inc.php {HEX}php.shell.black-id.582 : u0096826 : /var/www/u0096826/data/www/goproject.pro/libraries/css.php Подробную информацию о методах решения подобных вопросов вы можете найти, обратившись к нашей базе знаний - https://www.reg.ru/support/hosting-...asnost-hostinga/chto-delat-esli-sayt-zarazhen С нашей стороны можем предложить восстановление сайта из резервной копии - https://www.reg.ru/support/hosting-...bekapy/kak-vosstanovit-sayt-ili-skachat-bekap Обращаем ваше внимание, что восстановление из резервной копии не решит первоначальную причину возникновения проблемы. Если в скриптах ваших сайтов уже была уязвимость, то ей смогут воспользоваться повторно и после восстановления сайта. Наши специалисты не могут нести ответственность за безопасность используемых вами скриптов и наличие в них уязвимостей, а также за хранение паролей для доступа к услуге хостинга.
Для начала переименуйте указанные файлы , если это поможет и сайт заработает то смело удаляйте их. Но Вам обязательно надо сделать полный анализ сайта и найти ваше слабое звено , чтобы не повторилось подобное. И поставьте защиту на сайт
Проверьте права, для файлов должно быть 644. Иначе как раз изменение файла невозможно. Как происходило восстановление? Надо полностью удалить весь сайт с хостинга, все файлы и папки и залить вместо них резервную копию.
Сейчас антивирус говорит что вирусов не найдено, вручную заменил файлы на оригинальные, а так же файл .htaccess.txt сайт по прежнему не работает. --- Добавлено, 12 май 2016 --- написал в службу хостинга, они сказали что блокировка отключена. Значит с их стороны была, без предупреждения. Сайт работает, тему пожалуйста закрывайте.
Немного подытожу и дам несколько рекомендаций. Что-бы исключить дальнейшие повторение таких ситуаций надо сделать следующее: 1) Обновить jooml'у до последней актуальной версии; 2) Обновить все используемые сторонние модули и в дальнейшем периодически их обновлять (зачастую взлом происходит через сторонние модули); 3) Изменить все пароли (к ftp, к базе и к админке, к управленю хостиногм и т.д.); 4) Не хранить пароли на компе, т.е. не сохранять их в программах или использовать мастер пароль, где это возможно; 5) Обязательно использовать хороший антивирус на копме; 6) Использовать защиту для самой джумлы - порекомендую RSFierwall (нагрузка возрастает, но защита действенная); 7) Скрыть следы джумлы, что бы если кто и захочет взломать сайт, то для него было бы проблемой установить что за цмс используется.
