[Помогите] Взломали Joomla -вирус на сайте

2.5.7 имел ввиду )

 

когда то раньше всегда сохранял пароли к фтп в файл-менеджере, пока пароль троян не спер... как результат - все файлы js и php на хостинге на всех сайтах были заражены вставкой постороннего кода в конце. Так как в то время был новый год и изменений в то время на сайтах не было, то пролечилось простым восстановлением из бекапов.
А если уже с бекапом сложно, тогда можно написать скрипт для извлечения определенной строки из всех файлов на сервере, или найти уже готовый с правкой под себя

 

У меня тоже аналогичное было только бекапа не было пришлось все руками чистить. подломили точно через фтп но через кого так и не смог выяснить. несколько пользователей на фтп. хостинг на яхе и фтп лог не писал. у апача в логах фиксируются регулярные попытки подлома, баню по ip. так что если есть логи они расскажут много интересного. подломили сразу смотри логи повезет узнаешь откуда ноги растут.

 

Недавно у меня было такое...

Очень долго гуглил, пока не наткнулся на человека, который подсказал в чем проблема. В компоненте JCE. (т.к. он позволяет загружать GIF файлы).

Проблема была такая, восстанавливаю бекап, все хорошо, минут через 10 сайт начинает не открываться, белое окно и все тут... (видно только title)
+ Всякие левые URL пытаются грузиться...

Вообщем решение такое, восстанавливаете бекап, и быстро начинаете удалять файлы JCE из
administrator/components
plugins/editors
ну и проверить есть ли папка JCE в components/.

После этого, заходим в админку и деинсталируем JCE.
Вот и все...
Конечно, я тоже очень люблю JCE, поэтому спустя время, поставил последнюю версию и в настройках запретил загрузку GIF.

 

Любая загрузка файла на сайт может обернуться взломом сайта. все, что грузится должно проверяться и выставятся права х644.

 

да это и так я думаю всем ясно.
тут вопрос стоит в том, что делать когда уже есть заражение.

 

помимо восстановления очень желательно узнать как оно произошло по логам
скачиваешь себе сайт через фтп ищешь какой файл(ы) заражен и в логах ищешь кто его трогал или откуда он взялся если backup сайта есть путем сравнения файлов можно найти всю заразу.
и очень желательно backup делать хотя бы раз в неделю

 

Именно так я избавлялся от своей заразы, и в этом мне помогла замечательная программа Beyond Compare (есть на rutracker.org)
умеет сравнивать папки,тексты,базы, и тп..
сравниваем папку бэкапа и папку с хоста и прога подсвечивает измененные файлы,новые файлы.
еще проверяем сайт доктором на заразу,

 

Недавно один из слабозащищенных забитых сайтов атаковали Албанские Хакеры) Поставили черную табличку и лозунги, суровые ребята) В общем, мой набор для защиты - права на папки, SQL Marco's Plugin, Akkeba Backup, скрытие админки, позиций, 404, htaccess, backendtoken и др.

 

А про єто backendtoken можно чуть подробнее?

 

backendtoken - очень хороший плагин для защиты админки от взломов. Делает адрес админки не site/administrator, а siteadministrator?token=(секретное слово). Кстати, пользователя админ - переименовать обязательно, генераторы, мететеги тоже настроить нужно

 

Я для этих целей использовал AdminTools:
дополнительная авторизация в админпанель настраивается посредство хтпасворд , и есть функции изменения айди админа, установка прав на папки ну и ещё много чего интересного, особенно в про версии

 

AdminTools для других целей. Им я менял префиксы в J2.5, исправлял таблицы, чистил кеш и другое. Хотя сейчас найти нормальную неурезанную версию AdminTools довольно проблемно. Но похоже мы удалились от темы)

 

Админку надо прятать однозначно. Плагинов полно, гугл в помощь "прячем админку joomla".

 

Плохо что она гвоздями прибита к папке Administrator

 

Из моего опыта могу сказать, что ломают часто из за новых дырок в плагинах. Спасает ежедневный backup и слежка за лентой найденных дырок.

 

Было и у меня дело: конкуренты "ломанули" сайт заказчика, причем так что все выдачи по гуглу упали (хитрый такой код: цеплялся к ссылкам (около 40 т. вхождений было)). Восстановил, поставил защиту (уже два месяца держит: хотя по нагрузке на сервер видно что попытки взлома идут), теперь заказчик не жалеет средств на защиту.

 

Для уменьшения вероятности взлома нужно скрывать следы СМС
отключить показ позиций модулей
убрать <meta name="generator" content="Joomla! - Open Source Content Management" />

 

А я бы посоветовал, кроме чистки джумловского копирайта выписать на листочек отдельно все модули, которые были использованы в джумле и БЕГОМ на http://exploit-db.com/ и там в поиске смотреть не скомпрометирован ли какой-нибудь из компонентов, ну и поставить чего-нибудь на всякий случай вроде sh404sef(плагин ЧПУ ссылок)мне ни раз помогал