26 апреля 2015 г. обнаружен взлом сайта на CMS Joomla 3.x (есть ли способы защиты от таких ситуаций?

  • 29 Ответов
  • 5393 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

Оффлайн admi5575

Здравствуйте уважаемые дамы и господа!
26 апреля 2015 г. обнаружен взлом сайта на CMS Joomla 3.x
Адрес сайта, который взломали: http://33point6mlnclub.ru
Хакеры оставили следующие надписи на сайтах.
Ссылка на скриншот сайта после взлома № 1.
https://fotki.yandex.ru/next/users/danilov2018/album/166489/view/939850
Ссылка на скриншот сайта после взлома № 2.
https://fotki.yandex.ru/next/users/danilov2018/album/166489/view/939849
Дело в то, что движок на сайте клуба "33, 6 миллиона" абсолютно новый. Я его постоянно обновляю. Более того, я спрятал адрес входа в административную панель с помощью специального плагина.
Этот адрес вообще никто не знал кроме меня. Тем не менее хакеры умудрились найти вход в админку и взломали каким-то образом сайт. Обратите внимание, что они оставили надпись: "Hacker expert was here!". Что означает: "Хакер-эксперт был здесь!".
Уважаемые дамы и господа! Как грамотно защитить свои сайты от взломов? Какие последовательные шаги необходимо предпринять?
Спасибо, что уделили время на прочтение письма.

*

Онлайн voland

  • ********
  • 9939
  • [+]520 / [-]101
  • Пол: Мужской
  • СКАЙП утерян! Пишите в телеграм @volandku
    • Просмотр профиля
    • webstudio.pro
Варез использовался?
Какие версии движка и расширений стоят?


*

Оффлайн admi5575

Здравствуйте уважаемый Voland!
Версия CMS: Joomla! 3.4.1 Stable [ Ember ] 21-March-2015 20:30 GMT.
Варез не использовался. Шаблон бесплатный с официального сайта Hurricane Media.
Используются также следующие компоненты:
-Akeeba Backup;
- ChronoForms 5;
- Kunena Forum;
- Mobile Joomla;
- Phoca Gallery;
- Xmap.
Компоненты вроде бы все скачивались с официальных сайтов производителей.

*

Оффлайн admi5575

На хостинге 3 сайта.
CMS системы устанавливались автоматически из тех сборок, которые предлагала хостинговая компания (компания SWEB, входит в пятерку крупнейших хостинговых компаний России).

*

Оффлайн draff

  • *******
  • 2819
  • [+]174 / [-]5
  • Пол: Мужской
  • step by step
    • Просмотр профиля
сканер айболит в помощь. А кто сказал что взлом через админку?

*

Оффлайн admi5575

Уважаемые дамы и господа!
Также информирую вас о следующем. Предыстория вопроса такова. некоторое время назад хостинговая компания жаловалась на то, что на сайты идет слишком большая нагрузка. Мы изучили log-файлы и пришли к выводу, что кто-то лезет в админку, подбирает пароль. Тогда мы предприняли следующие действия:
1. Сделали блокировку по IP адресам.
2. Я установил плагин, который меняет адрес входа в административную панель.
После предпринятых действий нагрузка на сервер снизилась.
Однако после нескольких месяцев произошел взлом.

*

Оффлайн admi5575

Да вы правы. На самом деле мне неизвестно как они попали на сайт. Через админку или нет.

*

Оффлайн admi5575

Спасибо за ссылку на сканер "Айболит".

*

Оффлайн zomby6888

Да уж, интересно где дырка. Скорее всего какое нибудь расширение. У вас там много всего. Лог запросов есть? Может форму авторизации на что главной ломали..
А ну и вот еще http://33point6mlnclub.ru/index.php/component/users/?view=login
« Последнее редактирование: 26.04.2015, 19:15:02 от zomby6888 »
интернет-блог: http://websiteprog.ru

*

Оффлайн admi5575

Здравствуйте!
Логи есть. Логи мы записываем на каждый сайт.

*

Оффлайн admi5575

Добрый вечер.
Что касается данной ссылки: http://33point6mlnclub.ru/index.php/component/users/?view=login
Здесь у меня сделана регистрация для форума. Считаете что она плохо сделана? Лучше ее убрать на всякий случай? Тогда сайт останется без регистрации.
Честно говоря по формам регистрации я не специалист. Есть более надежные компоненты для форм регистрации на форуме Kunena?

*

Онлайн voland

  • ********
  • 9939
  • [+]520 / [-]101
  • Пол: Мужской
  • СКАЙП утерян! Пишите в телеграм @volandku
    • Просмотр профиля
    • webstudio.pro
- ChronoForms 5;
- Kunena Forum;
- Mobile Joomla;
- Phoca Gallery;
- Xmap.
Компоненты вроде бы все скачивались с официальных сайтов производителей.
Xmap же закрыт, причем вроде одна из причин была в уязвиморстях..

*

Оффлайн capricorn

Цитировать
26 апреля 2015 г. обнаружен взлом сайта на CMS Joomla 3.x

обнаружен 26 апр или взломали 26 апр?

*

Оффлайн zomby6888

Есть более надежные компоненты для форм регистрации на форуме Kunena?

Есть большие сомнения по поводу надежности этого компонента.  CAPTCHA, что у вас там прикручена обходится на раз -  два. И вообще не факт что вас ломали подборкой паролей. Есть и другие способы.
интернет-блог: http://websiteprog.ru

*

Оффлайн capricorn

надо ассess log посмотреть в интервале появления этой картинки. хотя, я думаю, ее появление совпало со взломом.
« Последнее редактирование: 26.04.2015, 22:21:07 от capricorn »

*

Оффлайн zomby6888

Какая версия Kunena кстатии? Я вот читаю там полно уязвимостей в третьей версии, причем довольно серьезные xss и sql инъекции возможны. вот например:
http://packetstormsecurity.com/files/127683/Joomla-Kunena-Forum-3.0.5-SQL-Injection.html
интернет-блог: http://websiteprog.ru


*

Оффлайн admi5575

Доброго времени суток!
Продолжу подробно отвечать на ваши вопросы. По поводу версий CMS Joomla. Нет, на всех трех сайтах самая последняя версия и сайты регулярно обновляются.

*

Оффлайн admi5575

Отвечаю на ваш вопрос по поводу версии компонента "форум Kunena". Версия 3.0.8.

*

Оффлайн admi5575

Уважаемый Сapricorn!
По поводу даты взлома. Скорей всего взлом сайта клуба произошел в период с 20 апреля 2015 г. по 26 апреля 2015 г. Когда точно, сказать трудно. Log файлы я еще не смотрел. Факт взлома был обнаружен мной сегодня (26 апреля 2015 г.).

*

Оффлайн capricorn

я бы предложил поставить "растяжку" на случай повторного захода бота - скрипт в cron каждые 30 минут на обнаружение изменений в файлах с сообщением на почту. даже если взломали по ftp, все равно можно будет увидеть когда это произошло.

https://github.com/lucanos/Tripwire
« Последнее редактирование: 26.04.2015, 23:44:16 от capricorn »

*

Оффлайн winstrool

  • ******
  • 802
  • [+]41 / [-]2
  • Пол: Мужской
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
а два других сайта на одном аккаунте какие?, могли также и через них ломануть!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Оффлайн flyingspook

Ооо да тут "битва экстрасенсов".
Что гадать, судя по списку расширений, установлено масса "дырявых" и 100% не обновлялись, еще и движки не с оф. сайта
В чем вопрос то, вам аудит надо? Или погадать вместе с вами?
У вас в руках логи вот их и смотрите. Остальное все на ТНТ там все экстрасенсы.
Вам хостер про нагрузку писал, вы не стали смотреть/искать и устранять, а начали админки закрывать не понятно за чем переименовывать их, все намного проще ставите HTTP авторизацию на папку средствами Apache.

*

Оффлайн capricorn

Цитировать
У вас в руках логи вот их и смотрите

Конечно. Найдем.

*

Оффлайн admi5575

Здравствуйте уважаемые дамы и господа!
По данной теме у меня есть дополнительная информация. Спешу ей с вами по делиться. От хостинговой компании, где расположен сайт мне пришло письмо, о том, что "на аккаунте обнаружено вредоносное содержимое". Письмо пришло уже после хакерской атаки (27 апреля).
Вот фрагмент письма от хостинговой компании:
"В ходе плановой проверки на Вашем аккаунте было обнаружено подозрительное, потенциально вредоносное, содержимое.
Ниже приведены пути к найденным файлам, а также их описание:

.../tmp/plupload/p19jku99t3j8a1vh1rmb4c21smm4.php : PHP.Hide"

Итак, вирус был обнаружен в папке tmp. Данный файл я удалил.
Возникает вопрос, как он мог туда попасть? Может быть у меня не были выставлены необходимые права для файлов и папок Joomla? Дело в том, что я почему-то решил, что при инсталляции третьей версии CMS Joomla права к папкам и файлам выставляются автоматически. Или я не прав? Посоветуйте, пожалуйста, где дополнительно почитать о том, как грамотно выставить права для папок Joomla третьей версии?

Более того, определил приблизительно дату хакерской атаки на сайт. Изменения в файле p19jku99t3j8a1vh1rmb4c21smm4.php были произведены 24 апреля 2015 года. Следовательно, скорее всего и атака была 24 апреля.

Уважаемые дамы и господа! Что вы можете посоветовать в свете вышесказанного?

*

Оффлайн flyingspook

Дату вы не определите по файлу, шел могли залить и пол года назад, а файл с "заразой" намного позже. Читайте логи ищите подтверждение своей даты, так и поймете дату взлома. Права на папки 755 на файлы 644 Joomla или другая cms разницы в правах нету, на некоторые файлы (если требуется) самостоятельно устанавливаются права 640 или 444 или 440, в каких либо дополнительных расширениях бывает что необходимо папки открывать на 777 но это не относится конкретно к Joomla.

*

Оффлайн winstrool

  • ******
  • 802
  • [+]41 / [-]2
  • Пол: Мужской
  • Свободен для работы
    • Просмотр профиля
    • Как вылечить сайт от вирусов?
Дату вы не определите по файлу
Тут я с вами поспорю! дату создания файла можно определить, ее нельзя править, а дату доступа и дату модификации можно!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Оффлайн flyingspook

Ни с кем спорить не буду, получится бесполезный холивар, просто файлы удаляются и заливаются, шелы по пол года на сайтах отлеживаются и потом применяются. И какую дату у каких файлов в этих случаях смотреть. Найдя файл с датой 01.01.1900 это не значит что у шела точно такая же дата, и не означает что файлы не модифицировали под сайт и не создавались с такой же датой как основные файлы сайта.

*

Оффлайн wishlight

  • ********
  • 3786
  • [+]221 / [-]1
  • Пол: Мужской
  • skype aqaus.com
    • Просмотр профиля
    • Aqaus
Да, тут и правда больше демагогии. Securitycheck поставить и посмотреть список уязвимостей тоже можно. Дефейсят обычно по приколу. Обычно пытаются получить выгоду.