Форум русской поддержки Joomla!® CMS
09.12.2016, 00:12:37 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Взломали сайт

 (Прочитано 407 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Gammy2005
Захожу иногда
**

Репутация: +2/-0
Offline Offline

Сообщений: 16


« : 17.05.2015, 18:19:57 »

Всем доброго дня!
Сегодня обнаружил, что взломали сайт. (Joomla 1.5.26, хостинг Jino).
Подменили штатный index.php на свой. Код файла:

Код
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en">
<head>
<meta http-equiv="content-type" content="application/xhtml+xml; charset=UTF-8"/>
<script type="text/javascript">
//<![CDATA[
try{if (!window.CloudFlare) {var CloudFlare=[{verbose:0,p:0,byc:0,owlid:"cf",bag2:1,mirage2:0,oracle:0,paths:{cloudflare:"/cdn-cgi/nexp/dok3v=1613a3a185/"},atok:"a78184c706c33dc44a5b30d889a4063a",petok:"a60bc7663309c7488f1e4f37c30edd72b815c009-1431818995-1800",zone:"mirror-z.com",rocket:"0",apps:{}}];CloudFlare.push({"apps":{"ape":"cb3a868057f0a1a98992185ae6ad4525"}});!function(a,b){a=document.createElement("script"),b=document.getElementsByTagName("script")[0],a.async=!0,a.src="//ajax.cloudflare.com/cdn-cgi/nexp/dok3v=7e13c32551/cloudflare.min.js",b.parentNode.insertBefore(a,b)}()}}catch(e){};
//]]>

</script>
</head>
<html xmlns="http://www.w3.org/1999/xhtml">
<html><head><title>Security ***erz :))</title>
<link href="http://fonts.googleapis.com/css?family=Share+Tech+Mono" rel="stylesheet" type="text/css">
<link href="http://fonts.googleapis.com/css?family=Geo" rel="stylesheet" type="text/css">
</head>
<body style="background-color: white;">
<div align="center">
<br><br><br>
<center><img src="https://encrypted-tbn3.gstatic.com/images?q=tbn:ANd9GcTCaN7e3GCmLCJovmLlli5lnsaNBKvoK0f-sg5JwXi_sgGvkR_f">
<br><br>
<br>
<p><font style="color: rgb(0, 0, 0); text-shadow: rgb(0, 0, 0) 0px 1px 7px;" color="black" face="Share Tech Mono" size="6">Hacked By <font color="red" face="Share Tech Mono" size="6">DESTINY</font>
<br>
<br>
<font color="black" face="Share Tech Mono" size="5"> Saat 04:30 ve men helede yatmamiwam :/ </font><br><br><br>
<br>
<br>
<blink><font style="color: rgb(0, 0, 0); text-shadow: rgb(0, 0, 0) 0px 1px 7px;" face="Geo" size="2">
<br>
<br>
</font>
<center>
<p>
<iframe allowfullscreen="" frameborder="0" height="0" src="http://www.youtube.com/v/EmAmM_QBc40&feature=related&autoplay=1" width="0"></iframe> &nbsp;</p>
</blink></font></font></div>
</center>
</body></html>
 

Сменил пароль на FTP, поменял index.php на "родной". Пока "полёт нормальный.
 Где еще стоит посмотреть? Может быть кто-то с таким сталкивался?
Записан
wishlight
Профи
********

Репутация: +200/-1
Online Online

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #1 : 17.05.2015, 18:23:34 »

JCE стоит старый?
Записан
Gammy2005
Захожу иногда
**

Репутация: +2/-0
Offline Offline

Сообщений: 16


« Ответ #2 : 17.05.2015, 18:29:57 »

Только это:
TinyMCE
wysiwygPro3
xstandard


Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2658


step by step


« Ответ #3 : 17.05.2015, 18:48:48 »

сканер айболит даст больше вариантов файлов с вредоносным кодом
Записан
Gammy2005
Захожу иногда
**

Репутация: +2/-0
Offline Offline

Сообщений: 16


« Ответ #4 : 17.05.2015, 18:58:52 »

Спасибо, завтра попробую!
Записан
Gammy2005
Захожу иногда
**

Репутация: +2/-0
Offline Offline

Сообщений: 16


« Ответ #5 : 18.05.2015, 14:12:08 »

Ну вроде разобрался!
параллельно крутился сайт на Joomla 1.0.15, вот там в самом деле был JCE.
Ну и еще много попыток POST было к com_comprofiler.
Прибил JCE, IP-адреса заблокировал в .htaccess
Поглядим
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet