Безопасность Joomla (Взломы - причины и следствия) - Безопасность сайтов на Joomla

Долго я держал себя в руках, но все же открою топик на эту тему, тк последнее время начинает конкретно надоедать все это.
У меня несколько десятков сайтов, все на разные таматики, версия Joomla 1.5 и 2.5
За последние два месяца частота заражения сайтов начинает напрягать.
Что есть.
К примеру:
Хостинг.
Пароль на FTP в 18 значений, в перемешку буквы и символы
ОС Mac os - сразу исключаю взлом через FTP (может я не прав - поясните)

Сайт Joomla 2.5.9
Стоит:
Akeeba (акиба не самой последней версии, тк PHP 5.2.17)
Zoo
JCE
Jcomments
RSFirewall
sh404SEF
AcyMailing
Widgetkit

на некоторых стоит VirtueMart

Это список основоного, так сказать.

Что обычно происходит.

Вариант 1:
Идет замена .htaccess файла (вписывается код в центр его ил ив конец.) Если права поставить 444, то файл переименовывается, а рядом кладется другой с кодом.

Вариант два 2:
Во всех JS файлах добавляется внизу строчка вида (бывают разные):

Вариант 3:
В огромном количестве. практически в каждой паке добавляется файл вида:
b18gr.php
с кодом: <?php echo "#!!#";
Зачем это делается - не пойму. Но некоторые компоненты перестают работать в админке. К примеру Акиба и ZOO
Поясните?

Вариант 4:

Этот вариант работает с вариантом 3 обычно. В некоторых папках создается второй файлик php с рандомным именем, но в нем уже код вида:


Иногда на версиях 1.5 можно найти залитый шелл в tmp папку или images, но сейчас вижу это редко.

Вопросы - как вы боритесь с этим? Меня интересует именно предотвращение заражения, а не как вычистить это все. Как чистить и так понятно, а вот как уберечься - не понимаю уже, тк обновления до последних версий не помогают.
Где искать дырку?
Знаю причины в том же JCE были, но сейчас на последних версиях вроде нет.
Была проблема с темой Bluestock для админки, но сейчас это тоже не актуально, вроде как.
Что делать? что делаете вы, как с этим жить?

Админ один ?

у части сайтов да. между собой не связаны.

расширения используете не из официальных источников? (шаблоны, модули, плагины, компоненты)

Сайт Joomla 2.5.9
Стоит:
1. Akeeba (акиба не самой последней версии, тк PHP 5.2.17)
2. Zoo
3. JCE
4. Jcomments
5. RSFirewall
6. sh404SEF
7. AcyMailing
8. Widgetkit

ТОчно не скажу, но:
6. 1 год - 39 убитых евнухов
8. Full версия как минимум 29 евреев

Если не платили, то вспоминайте про "Бесплатный сыр бывает только в мышеловке"
И если остальное скачивали не с официальных сайтов - то тоже-самое.

Так что дыры могут быть там.

А хостинг - у меня был один раз лом хостинга ... и пароль тоже не детский .... в духе "6dgam*lT0dK%B6uhR2"

ТОчно не скажу, но:
6. 1 год - 39 убитых евнухов

скажу точно - 3 года - 0 убитых :-) но стоит абсолютно нормальный, правда жутко устаревший
последний раз залили каку с год назад по учетке верстальщика и то только в папку /templates/шаблон/*, так как доступ был только в эту папку

Подскажите реально помогающие БЕСПЛАТНЫЕ  расширения для защиты сайта ?

Подскажите реально помогающие БЕСПЛАТНЫЕ  расширения для защиты сайта ?

по-моему ТС сам просит помощи, или вы его пост приняли за мануал?

Подскажите реально помогающие БЕСПЛАТНЫЕ  расширения для защиты сайта ?

Хм, а как еще назвать тему, чтобы можно было всем понятно, где можно ознакомится с отзывами о расширениях для защиты?
http://joomlaforum.ru/index.php/topic,195980.0.html

у меня сейчас такая же проблема. все сайты на Joomla 2.5.9 заражены этой же самой хренью. причем на одном сайте - вариант 2. а на другом и 3й и 4й тоже. не могу дыру найти. весь сайт скачал, вычистил, залил обратно на хост, через 5 минут опять эта гадость.
Что самое фиговое - код, упомянутый в пункте 2, периодически исчезает (правда после него остается ";" и в итоге в конце файлов видим: ;;;;;;;;;;;;.
Сам впервые с этим сталкиваюсь. Помогите, если кто может!
P.S. из перечисленных плагинов и компонентов - нет ничего. у меня есть: GKTabs, JSCEditor и aiContactSafe.

у меня сейчас такая же проблема. все сайты на Joomla 2.5.9 заражены этой же самой хренью. причем на одном сайте - вариант 2. а на другом и 3й и 4й тоже. не могу дыру найти.
Сам впервые с этим сталкиваюсь. Помогите, если кто может!

Как помочь ? Информация есть, расширения есть. Ссылка на платную помощь, в подписи

Недавно столкнулся с такой же проблемой)

Зачем это делается - не пойму. Но некоторые компоненты перестают работать в админке. К примеру Акиба и ZOO
Поясните?

Это делается видимо для того что бы прикрыть реальную дыру, которая описана в Вариант 4:. Но это мои предположения.

Адрес сайта можно увидеть? Есть предположения через что это делают.

только что поудалял кучу файлов описанных в варианте 4. теперь ни сайт, ни админка не грузятся

а вот если jHackGuard отключить, то все грузится

Сегодня разместил на хостинге шаблон. Админка работает хорошо, а вот сайт не открывается. При подключении коннектится к непонятному  хосту:  ... rebatesrule.net. Проверил другие сайты. Открываются, но все обращаются к этому же хосту. Проверил папки и БД - во всех JS файлах вариант 2. Подскажите для начала, как это вычистить?

На счет того как обезопаситься! как минимум знаю несколько эксплоитов только глядя уже по названым компонентам! вследствие чего можно получить целевой доступ к сестеме!
1. сначало закройте потенциально уязвимые месте в компонентах!
2. выставите правильные права на файлы и папки.
3. запретите доступ на выполнение каких либо файлов в папке tmp/
4. поставте дополнительную авторизацию на админку (бейсик авторизацию!)

Добрый день.
На моем сайте тоже постоянно в папке сайт/tmp/plupload появляются файлы типа logo.php или sesat_1.php
Кто может что-то посоветовать.
Файлы постоянно удаляю но через время появляются.
Хостинг выдает сообщения что на сайте вирус.
Сайт http://www.corporationdp.net

Как то попробовал запустить один из файлов http://www.corporationdp.net/tmp/plupload/mil.php
там как бы форма для загрузки

как думаете еще, для временного решения если на заливаемые файлы установить права доступа 000 для исключения их исполнения? Поможет это?
 !

Добрый день.
На моем сайте тоже постоянно в папке сайт/tmp/plupload появляются файлы типа logo.php или sesat_1.php
Кто может что-то посоветовать.
Файлы постоянно удаляю но через время появляются.
Хостинг выдает сообщения что на сайте вирус.
Сайт http://www.corporationdp.net

Как то попробовал запустить один из файлов http://www.corporationdp.net/tmp/plupload/mil.php
там как бы форма для загрузки

как думаете еще, для временного решения если на заливаемые файлы установить права доступа 000 для исключения их исполнения? Поможет это?
 !

вот момент этот уже обсуждался http://joomlaforum.ru/index.php/topic,195980.msg1573058.html#msg1573058

При много благодарю. Нашел что искал.

Больше чем уверен - виноват виртуальный хостинг.
Тоже была такая же ерунда, но когда перенёс сайты на VDS, такого больше ни разу не повторялось. Тьфу-тьфу-тьфу!

Больше чем уверен - виноват виртуальный хостинг.
Тоже была такая же ерунда, но когда перенёс сайты на VDS, такого больше ни разу не повторялось. Тьфу-тьфу-тьфу!

Да, частенько встречаются уязвимые хостинги, причем когда им сообщаешь, бьют себя в грудь и говорят что у них все пучком)))
P.S: Если не секрет у вас что за хостинг был?

Джино

Джино вообще просто сильно разрекламированный хостинг, не имеющий отношения к качеству. Как правило, ждать бесплатной или дешевой поддержки там не стоит.

конкретно, я находил багу в джино, которая до сих пор в приватах хранится... уж как полтора года...

я находил багу в джино

всегда знал, что им не стоит верить.