Форум русской поддержки Joomla!® CMS
08.12.2016, 02:18:29 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

26 апреля 2015 г. обнаружен взлом сайта на CMS Joomla 3.x (есть ли способы защиты от таких ситуаций?

 (Прочитано 4539 раз)
0 Пользователей и 1 Гость смотрят эту тему.
admi5575
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 36


« : 26.04.2015, 17:21:04 »

Здравствуйте уважаемые дамы и господа!
26 апреля 2015 г. обнаружен взлом сайта на CMS Joomla 3.x
Адрес сайта, который взломали: http://33point6mlnclub.ru
Хакеры оставили следующие надписи на сайтах.
Ссылка на скриншот сайта после взлома № 1.
https://fotki.yandex.ru/next/users/danilov2018/album/166489/view/939850
Ссылка на скриншот сайта после взлома № 2.
https://fotki.yandex.ru/next/users/danilov2018/album/166489/view/939849
Дело в то, что движок на сайте клуба "33, 6 миллиона" абсолютно новый. Я его постоянно обновляю. Более того, я спрятал адрес входа в административную панель с помощью специального плагина.
Этот адрес вообще никто не знал кроме меня. Тем не менее хакеры умудрились найти вход в админку и взломали каким-то образом сайт. Обратите внимание, что они оставили надпись: "Hacker expert was here!". Что означает: "Хакер-эксперт был здесь!".
Уважаемые дамы и господа! Как грамотно защитить свои сайты от взломов? Какие последовательные шаги необходимо предпринять?
Спасибо, что уделили время на прочтение письма.
Записан
voland
Профи
********

Репутация: +488/-86
Online Online

Пол: Мужской
Сообщений: 8720


любит наш народ всякое гавно...


« Ответ #1 : 26.04.2015, 17:25:43 »

Варез использовался?
Какие версии движка и расширений стоят?
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3488


skype aqaus.com


« Ответ #2 : 26.04.2015, 17:33:17 »

Какая версия Joomla. Сколько сайтов на хостинге?
Записан
admi5575
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 36


« Ответ #3 : 26.04.2015, 17:40:03 »

Здравствуйте уважаемый Voland!
Версия CMS: Joomla! 3.4.1 Stable [ Ember ] 21-March-2015 20:30 GMT.
Варез не использовался. Шаблон бесплатный с официального сайта Hurricane Media.
Используются также следующие компоненты:
-Akeeba Backup;
- ChronoForms 5;
- Kunena Forum;
- Mobile Joomla;
- Phoca Gallery;
- Xmap.
Компоненты вроде бы все скачивались с официальных сайтов производителей.
Записан
admi5575
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 36


« Ответ #4 : 26.04.2015, 17:42:17 »

На хостинге 3 сайта.
CMS системы устанавливались автоматически из тех сборок, которые предлагала хостинговая компания (компания SWEB, входит в пятерку крупнейших хостинговых компаний России).
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2657


step by step


« Ответ #5 : 26.04.2015, 17:50:33 »

сканер айболит в помощь. А кто сказал что взлом через админку?
Записан
admi5575
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 36


« Ответ #6 : 26.04.2015, 17:57:05 »

Уважаемые дамы и господа!
Также информирую вас о следующем. Предыстория вопроса такова. некоторое время назад хостинговая компания жаловалась на то, что на сайты идет слишком большая нагрузка. Мы изучили log-файлы и пришли к выводу, что кто-то лезет в админку, подбирает пароль. Тогда мы предприняли следующие действия:
1. Сделали блокировку по IP адресам.
2. Я установил плагин, который меняет адрес входа в административную панель.
После предпринятых действий нагрузка на сервер снизилась.
Однако после нескольких месяцев произошел взлом.
Записан
admi5575
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 36


« Ответ #7 : 26.04.2015, 17:58:28 »

Да вы правы. На самом деле мне неизвестно как они попали на сайт. Через админку или нет.
Записан
admi5575
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 36


« Ответ #8 : 26.04.2015, 18:04:55 »

Спасибо за ссылку на сканер "Айболит".
Записан
zomby6888
Живу я здесь
******

Репутация: +168/-3
Offline Offline

Пол: Мужской
Сообщений: 1538


« Ответ #9 : 26.04.2015, 18:06:46 »

Да уж, интересно где дырка. Скорее всего какое нибудь расширение. У вас там много всего. Лог запросов есть? Может форму авторизации на что главной ломали..
А ну и вот еще http://33point6mlnclub.ru/index.php/component/users/?view=login
« Последнее редактирование: 26.04.2015, 18:15:02 от zomby6888 » Записан
admi5575
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 36


« Ответ #10 : 26.04.2015, 18:30:30 »

Здравствуйте!
Логи есть. Логи мы записываем на каждый сайт.
Записан
admi5575
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 36


« Ответ #11 : 26.04.2015, 18:34:53 »

Добрый вечер.
Что касается данной ссылки: http://33point6mlnclub.ru/index.php/component/users/?view=login
Здесь у меня сделана регистрация для форума. Считаете что она плохо сделана? Лучше ее убрать на всякий случай? Тогда сайт останется без регистрации.
Честно говоря по формам регистрации я не специалист. Есть более надежные компоненты для форм регистрации на форуме Kunena?
Записан
voland
Профи
********

Репутация: +488/-86
Online Online

Пол: Мужской
Сообщений: 8720


любит наш народ всякое гавно...


« Ответ #12 : 26.04.2015, 19:17:12 »

- ChronoForms 5;
- Kunena Forum;
- Mobile Joomla;
- Phoca Gallery;
- Xmap.
Компоненты вроде бы все скачивались с официальных сайтов производителей.
Xmap же закрыт, причем вроде одна из причин была в уязвиморстях..
Записан
capricorn
Живу я здесь
******

Репутация: +86/-0
Offline Offline

Сообщений: 1415


« Ответ #13 : 26.04.2015, 20:25:39 »

Цитировать
26 апреля 2015 г. обнаружен взлом сайта на CMS Joomla 3.x

обнаружен 26 апр или взломали 26 апр?
Записан
zomby6888
Живу я здесь
******

Репутация: +168/-3
Offline Offline

Пол: Мужской
Сообщений: 1538


« Ответ #14 : 26.04.2015, 20:55:21 »

Есть более надежные компоненты для форм регистрации на форуме Kunena?

Есть большие сомнения по поводу надежности этого компонента.  CAPTCHA, что у вас там прикручена обходится на раз -  два. И вообще не факт что вас ломали подборкой паролей. Есть и другие способы.
Записан
capricorn
Живу я здесь
******

Репутация: +86/-0
Offline Offline

Сообщений: 1415


« Ответ #15 : 26.04.2015, 21:13:51 »

надо ассess log посмотреть в интервале появления этой картинки. хотя, я думаю, ее появление совпало со взломом.
« Последнее редактирование: 26.04.2015, 21:21:07 от capricorn » Записан
zomby6888
Живу я здесь
******

Репутация: +168/-3
Offline Offline

Пол: Мужской
Сообщений: 1538


« Ответ #16 : 26.04.2015, 21:30:30 »

Какая версия Kunena кстатии? Я вот читаю там полно уязвимостей в третьей версии, причем довольно серьезные xss и sql инъекции возможны. вот например:
http://packetstormsecurity.com/files/127683/Joomla-Kunena-Forum-3.0.5-SQL-Injection.html
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3488


skype aqaus.com


« Ответ #17 : 26.04.2015, 22:00:20 »

Ни на одном сайте нет Joomla 3.3.6 и ниже?
Записан
admi5575
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 36


« Ответ #18 : 26.04.2015, 22:11:15 »

Доброго времени суток!
Продолжу подробно отвечать на ваши вопросы. По поводу версий CMS Joomla. Нет, на всех трех сайтах самая последняя версия и сайты регулярно обновляются.
Записан
admi5575
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 36


« Ответ #19 : 26.04.2015, 22:14:03 »

Отвечаю на ваш вопрос по поводу версии компонента "форум Kunena". Версия 3.0.8.
Записан
admi5575
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 36


« Ответ #20 : 26.04.2015, 22:17:41 »

Уважаемый Сapricorn!
По поводу даты взлома. Скорей всего взлом сайта клуба произошел в период с 20 апреля 2015 г. по 26 апреля 2015 г. Когда точно, сказать трудно. Log файлы я еще не смотрел. Факт взлома был обнаружен мной сегодня (26 апреля 2015 г.).
Записан
capricorn
Живу я здесь
******

Репутация: +86/-0
Offline Offline

Сообщений: 1415


« Ответ #21 : 26.04.2015, 22:35:43 »

я бы предложил поставить "растяжку" на случай повторного захода бота - скрипт в cron каждые 30 минут на обнаружение изменений в файлах с сообщением на почту. даже если взломали по ftp, все равно можно будет увидеть когда это произошло.

https://github.com/lucanos/Tripwire
« Последнее редактирование: 26.04.2015, 22:44:16 от capricorn » Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 726


Свободен для работы


« Ответ #22 : 26.04.2015, 23:37:00 »

а два других сайта на одном аккаунте какие?, могли также и через них ломануть!
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3534


« Ответ #23 : 27.04.2015, 11:07:41 »

Ооо да тут "битва экстрасенсов".
Что гадать, судя по списку расширений, установлено масса "дырявых" и 100% не обновлялись, еще и движки не с оф. сайта
В чем вопрос то, вам аудит надо? Или погадать вместе с вами?
У вас в руках логи вот их и смотрите. Остальное все на ТНТ там все экстрасенсы.
Вам хостер про нагрузку писал, вы не стали смотреть/искать и устранять, а начали админки закрывать не понятно за чем переименовывать их, все намного проще ставите HTTP авторизацию на папку средствами Apache.
Записан
capricorn
Живу я здесь
******

Репутация: +86/-0
Offline Offline

Сообщений: 1415


« Ответ #24 : 27.04.2015, 14:57:12 »

Цитировать
У вас в руках логи вот их и смотрите

Конечно. Найдем.
Записан
admi5575
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 36


« Ответ #25 : 28.04.2015, 10:33:26 »

Здравствуйте уважаемые дамы и господа!
По данной теме у меня есть дополнительная информация. Спешу ей с вами по делиться. От хостинговой компании, где расположен сайт мне пришло письмо, о том, что "на аккаунте обнаружено вредоносное содержимое". Письмо пришло уже после хакерской атаки (27 апреля).
Вот фрагмент письма от хостинговой компании:
"В ходе плановой проверки на Вашем аккаунте было обнаружено подозрительное, потенциально вредоносное, содержимое.
Ниже приведены пути к найденным файлам, а также их описание:

.../tmp/plupload/p19jku99t3j8a1vh1rmb4c21smm4.php : PHP.Hide"

Итак, вирус был обнаружен в папке tmp. Данный файл я удалил.
Возникает вопрос, как он мог туда попасть? Может быть у меня не были выставлены необходимые права для файлов и папок Joomla? Дело в том, что я почему-то решил, что при инсталляции третьей версии CMS Joomla права к папкам и файлам выставляются автоматически. Или я не прав? Посоветуйте, пожалуйста, где дополнительно почитать о том, как грамотно выставить права для папок Joomla третьей версии?

Более того, определил приблизительно дату хакерской атаки на сайт. Изменения в файле p19jku99t3j8a1vh1rmb4c21smm4.php были произведены 24 апреля 2015 года. Следовательно, скорее всего и атака была 24 апреля.

Уважаемые дамы и господа! Что вы можете посоветовать в свете вышесказанного?
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3534


« Ответ #26 : 28.04.2015, 10:55:01 »

Дату вы не определите по файлу, шел могли залить и пол года назад, а файл с "заразой" намного позже. Читайте логи ищите подтверждение своей даты, так и поймете дату взлома. Права на папки 755 на файлы 644 Joomla или другая cms разницы в правах нету, на некоторые файлы (если требуется) самостоятельно устанавливаются права 640 или 444 или 440, в каких либо дополнительных расширениях бывает что необходимо папки открывать на 777 но это не относится конкретно к Joomla.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 726


Свободен для работы


« Ответ #27 : 29.04.2015, 10:08:35 »

Дату вы не определите по файлу
Тут я с вами поспорю! дату создания файла можно определить, ее нельзя править, а дату доступа и дату модификации можно!
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3534


« Ответ #28 : 29.04.2015, 11:02:50 »

Ни с кем спорить не буду, получится бесполезный холивар, просто файлы удаляются и заливаются, шелы по пол года на сайтах отлеживаются и потом применяются. И какую дату у каких файлов в этих случаях смотреть. Найдя файл с датой 01.01.1900 это не значит что у шела точно такая же дата, и не означает что файлы не модифицировали под сайт и не создавались с такой же датой как основные файлы сайта.
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3488


skype aqaus.com


« Ответ #29 : 29.04.2015, 14:35:27 »

Да, тут и правда больше демагогии. Securitycheck поставить и посмотреть список уязвимостей тоже можно. Дефейсят обычно по приколу. Обычно пытаются получить выгоду.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet