Форум русской поддержки Joomla!® CMS
10.12.2016, 20:39:57 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Взломали сайт

 (Прочитано 373 раз)
0 Пользователей и 1 Гость смотрят эту тему.
elvina
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 5


« : 28.08.2015, 11:25:19 »

Уважаемы профессионалы, помогите пожалуйста разобраться и решить проблему.
Недавно пропала админка, входишь как обычно м все.. белый экран. Эту проблему решили
Потом сайт пропадает из поиска Google и выясняется что вместо 140 страниц проиндексировано более 700, причем их на сайте нет.
Все страницы имеют адрес /caches/, которые выдают ошибку 404, и я в robots эту категорию закрыла
Потом обнаружила что на сайте появился новый админ, причем заблокированный(?), его удалила все пароли поменяла, даже адрес входа в админку сменила.
Сайт проверяли на наличие вирусов - все чисто, провайдер тоже говорит что все хорошо.
Вроде проблема решена, но через неделю Google индесирует уже 900 страниц, но Google вебмастер не показывает что есть ошибки.
Совершенно не понятно зачем это было сделано, в чем суть? ведь все новые страницы не открываются
и что делать? может на сайте этот новый "админ" установил какой-то код и как его найти?
помогите пожалуйста Angry
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2289



« Ответ #1 : 28.08.2015, 12:01:54 »

На каком движке сайт?

Если вы про elvina.com.ua, то в вашем случае нужно делать аналитику, выяснять, через какие уязвимости сайт был взломан и вычищать. Минимум, что вы можете сейчас сделать - это обновить вашу Joomla до версии 2.5.28, если ее версия ниже, а так же проверить сайт сканером ai-bolit. Это минимум.

Но ломают, как правило, через бажные расширения, их тоже нужно проверять и обновлять.

P.S. И защиту админки так не делают. Защитите ее с помощью .htpassword.
« Последнее редактирование: 28.08.2015, 12:11:03 от SeBun » Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2659


step by step


« Ответ #2 : 28.08.2015, 12:04:25 »

Ищи в файлах сайта строку с символами /caches/
и вызов функции file_get_contents, где указан адрес чужого сервера
Сканер айболит в помощь
Записан
wishlight
Профи
********

Репутация: +201/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #3 : 28.08.2015, 13:03:36 »

Да, скорее всего подгружается с наружи. Реально ai-bolit, manul от яндекса и антивирусы могут помочь найти залитые файлы. Кроме этого надо найти еще дыру и закрыть ее.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #4 : 28.08.2015, 13:38:59 »

Потом сайт пропадает из поиска Google и выясняется что вместо 140 страниц проиндексировано более 700, причем их на сайте нет.
Все страницы имеют адрес /caches/, которые выдают ошибку 404, и я в robots эту категорию закрыла
Это характерны показатель дорвея, скорее всего расчитанный под ПС, посмотрите как в Google сохранены эти страници и попробуйте сами зайти на эти страници от Google бота, сменив юзер агент на Google бота, щас еще в последнее время очень развит клоакинг IP, это то что выдается сугубо бот IP ботов, даже если смените юзер агент может не помочь, возможно также реакция именно на рефера ПС, т.е если вы перешли с ПС то отоброзится, иначе нет...
 
Потом обнаружила что на сайте появился новый админ, причем заблокированный(?), его удалила все пароли поменяла, даже адрес входа в админку сменила.
это конечно щас самый палевный способ так закрепляться, есть техники где вы вообще можите быть обычным юзером в системе с функционалом админа.

Сайт проверяли на наличие вирусов - все чисто, провайдер тоже говорит что все хорошо.
Вроде проблема решена, но через неделю Google индесирует уже 900 страниц, но Google вебмастер не показывает что есть ошибки.
Вопрос? чем проверяли? Лечение сайтов, это комплексный подход, тут не надо зацикливаться только на одних АВ и ai-bolite, тут нужно аналезировать все комплексно, ctime, mtime, поиск по регуляркам, как пример [0-9a-zA-Z/]{80} - где 80 можно сделать в разы меньше, анализ самого хостера, кстате какой хостер? и многое чего другого...

Совершенно не понятно зачем это было сделано, в чем суть? ведь все новые страницы не открываются
и что делать? может на сайте этот новый "админ" установил какой-то код и как его найти?
помогите пожалуйста Angry
Да все тут прекрасно понятно, не сможите справится самостоятельно оброщайтесь, есть темка с отзывами http://joomlaforum.ru/index.php/topic,256295.0.html

P.S: Лечение сайтов - это целое искусство понимание вещей, того как это все устроено и с чем это едят!
Записан
elvina
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 5


« Ответ #5 : 30.08.2015, 13:54:36 »

речь идет про сайт elvina-leschenko.com
Записан
elvina
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 5


« Ответ #6 : 30.08.2015, 14:03:21 »

спасибо, советы очень ценные для чайника)) попробую разобраться
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet