Форум русской поддержки Joomla!® CMS
06.12.2016, 04:55:40 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Постоянный взлом Joomla! 2.5.2 как бороться?

 (Прочитано 870 раз)
0 Пользователей и 1 Гость смотрят эту тему.
renataakhm
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 6


« : 03.10.2015, 13:14:03 »

Здравствуйте,

Имеется один рабочий сайт, на протяжении почти 4х лет, и все было нормально. Сайт обычный-продажа окон в нашем городе, так что особого интереса со стороны взломщиков быть не должно. Примерно с мая 2015 Google периодически закрывает нашу рекламу, так как находит вредоносные ссылки. Ссылки в мае были найдены, удалены. Примерно месяца 3 все было нормально. С сентября началась просто постоянная атака на сайт. Видела много тем именно с этой проблемой, описано как справиться с последствиями, а вот как предупредить - нет.

Проблемная ссылка - web-redirect.ru именно для мобильных устройств, каждый раз нахожу в папке includes/inc.class.php . Строку с ссылками для каждого устройства удалю, на следующий день снова появляется, реклама не работает..

FTP закрыт, левых юзеров ни в базе, ни в админе нет. Как найти дырку? Откуда все это появляется? Ковыряюсь уже месяц..
Логи смотрела - особо подозрительного ничего нет. Единственное было пару переходов на yandex с кучей зашифрованного чего-то... но это переход, возможно это кто-то попал на сайт как раз, когда ссылки были в файле.

Прошу помочь  Sad

Версия Joomla 2.5.2 (обновлений не предлагает)

Записан
KKAAZZOO
Практически профи
*******

Репутация: +101/-9
Offline Offline

Сообщений: 2084


« Ответ #1 : 03.10.2015, 13:24:53 »

Версия Joomla 2.5.2 (обновлений не предлагает)

А если посмотреть на Joomla.org, то какая версия должна быть? Как минимум 2.5.27 вроде последняя у второй версии
Записан
renataakhm
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 6


« Ответ #2 : 03.10.2015, 13:40:29 »

Обновила до 2.5.28, посмотрим, конечно... Но все же, если снова случится, где искать дыру??
Записан
KKAAZZOO
Практически профи
*******

Репутация: +101/-9
Offline Offline

Сообщений: 2084


« Ответ #3 : 03.10.2015, 13:46:14 »

Для начала читайте закрепленные темы раздела. Я думаю здесь  вам дадут конкретные советы, подождите
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2652


step by step


« Ответ #4 : 03.10.2015, 14:29:15 »

Сканер айболит в помощь.
Чем месяц тратить на поиск неизвестно чего, иначе б не спрашивали здесь на форуме совета что искать и где, так лучше установить новую Joomla 2.5.28 и используемые сторонние расширения и подключить старую базу данных. И потихоньку готовится к обновлению на Joomla 3.х.х
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #5 : 03.10.2015, 14:36:31 »

Если был взлом, обновление не поможет. Как выше писали, придется чистить сайт и лучше всего пока что работает сканер ai-bolit.
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2281



« Ответ #6 : 03.10.2015, 23:42:32 »

Вот ссылка. Там есть описание, инструкция и вся необходимая информация. Сами не справитесь, обращайтесь, поможем.
Записан
renataakhm
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 6


« Ответ #7 : 04.10.2015, 01:30:12 »

Спасибо за советы на счет айболита - обязательно попробую. В общем, весь день прошел, редирект не появился! НО не могу теперь войти в панель управления! Весь день занималась сайтом, все было нормально. Вечером вернулась - просит логин пароль, ввожу, показывает ошибку "500 - обнаружена ошибка.". Все перерыла, путь к logs и tmp правильный, в логах никаких ошибок не показывает. Случилось именно после обновления... видела много про htaccess пишут. Помню, при обновлении не удалось ему, кажется, htaccess обновить, но не уверенна.. Не хочу бэкап с хостинга запрашивать Sad ну что за напасть! вот мой htaccess, наверняка, есть, кто разбирается Sad помогите, пожалуйста..
Код:
##
# @package Joomla
# @copyright Copyright (C) 2005 - 2012 Open Source Matters. All rights reserved.
# @license GNU General Public License version 2 or later; see LICENSE.txt
##


##
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE!
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations.  It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file.  If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your SEF url's.  If they work,
# it has been set by your server administrator and you do not need it set here.
##

## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

## Mod_rewrite in use.

RewriteEngine On

## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End - Rewrite rules to block out some common exploits.

## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End - Custom redirects

##
# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##

#RewriteBase /

## Begin - Joomla! core SEF Section.
#

RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the request is for something within the component folder,
# or for the site root, or for an extensionless URL, or the
# requested URL ends with one of the listed extensions
RewriteCond %{REQUEST_URI} /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
## End - Joomla! core SEF Section.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #8 : 04.10.2015, 04:04:53 »

Спасибо за советы на счет айболита - обязательно попробую. В общем, весь день прошел, редирект не появился! НО не могу теперь войти в панель управления! Весь день занималась сайтом, все было нормально. Вечером вернулась - просит логин пароль, ввожу, показывает ошибку "500 - обнаружена ошибка.". Все перерыла, путь к logs и tmp правильный, в логах никаких ошибок не показывает. Случилось именно после обновления... видела много про htaccess пишут. Помню, при обновлении не удалось ему, кажется, htaccess обновить, но не уверенна.. Не хочу бэкап с хостинга запрашивать Sad ну что за напасть! вот мой htaccess, наверняка, есть, кто разбирается Sad помогите, пожалуйста..
Код:
##
# @package Joomla
# @copyright Copyright (C) 2005 - 2012 Open Source Matters. All rights reserved.
# @license GNU General Public License version 2 or later; see LICENSE.txt
##


##
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE!
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations.  It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file.  If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your SEF url's.  If they work,
# it has been set by your server administrator and you do not need it set here.
##

## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

## Mod_rewrite in use.

RewriteEngine On

## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End - Rewrite rules to block out some common exploits.

## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End - Custom redirects

##
# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##

#RewriteBase /

## Begin - Joomla! core SEF Section.
#

RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the request is for something within the component folder,
# or for the site root, or for an extensionless URL, or the
# requested URL ends with one of the listed extensions
RewriteCond %{REQUEST_URI} /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
## End - Joomla! core SEF Section.
htaccess норм, есть такая штука, когда есть доступ к примеру: phpmyadmyn, но не могут сбрутить ваш пасс, тогда подставляют свой пасс... заведомо хешь который известен, но со стороны взломщика "глупость" что не вернул родной обратно при измене пасса
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2281



« Ответ #9 : 04.10.2015, 09:10:38 »

тогда подставляют свой пасс...
Но тогда ей будет выводить сообщение "Неправильный логин или пароль", а не 500-ю ошибку.

Первое - попробуйте в configuration.php найти
Код
public $live_site = '';
и проверить, что бы он был пустым. Так же можно параметр
Код
public $offline = '1';
сделать равным 1 (это отключит сайт). Далее, попробуйте перезалить папку administrator из дистрибутива вашей версии. И обязательно проверьте пути (у вас они должны быть другими):
Код
public $log_path = '/home/httpd/vhosts/sitename/httpdocs/logs';
public $tmp_path = '/home/httpd/vhosts/sitename/httpdocs/tmp';
и проверить, что бы на папки tmp и logs права 755 стояли.

Если не поможет, можно попробовать в .htaccess закомменировать строку
Код
#Options +FollowSymLinks
или вообще переименовать его в htaccess.txt.

Если при входе появляется ошибка - неправильный логин или пароль, то это уже другая тема. Придется зайти в базу и сменить пароль.
« Последнее редактирование: 04.10.2015, 09:19:46 от SeBun » Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3529


« Ответ #10 : 04.10.2015, 11:43:52 »

включите показ ошибок в htaccess

Код:
php_flag display_errors on
php_value display_errors 0

если что покажет выложите тут, про белый экран тема есть
Записан
renataakhm
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 6


« Ответ #11 : 04.10.2015, 13:09:46 »

Перезалила папку админа, проверила все права, пути... вошла в панель! Но работало все как-то через раз.. В общем, перед обновлением я крутила с правами на всякие папки и файлы, ну чтоб мой inc.class.php перекрыть от изменений, и, видимо перекрутила Cheesy когда обновилась, некоторые файлы, в том числе index.php сохранить он и исправить не смог, вот все и полетело... Сейчас снова все установила, установилось в этот раз без каких либо предупреждений и ошибок. Теперь буду смотреть вылезет ли опять редирект.

Кстати, закралась идея, раз за сутки файл не был изменен, и все это время было невозможно зайти в панель даже мне, то, скорее всего все эти манипуляции с редиректами происходят именно с панели админа... в общем, буду ждать, отпишусь Azn спасибо!
Записан
renataakhm
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 6


« Ответ #12 : 04.10.2015, 13:42:58 »

Просканировала айболитом! вещь просто супер! Обнаружила по меньшей мере 5 файлов подозрительных, по мнению айболита. Просматриваю код, а там везде этот редирект и скрипт на изменение htaccess и как раз тот inc.class.php! мда...
Записан
renataakhm
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 6


« Ответ #13 : 04.10.2015, 18:13:24 »

Снова редирект, снова появились левые эти файлы, словно и не удаляла их..
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #14 : 04.10.2015, 18:33:51 »

Значит что-то не доделали. Вариант выкачать на локалку сайт, проверить целиком и закрыть дырки, очистить аккаунт хостинга, и залить сайт обратно.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet