Форум русской поддержки Joomla!® CMS
09.12.2016, 15:41:19 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Взломали сайт... Как избавиться от последствий?

 (Прочитано 411 раз)
0 Пользователей и 1 Гость смотрят эту тему.
richnz
Захожу иногда
**

Репутация: +6/-0
Offline Offline

Пол: Мужской
Сообщений: 24



« : 26.11.2015, 02:54:54 »

Всем привет!
На днях не смог зайти в админку (Joomla 3.3.3 + JoomGallery 3.1.1), ввожу логин и пароль, страница просто перезагружается и всё. В БД, менял пароли, создавал новых суперадминов - результат тот же.
Пишу хостеру, так мол и так, спасите-помогите... Получаю ответ:
Показать текстовый блок

На следующий день - сайт забанил хостер, с пометкой "Рассылает спам", (мне открыли доступ по IP). Первым делом я выкачал сайт и собрал его на денвере, и уже в локальной версии, на странице входа увидел это:
Показать текстовый блок

Далее действовал наугад - с чистой Joomla выдернул файл substr_replace.php и скормил с заменой "заболевшей" локальной версии сайта и... сразу зашел в админку. Это же сработало и с сайтом на хостинге.
Создал нового суперадмина, логин, пароль. В корне нашел папку с названием 2000GT в которой было несколько сотен HTML файлов с ссылками ведущими на какие-то азиатские сайты, папку удалил. В файле .htaccess был в самом верху строки
Показать текстовый блок
Заменил этот файл на оригинальный. Еще в корне появились файлы week.php, db.php, error.php, include.php, license.php, proxy.php, session.php некоторые пустые, некоторые со странным содержимым, так же их удалил. При проверке исходящих ссылок увидел только одну, вела она на сайт какого-то сервера, моих ссылок не было совсем никаких, ни внутренних, ни внешних. После проделанных вышеописанных действий - чужая ссылка пропала, все мои ссылки появились.

Сейчас обновился до Joomla 3.4.5 Копаюсь в файлах, может найду какие нибудь "левые" ссылки закодированные в Base64. На этом мои и так слабые знания заканчиваются.
В связи со всем приключившимся прошу совет. Как вычистить "заразу" с сайта, куда копать и на что обратить внимание, и как обезопаситься на будущее от подобных неприятностей?
Спасибо!

p.s. в файле defines.php было в base64 закодировано это:
Показать текстовый блок
Подскажите пожалуйста, что это за URL такой, "опасный" или нет?
« Последнее редактирование: 26.11.2015, 03:34:39 от richnz » Записан
wishlight
Профи
********

Репутация: +201/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #1 : 26.11.2015, 10:57:39 »

Чистить с помощью скрипта ai-bolit. Обновляться вовремя.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #2 : 26.11.2015, 14:58:48 »

Цитировать
Как избавиться от последствий?
Как минимум для начало перечитать данный раздел.
Записан
jlend
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 34


« Ответ #3 : 26.11.2015, 20:28:29 »

Joomla 3.3.3 давно пора было на 3.4.5 обновить, а теперь чистите все вредоносное и обновляйте движок и расширения
Записан
richnz
Захожу иногда
**

Репутация: +6/-0
Offline Offline

Пол: Мужской
Сообщений: 24



« Ответ #4 : 26.11.2015, 20:39:21 »

Чистить с помощью скрипта ai-bolit
Большое спасибо! Этот скрипт мне очень помог.
для начало перечитать данный раздел
Уже читаю, спасибо. Испугался просто сразу, запаниковал, подумал будет быстрее спросить, чем копать n-страниц... Теперь поспокойнее стало, изучаю форум.
давно пора было на 3.4.5
Теперь я это точно запомню)) Спасибо)
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet