Взломали сайт

  • 5 Ответов
  • 539 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

Взломали сайт
« : 17.05.2015, 19:19:57 »
Всем доброго дня!
Сегодня обнаружил, что взломали сайт. (Joomla 1.5.26, хостинг Jino).
Подменили штатный index.php на свой. Код файла:

Код: (html4strict) [Выделить]
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en">
<head>
<meta http-equiv="content-type" content="application/xhtml+xml; charset=UTF-8"/>
<script type="text/javascript">
//<![CDATA[
try{if (!window.CloudFlare) {var CloudFlare=[{verbose:0,p:0,byc:0,owlid:"cf",bag2:1,mirage2:0,oracle:0,paths:{cloudflare:"/cdn-cgi/nexp/dok3v=1613a3a185/"},atok:"a78184c706c33dc44a5b30d889a4063a",petok:"a60bc7663309c7488f1e4f37c30edd72b815c009-1431818995-1800",zone:"mirror-z.com",rocket:"0",apps:{}}];CloudFlare.push({"apps":{"ape":"cb3a868057f0a1a98992185ae6ad4525"}});!function(a,b){a=document.createElement("script"),b=document.getElementsByTagName("script")[0],a.async=!0,a.src="//ajax.cloudflare.com/cdn-cgi/nexp/dok3v=7e13c32551/cloudflare.min.js",b.parentNode.insertBefore(a,b)}()}}catch(e){};
//]]>
</script>
</head>
<html xmlns="http://www.w3.org/1999/xhtml">
<html><head><title>Security ***erz :))</title>
<link href="http://fonts.googleapis.com/css?family=Share+Tech+Mono" rel="stylesheet" type="text/css">
<link href="http://fonts.googleapis.com/css?family=Geo" rel="stylesheet" type="text/css">
</head>
<body style="background-color: white;">
<div align="center">
<br><br><br>
<center><img src="https://encrypted-tbn3.gstatic.com/images?q=tbn:ANd9GcTCaN7e3GCmLCJovmLlli5lnsaNBKvoK0f-sg5JwXi_sgGvkR_f">
<br><br>
<br>
<p><font style="color: rgb(0, 0, 0); text-shadow: rgb(0, 0, 0) 0px 1px 7px;" color="black" face="Share Tech Mono" size="6">Hacked By <font color="red" face="Share Tech Mono" size="6">DESTINY</font>
<br>
<br>
<font color="black" face="Share Tech Mono" size="5"> Saat 04:30 ve men helede yatmamiwam :/ </font><br><br><br>
<br>
<br>
<blink><font style="color: rgb(0, 0, 0); text-shadow: rgb(0, 0, 0) 0px 1px 7px;" face="Geo" size="2">
<br>
<br>
</font>
<center>
<p>
<iframe allowfullscreen="" frameborder="0" height="0" src="http://www.youtube.com/v/EmAmM_QBc40&feature=related&autoplay=1" width="0"></iframe> &nbsp;</p>
</blink></font></font></div>
</center>
</body></html>

Сменил пароль на FTP, поменял index.php на "родной". Пока "полёт нормальный.
 Где еще стоит посмотреть? Может быть кто-то с таким сталкивался?


Re: Взломали сайт
« Ответ #2 : 17.05.2015, 19:29:57 »
Только это:
TinyMCE
wysiwygPro3
xstandard



*

Оффлайн draff

  • *******
  • 2739
  • [+]174 / [-]5
  • step by step
    • Просмотр профиля
Re: Взломали сайт
« Ответ #3 : 17.05.2015, 19:48:48 »
сканер айболит даст больше вариантов файлов с вредоносным кодом

Re: Взломали сайт
« Ответ #4 : 17.05.2015, 19:58:52 »
Спасибо, завтра попробую!

Re: Взломали сайт
« Ответ #5 : 18.05.2015, 15:12:08 »
Ну вроде разобрался!
параллельно крутился сайт на Joomla 1.0.15, вот там в самом деле был JCE.
Ну и еще много попыток POST было к com_comprofiler.
Прибил JCE, IP-адреса заблокировал в .htaccess
Поглядим