Форум русской поддержки Joomla!® CMS
09.12.2016, 19:25:27 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Взлом сайта через админку

 (Прочитано 949 раз)
0 Пользователей и 1 Гость смотрят эту тему.
art-m1987
Осваиваюсь на форуме
***

Репутация: +1/-1
Offline Offline

Сообщений: 124



« : 19.06.2015, 12:46:21 »

Доброе утро!
Последние несколько месяцев наш сайт (сейчас он закрыт) постоянно взламывают. При чем, откровенно говоря, смысла его взламывать нет, так ка кон не очень посещаем, и выполняет ознакомительную функцию. Никакой рекламы и т.д. (сайт благотворительной организации). Я посмотрел лог, идет постоянная атака через админку. И я не знаю, как с этим бороться!Много раз восстанавливал, но на дню бывает 1-2 раза ломают. очевидно, что где-то дырка, о ГДЕ, не могу понять. Вот последнее из лога

2015-06-19   05:58:26   INFO   84.253.68.178   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   06:15:43   INFO   155.94.220.232   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   06:28:08   INFO   192.77.242.147   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   06:33:52   INFO   104.207.67.164   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   06:35:05   INFO   82.211.23.34   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   06:36:40   INFO   195.154.169.222   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   06:56:31   INFO   151.237.186.75   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   06:57:52   INFO   89.36.65.30   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   07:05:35   INFO   45.62.55.214   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   07:06:55   INFO   82.211.57.172   Joomla FAILURE:    Пустой пароль не допускается
2015-06-19   07:17:52   INFO   117.169.1.117   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   07:30:09   INFO   107.182.116.33   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   07:34:00   INFO   75.127.5.78   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   07:47:57   INFO   78.129.131.253   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   08:07:14   INFO   199.188.102.23   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   08:12:56   INFO   107.169.7.49   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   08:20:37   INFO   93.118.70.161   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   08:32:16   INFO   173.232.118.230   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте

После взлома на сайте появляется какое-то сообщение об исламистах и прочая хрень.
Записан
JLang
Осваиваюсь на форуме
***

Репутация: +17/-0
Offline Offline

Пол: Мужской
Сообщений: 107



« Ответ #1 : 19.06.2015, 13:17:43 »

Закройте доступ в админку со всех IP, кроме нужных через .htaccess, размещённый в папке administrator
Код:
Order deny,allow
deny from all
Allow from XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
Где XXX.XXX.XXX.XXX - ваши IP адреса (или ваших сотрудников)
Необязательно указывать полный адрес (если динамические) Можно указать только начальный подсети
Список адресов через пробел.

Затем ищите проблемный код или обращайтесь к специалистам по поиску.

Это только если через админку.
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #2 : 19.06.2015, 13:27:41 »

ещё можно быстрее-плагином защиты, плагин изменит путь админки, если вы ИП не хотите менять и/или напрягаться
http://extensions.joomla.org/extension/jsecure
но есть и фри версии, поиск в руки и гоу.
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2287



« Ответ #3 : 19.06.2015, 13:38:08 »

Ну и мои 5 копеек - поставьте модуль защиты от брута (хотя и JSeсure порой достаточно, чтоб руки обломить).

Закройте доступ в админку со всех IP, кроме нужных через .htaccess, размещённый в папке administrator

Если бот юзает прокси, то это бесполезно.
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2659


step by step


« Ответ #4 : 19.06.2015, 14:04:27 »

Смотреть нужно лог доступа хостинга access.log , насчет взлома
А это обычный лог, у тех, кто не закрыл папку /admnistrator базовой http аутентификацией
Записан
Apoca1ypto
Завсегдатай
*****

Репутация: +63/-0
Offline Offline

Пол: Мужской
Сообщений: 617



« Ответ #5 : 19.06.2015, 14:20:55 »

А это обычный лог, у тех, кто не закрыл папку /admnistrator базовой http аутентификацией
Самое простое и отличное решение (http аутентификация смотрим тут)... а не использовать различного рода плагины jsecure и т.д.
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #6 : 19.06.2015, 14:25:01 »

Самое простое и отличное решение (http аутентификация смотрим тут)... а не использовать различного рода плагины jsecure и т.д.

а чем вам не понравился плагин? я просто имелл ввиду быстро: поставил, включил
я использую его, что вам в коде не нравиться в нём?
цель-админку не видит бот и тот, кто хочет поломать подбором или дос атаки на админку.
не понял ваше "фэ"
Записан
Apoca1ypto
Завсегдатай
*****

Репутация: +63/-0
Offline Offline

Пол: Мужской
Сообщений: 617



« Ответ #7 : 19.06.2015, 14:35:28 »

а чем вам не понравился плагин? я просто имелл ввиду быстро: поставил, включил
я использую его, что вам в коде не нравиться в нём?
цель-админку не видит бот и тот, кто хочет поломать подбором или дос атаки на админку.
не понял ваше "фэ"
Есть же отличный способ защиты с помощью .htpasswd который как раз и создан чтобы ограничить доступ, зачем усложнять и устанавливать jsecure.
А фэ связано с тем, что переодически появляются темы на форуме - "ОМГ ! адин адин".. поставил jsecure, теперь не могу попасть в админку... =)))
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #8 : 19.06.2015, 14:42:14 »

ну не может попасть-значит провтыкал ссылку и имя в плагине, это уже личные проблемы.
вот есть интересное высказывание ...

можно запрет в хтсесе:
Показать текстовый блок
« Последнее редактирование: 19.06.2015, 20:29:39 от flyingspook » Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2659


step by step


« Ответ #9 : 19.06.2015, 14:42:49 »

А если закрыть сразу в nginx, до запуска апач, то будет существенная экономия ресурса хостинга.
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #10 : 19.06.2015, 14:48:08 »

мой пост(код) запретит в корне выполнение скриптов злоумышленника.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #11 : 19.06.2015, 20:29:14 »

вот есть интересное высказывание ...


это что спам на варез, или как
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #12 : 19.06.2015, 22:02:30 »

это что спам на варез, или как
думал не варез))) протупил.вытри
ну и все мои с этим.ты же модер, сам решишь!
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #13 : 20.06.2015, 11:11:12 »

ТС, какие у вас установлены компоненты? версия движка? было бы отлично если логи доступов сохранились "access_log" бывают такие уязвимсоти, что и доступа к админке и не надо.... Чистите сайт, наводите профилактические работы и все будет пучком!
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet