0 Пользователей и 1 Гость просматривают эту тему.
  • 14 Ответов
  • 3173 Просмотров
*

renataakhm

  • Новичок
  • 6
  • 0 / 0
Здравствуйте,

Имеется один рабочий сайт, на протяжении почти 4х лет, и все было нормально. Сайт обычный-продажа окон в нашем городе, так что особого интереса со стороны взломщиков быть не должно. Примерно с мая 2015 Google периодически закрывает нашу рекламу, так как находит вредоносные ссылки. Ссылки в мае были найдены, удалены. Примерно месяца 3 все было нормально. С сентября началась просто постоянная атака на сайт. Видела много тем именно с этой проблемой, описано как справиться с последствиями, а вот как предупредить - нет.

Проблемная ссылка - web-redirect.ru именно для мобильных устройств, каждый раз нахожу в папке includes/inc.class.php . Строку с ссылками для каждого устройства удалю, на следующий день снова появляется, реклама не работает..

FTP закрыт, левых юзеров ни в базе, ни в админе нет. Как найти дырку? Откуда все это появляется? Ковыряюсь уже месяц..
Логи смотрела - особо подозрительного ничего нет. Единственное было пару переходов на yandex с кучей зашифрованного чего-то... но это переход, возможно это кто-то попал на сайт как раз, когда ссылки были в файле.

Прошу помочь  :(

Версия Joomla 2.5.2 (обновлений не предлагает)

*

KKAAZZOO

  • Живу я здесь
  • 2288
  • 118 / 9
Версия Joomla 2.5.2 (обновлений не предлагает)

А если посмотреть на Joomla.org, то какая версия должна быть? Как минимум 2.5.27 вроде последняя у второй версии
*

renataakhm

  • Новичок
  • 6
  • 0 / 0
Обновила до 2.5.28, посмотрим, конечно... Но все же, если снова случится, где искать дыру??
*

KKAAZZOO

  • Живу я здесь
  • 2288
  • 118 / 9
Для начала читайте закрепленные темы раздела. Я думаю здесь  вам дадут конкретные советы, подождите
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Сканер айболит в помощь.
Чем месяц тратить на поиск неизвестно чего, иначе б не спрашивали здесь на форуме совета что искать и где, так лучше установить новую Joomla 2.5.28 и используемые сторонние расширения и подключить старую базу данных. И потихоньку готовится к обновлению на Joomla 3.х.х
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Если был взлом, обновление не поможет. Как выше писали, придется чистить сайт и лучше всего пока что работает сканер ai-bolit.
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Вот ссылка. Там есть описание, инструкция и вся необходимая информация. Сами не справитесь, обращайтесь, поможем.
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

renataakhm

  • Новичок
  • 6
  • 0 / 0
Спасибо за советы на счет айболита - обязательно попробую. В общем, весь день прошел, редирект не появился! НО не могу теперь войти в панель управления! Весь день занималась сайтом, все было нормально. Вечером вернулась - просит логин пароль, ввожу, показывает ошибку "500 - обнаружена ошибка.". Все перерыла, путь к logs и tmp правильный, в логах никаких ошибок не показывает. Случилось именно после обновления... видела много про htaccess пишут. Помню, при обновлении не удалось ему, кажется, htaccess обновить, но не уверенна.. Не хочу бэкап с хостинга запрашивать :( ну что за напасть! вот мой htaccess, наверняка, есть, кто разбирается :( помогите, пожалуйста..
Код
##
# @package Joomla
# @copyright Copyright (C) 2005 - 2012 Open Source Matters. All rights reserved.
# @license GNU General Public License version 2 or later; see LICENSE.txt
##


##
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE!
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations.  It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file.  If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your SEF url's.  If they work,
# it has been set by your server administrator and you do not need it set here.
##

## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

## Mod_rewrite in use.

RewriteEngine On

## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End - Rewrite rules to block out some common exploits.

## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End - Custom redirects

##
# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##

#RewriteBase /

## Begin - Joomla! core SEF Section.
#

RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the request is for something within the component folder,
# or for the site root, or for an extensionless URL, or the
# requested URL ends with one of the listed extensions
RewriteCond %{REQUEST_URI} /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
## End - Joomla! core SEF Section.
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Спасибо за советы на счет айболита - обязательно попробую. В общем, весь день прошел, редирект не появился! НО не могу теперь войти в панель управления! Весь день занималась сайтом, все было нормально. Вечером вернулась - просит логин пароль, ввожу, показывает ошибку "500 - обнаружена ошибка.". Все перерыла, путь к logs и tmp правильный, в логах никаких ошибок не показывает. Случилось именно после обновления... видела много про htaccess пишут. Помню, при обновлении не удалось ему, кажется, htaccess обновить, но не уверенна.. Не хочу бэкап с хостинга запрашивать :( ну что за напасть! вот мой htaccess, наверняка, есть, кто разбирается :( помогите, пожалуйста..
Код
##
# @package Joomla
# @copyright Copyright (C) 2005 - 2012 Open Source Matters. All rights reserved.
# @license GNU General Public License version 2 or later; see LICENSE.txt
##


##
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE!
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations.  It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file.  If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your SEF url's.  If they work,
# it has been set by your server administrator and you do not need it set here.
##

## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

## Mod_rewrite in use.

RewriteEngine On

## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End - Rewrite rules to block out some common exploits.

## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End - Custom redirects

##
# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##

#RewriteBase /

## Begin - Joomla! core SEF Section.
#

RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the request is for something within the component folder,
# or for the site root, or for an extensionless URL, or the
# requested URL ends with one of the listed extensions
RewriteCond %{REQUEST_URI} /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
## End - Joomla! core SEF Section.
htaccess норм, есть такая штука, когда есть доступ к примеру: phpmyadmyn, но не могут сбрутить ваш пасс, тогда подставляют свой пасс... заведомо хешь который известен, но со стороны взломщика "глупость" что не вернул родной обратно при измене пасса
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
тогда подставляют свой пасс...
Но тогда ей будет выводить сообщение "Неправильный логин или пароль", а не 500-ю ошибку.

Первое - попробуйте в configuration.php найти
Код: ini
public $live_site = '';
и проверить, что бы он был пустым. Так же можно параметр
Код: ini
public $offline = '1';
сделать равным 1 (это отключит сайт). Далее, попробуйте перезалить папку administrator из дистрибутива вашей версии. И обязательно проверьте пути (у вас они должны быть другими):
Код: ini
public $log_path = '/home/httpd/vhosts/sitename/httpdocs/logs';
public $tmp_path = '/home/httpd/vhosts/sitename/httpdocs/tmp';
и проверить, что бы на папки tmp и logs права 755 стояли.

Если не поможет, можно попробовать в .htaccess закомменировать строку
Код: ini
#Options +FollowSymLinks
или вообще переименовать его в htaccess.txt.

Если при входе появляется ошибка - неправильный логин или пароль, то это уже другая тема. Придется зайти в базу и сменить пароль.
« Последнее редактирование: 04.10.2015, 08:19:46 от SeBun »
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
включите показ ошибок в htaccess

Код
php_flag display_errors on
php_value display_errors 0

если что покажет выложите тут, про белый экран тема есть
*

renataakhm

  • Новичок
  • 6
  • 0 / 0
Перезалила папку админа, проверила все права, пути... вошла в панель! Но работало все как-то через раз.. В общем, перед обновлением я крутила с правами на всякие папки и файлы, ну чтоб мой inc.class.php перекрыть от изменений, и, видимо перекрутила :D когда обновилась, некоторые файлы, в том числе index.php сохранить он и исправить не смог, вот все и полетело... Сейчас снова все установила, установилось в этот раз без каких либо предупреждений и ошибок. Теперь буду смотреть вылезет ли опять редирект.

Кстати, закралась идея, раз за сутки файл не был изменен, и все это время было невозможно зайти в панель даже мне, то, скорее всего все эти манипуляции с редиректами происходят именно с панели админа... в общем, буду ждать, отпишусь :) спасибо!
*

renataakhm

  • Новичок
  • 6
  • 0 / 0
Просканировала айболитом! вещь просто супер! Обнаружила по меньшей мере 5 файлов подозрительных, по мнению айболита. Просматриваю код, а там везде этот редирект и скрипт на изменение htaccess и как раз тот inc.class.php! мда...
*

renataakhm

  • Новичок
  • 6
  • 0 / 0
Снова редирект, снова появились левые эти файлы, словно и не удаляла их..
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Значит что-то не доделали. Вариант выкачать на локалку сайт, проверить целиком и закрыть дырки, очистить аккаунт хостинга, и залить сайт обратно.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Вирус редирект или взлом с редиректом Joomla 3.10

Автор Wany205

Ответов: 1
Просмотров: 922
Последний ответ 25.05.2023, 08:49:57
от Театрал
Скрипты защиты Joomla 4

Автор mister_boy

Ответов: 6
Просмотров: 1099
Последний ответ 16.05.2023, 16:38:58
от mister_boy
Похоже на взлом J! 3.5

Автор memo

Ответов: 7
Просмотров: 1453
Последний ответ 23.09.2022, 10:56:06
от marksetter
Поставил Joomla 4. Хостинг nic.ru стал ругаться на ошибки безопасности

Автор Oleg+

Ответов: 5
Просмотров: 1366
Последний ответ 13.09.2021, 09:23:28
от Oleg+
Joomla 1.5 и 2.5 на одном хостинге

Автор andreU

Ответов: 28
Просмотров: 13105
Последний ответ 25.04.2021, 19:42:48
от rsn