Массовые взломы - страница 2 - Безопасность сайтов на Joomla

Информация для размышления.
не так давно у меня взломали 3 сайта - в шаблон встроили около 20 ссылок на всякие смс-сервисы.. ладно думаю - сам виноват (пароль ftp хранил в клиенте, ну и так по поводу безопасности не слишком маньячил) через какое-то время заметил в панели явм рост входящих ссылок (по 50-100 за ап) все бы хорошо, но анкоры у ссылок все теже смс-сервисы (как выяснилось кроме ссылок в шаблон у меня в директории logs разместили минисайт - ссылки были на него) - налицо взлом ftp и при чем здесь Joomla... странность в том, что все взломанные сайты, с которых ведут ссылки (уже более 150) ВСЕ НА Joomla!
ps. версия жумлы на момент взлома (не утверждаю что взлом был именно Joomla) 1524, хостинг таймвеб, дополнения по минимуму и все с офсайтов (обновляются не регулярно, но обновляются)

См. подпись: "Домен за 99 рублей и надежный хостинг"  - может по этому?

проверьте права папок (644 должны быть) - я так делал но не помню на какие папки

Смотрю подпись. Домены от Reg.ru. Хостинг- свой сервер от fastvps за 3000р в месяц, у обратившихся клиентов— timeweb.ru, на нем кстати мои аккаунты пока нормально работают. Вы это вообще к чему сказали? Потроллить типа?

Права папок— все в порядке, я их не менял, я Joomla 7 лет занимаюсь и помню об этом.

пароль ftp хранил в клиенте, ну и так по поводу безопасности не слишком маньячил

я щас удалил все пароли в мозиле, файлзилле, короче все записал (они были конечно) но все равно ВСЕ нафиг поудалял!

Да походу хостинги вскрывают на wordpress такая же каша просто сайтов на нем поменьше вот и шумиха меньше.(дрючат по всему мира причем один и тотже код закидывают) у меня часто ищут директорию usr вот логВот новую хня появилась а вчера уже и сюда с такой же бедой обратились
я себе в php.ini добавил плюс в haccess
сейчас что то корректирую из htaccess от Nicholas K. Dionysopoulos
потихоньку добавляю себевот как то так


p.s. обновленный .htaccess от Nicholas K. Dionysopoulos 

я щас удалил все пароли в мозиле, файлзилле, короче все записал (они были конечно) но все равно ВСЕ нафиг поудалял!

Да бред все это есть перехватчики клавы уж усли в комп проникли то это пи............. так что можешь обратно сохранить
на почитай

Да бред все это есть перехватчики клавы уж усли в комп проникли то это пи............. так что можешь обратно сохранить
на почитай

спасибо! обязательно прочту...хотя уже щас вижу что нифига не пойму
Просто я сохранял пароли тк они имели след вид 6567fgghj43234rtyyu тоб НИКТО ваще не взломал знаю что если захотеть то обязательно взломают...терь упростил, но не сохраняю

Также считаю что оч важна версия Windos - тк  на XP были такие вирусы что ваще капец а на 7 тьфу тьфу тьфу вроде нет

ну а если тайплоггеры что ле? я вот думаю эл клаву использовать еще

я вот думаю эл клаву использовать еще

А ты Винокуру не родственник ? )))))
Там пишут что перехватывают в сети (между пунктом А и Б)

у себя нашел такого троянчика: "PHP.Shell-AX[Trj]" (Avast)

у меня лежал здесь:
./components/com_ag_google_analytics2/index.php
./modules/mod_myblog_archive/
./includes/class.php

сохранил себе, надо будет разобрать

Ребят, ну когда же вы перейдете на *nix? Вирусы? Трояны? не, не слышал...
А из своего админского опыта скажу, что лучше правильно настроенной Авиры ничего нет (Internet Security).
А если брать бесплатные решения то Avira Personal и Outpost (есть бесплатный фаервол.
otto, сам виноват - пренебрежение элементарными правилами безопасности, а ломали только Joomla возможно для того, чтобы завести в заблуждение, чтобы решили, что ломали именно движки. И обновляться надо во время...
А еще можно на виртуалке работать... Поработал - снес, забыл. Пароли сохранил в голове.

у меня лежал здесь:
./components/com_ag_google_analytics2/index.php

А Вам нужен этот компонент? Трудно зайти на Google Analitycs и посмотреть статистику? Чем меньше расширений тем лучше. Сама по себе Joomla 1.5.25 очень хорошо защищена, конечно не без дыр, я думаю, но их не так как в старых версиях или в 1.7.
Просто мне кажется, что многие зря задают такие вопросы "меня взломали, что может быть? Я не знаю что делать"
А все элементарно:
Последняя версия Joomla. (лично я пока склоняюсь к 1.5.25) Изменение префикса базы данных с jos на любой другой. Чем меньше расширений - тем лучше. Посему, что можем - допиливаем руками. Зачем ставить целый модуль для кнопки "наверх" если это можно сделать парой строчек кода? Не знаете как? Пишите - Вам здесь помогут. У меня мощный портал есть, на котором всего 3 компонента включено - это Поиск, Контакты и Ссылки, а зачем больше то? Ну да пилил руками... Походу дела учился, но результат того стоит! Выбирайте надежный проверенный хостинг. Не ведитесь на "хостинг для Joomla за 99 рублей". Какой может быть хостинг для Joomla скажите мне? Она может работать и на апаче и на nginx и т.п. И тут влияет скорее скорость работы и возможности, но хостинга или VPS\VDS, а не Joomla. Откажитесь от вареза(!) лучше за работу получить на 1000руб меньше, чем потом ночи сидеть и все переделывать, или платить деньги за лечение. Перед тем как поставить расширение подумайте - а надо ли оно вам? Проверьте его на уязвимости, просто пролистав списки уязвимостей расширений на оф сайте уязвимостей Joomla. Если оно Вам больше не нужно не оставляйте его, можно конечно и выключить, но лучше удалить и проверить все ли файлы удалились.
И наконец следите за свой виндой. Ну или переходите на *nix или MAC если Вы дизайнер.

Langoliers
Прочиатал половину, дальше букав не осилил в целом политика ясна - Вы все ***ы, которые сами мне даете ключи, а потом плачитесь что у вас забрали печенько.
Будьте бдительны)))

SmokerMan, в точку!
_{действительно, что то я распиразболтался не на шутку}

И наконец следите за свой виндой

ВОТ С ЭТИМ НА ВСЕ 100 согласен!

не взломан не один из 12 сайтов созданных мной, все висят на мультихосте(не реклама)
даже тех кто висит в топ1-3(рекламные места яндекса) не ломанули, дело не в Joomla а в вирусах в компе я так понимаю, у меня стоит аваст
ну и в раздаче этих кодов кому попало

узнал сегодня от знакомого что его ломанули сайт висит на best-hoster.ru   я зашел нашел 3000 вирусов  пичалька

вот думаю лечить и переводить к себе под крыло или не стоит?
вычитал что заражение идет через файл post.php  зарытый в фтп(чаще в папке images)


если у кого то он есть, выложите плз его код что бы искать другие файлы, ведь не все же на автомате засовывали пост, некоторые хакеры наверно переименовывали

Подскажите, есть методы автоматического удаления такого кода, например скриптом, если есть подскажите.

Благодарю за ссылку.

А я то думаю, что случилось. У меня хостинг на регру, поломали не только Joomla 1.5.25, но и одну из платных cms. Только сегодня долечил. Сидел как дурак вручную вычищал. Если бы не форум - еще бы 2 дня сидел.

у знакомого тоже помимо жумлы еще modx попал под раздачу, правда только 1 файл

Народ, помогайте.
Только на одной странице сайта http://kompanec.ru/index.php?option=com_formcalc&view=formcalc&formid=1&Itemid=24 появилась надпись:
Found
The document has moved here.
Apache/2.2.16 (Debian) Server at delashop.ru Port 80"

Пробовал искать Notepad++ по всему сайту на предмет eval и base64 - ничего. глушняк. По измененным файлам тоже ничего. В шаблоне все чисто, index.php в корне тоже нормален. В images никаких php. FTP отключил напрочь - есть прямой достп к серверу. Может кто подскажет, куда копать?

MD5 ищи ))    The MD5 Message-Digest Algorithm

попробовал просто поискать по "MD5" - ничего похожего не нашел. Статью просмотрел, но ведь MD5 встречается и в мирных целях- пароли пользователей. И потом, когда удалил полностью компонент и плагин, которые выводят конкретно эту страницу и даже руками вычистил папки, осталась только эта надпись, то есть генерируется она откуда-то еще. НО! Больше нигде этой надписи нет.

plg_formcalc_1.5\formcalc.php   строка 119

Функция
ob_start(); 

дальше   строка    143
$host = "delashop.ru/host.php?"; 

короче копай там

Вот мне не понятно если качал с оф сайта то нах им это надо ?
Или не с оф сайта ?

plg_formcalc_1.5\formcalc.php   строка 119

Функция
ob_start();  

дальше   строка    143
$host = "delashop.ru/host.php?";

короче копай там

Вот мне не понятно если качал с оф сайта то нах им это надо ?
Или не с оф сайта ?

Качал с официального: http://delajoom.ru/index.php/o-komponente-formcalc
Кстати, у них на какой-то странице эта фигня тоже есть. Написал их админу в аську - молчит

Закомментировал весь этот блок - не помогло.

Помогл от этот совет http://joomlaforum.ru/index.php/topic,145164.msg1103032.html#msg1103032