Форум русской поддержки Joomla!® CMS
17.08.2017, 21:33:09 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Основной курс по Joomla
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Защита Joomla

 (Прочитано 342 раз)
0 Пользователей и 1 Гость смотрят эту тему.
admincheg
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 112



« : 12.01.2017, 14:46:04 »

Несколько раз была атака на сайт.
Админ сервера пишет, что атака такого плана:

наблюдается повышенная нагрузка, вызвана работой сайта http://.../ , пример запросов

Цитировать
имя сайта   POST /administrator/index.php HTTP/1.1

в итоге сайт взломали и модифицировали файл .htaccess, прописав первой строкой denny from all

Я так подозреваю, что взломали именно Joomla, а не ftp логин и пароль.

Joomla 3.6.5.


Следы.
Посмотрел список пользователей в Joomla, там куча левых пользователей с именами типа kyxzhtsb, kbehp, 4BS47M, GG6EA5, yaidszeu.
Дата последнего входа - Никогда.
Дата регистрации разная, но все 1-2 месяца назад.

вот такие e-mail прописаны: ringcoslio1981@gmail.com, rasikhin.genrikh@mail.ru, kyxzhtsb@zxc.zxc, rogiv.uniqmacron@yandex.com, telecheva.taisya@mail.ru, yaidszeu@zxc.zxc.
« Последнее редактирование: 12.01.2017, 14:55:33 от admincheg » Записан
voland
Профи
********

Репутация: +520/-101
Online Online

Пол: Мужской
Сообщений: 9934


СКАЙП утерян! Пишите в телеграм @volandku


« Ответ #1 : 12.01.2017, 14:47:22 »

Такими запросами взлом сделать нельзя, можно только пароль подобрать.
Какая версия движка и какие расширения стоят?
Записан
ProtectYourSite
Живу я здесь
******

Репутация: +51/-4
Offline Offline

Сообщений: 838



« Ответ #2 : 12.01.2017, 14:56:34 »

Защита админки Joomla - это от перебора паролей
Записан
admincheg
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 112



« Ответ #3 : 12.01.2017, 14:56:55 »

список компонентов


Joomla версии 3.6.5.
Записан
admincheg
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 112



« Ответ #4 : 12.01.2017, 14:58:39 »

Защита админки Joomla - это от перебора паролей

удивительно, что сама Joomla не отфутболивает злоумышленника
Записан
admincheg
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 112



« Ответ #5 : 12.01.2017, 15:00:14 »

Можно ли поставить reCapcha на вход в админку?
Записан
admincheg
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 112



« Ответ #6 : 12.01.2017, 15:05:32 »

Получилось так, что злоумышленник через Joomla смог поменять .htaccess
Записан
admincheg
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 112



« Ответ #7 : 12.01.2017, 15:11:34 »

изучаю соседнюю тему
http://joomlaforum.ru/index.php?topic=273690.0
Записан
voland
Профи
********

Репутация: +520/-101
Online Online

Пол: Мужской
Сообщений: 9934


СКАЙП утерян! Пишите в телеграм @volandku


« Ответ #8 : 12.01.2017, 15:14:08 »

Следы.
Посмотрел список пользователей в Joomla, там куча левых пользователей с именами типа kyxzhtsb, kbehp, 4BS47M, GG6EA5, yaidszeu.
Дата последнего входа - Никогда.
Дата регистрации разная, но все 1-2 месяца назад.

вот такие e-mail прописаны: ringcoslio1981@gmail.com, rasikhin.genrikh@mail.ru, kyxzhtsb@zxc.zxc, rogiv.uniqmacron@yandex.com, telecheva.taisya@mail.ru, yaidszeu@zxc.zxc.
Так сразу бы и написали.
Не сразу обновили!
Записан
wishlight
Профи
********

Репутация: +221/-1
Offline Offline

Пол: Мужской
Сообщений: 3786


skype aqaus.com


« Ответ #9 : 12.01.2017, 15:20:03 »

Лечить теперь надо. Удалить этих пользователей и проверить все.
« Последнее редактирование: 12.01.2017, 15:25:55 от wishlight » Записан
admincheg
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 112



« Ответ #10 : 12.01.2017, 15:20:30 »

Но... Дата последнего входа - Никогда.
Записан
ProtectYourSite
Живу я здесь
******

Репутация: +51/-4
Offline Offline

Сообщений: 838



« Ответ #11 : 12.01.2017, 15:22:14 »

Я думаю меняли не только файл .htaccess, настоятельно советую проверить сайт на прочие вирусы.
Капча по мне малоэффективное решение, если не хотите заморачиваться, то попробуйте компонент RSFirewall в таком случае.
Записан
voland
Профи
********

Репутация: +520/-101
Online Online

Пол: Мужской
Сообщений: 9934


СКАЙП утерян! Пишите в телеграм @volandku


« Ответ #12 : 12.01.2017, 15:24:39 »

то попробуйте компонент RSFirewall в таком случае.
Не надо!
Просто проверить, вылечить, вовремя обновлять и не использовать варез!
Записан
admincheg
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 112



« Ответ #13 : 12.01.2017, 15:37:23 »

Лечить теперь надо. Удалить этих пользователей и проверить все.

что "всё"? все 100500 тыщ файлов? или что-то более конкретное?
Записан
admincheg
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 112



« Ответ #14 : 12.01.2017, 15:38:09 »

Не надо!
Просто проверить, вылечить, вовремя обновлять и не использовать варез!

у меня обновленная версия
вареза нет
Записан
ProtectYourSite
Живу я здесь
******

Репутация: +51/-4
Offline Offline

Сообщений: 838



« Ответ #15 : 12.01.2017, 15:43:10 »

Проверять все файлы на сервере.
Записан
SeBun
Профи
********

Репутация: +189/-5
Offline Offline

Пол: Мужской
Сообщений: 3223


@SeBun48


« Ответ #16 : 12.01.2017, 15:48:09 »

у меня обновленная версия
вареза нет
Это ни о чем не говорит. То, что вы обновляете версию, не дает гарантий безопасности и не убирает вредонос, если он был залит на сайт ранее. Это как автомобиль - если полетел двигатель, то смена кузова на новый не заставит ее ездить. Voland вам выше сказал, что теперь единственный ваш выход - это проводить аудит сайта и лечить его, шелл там есть однозначно. И никакое обновление или расширения его не удалят.

Но опять же, сайт - это не программа. Ни один сканер вам не даст гарантии стопроцентного обнаружения. Нужно обладать знаниями PHP как минимум и понимать, что именно искать и где.
Записан
admincheg
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 112



« Ответ #17 : 12.01.2017, 17:58:49 »

проверил архив сайта антивирусом Comodo Cloud и на virustotal.com - чисто
запустили проверку и админы хостинга

а проверять каждый файл и каждую строку файла - это же просто нереально
Записан
voland
Профи
********

Репутация: +520/-101
Online Online

Пол: Мужской
Сообщений: 9934


СКАЙП утерян! Пишите в телеграм @volandku


« Ответ #18 : 12.01.2017, 18:11:30 »

проверил архив сайта антивирусом Comodo Cloud и на virustotal.com - чисто
запустили проверку и админы хостинга

а проверять каждый файл и каждую строку файла - это же просто нереально
Но все делают именно так! :-)
Записан
FitMe
Давно я тут
****

Репутация: +10/-1
Offline Offline

Пол: Мужской
Сообщений: 316



« Ответ #19 : 12.01.2017, 19:16:40 »

проверил архив сайта антивирусом Comodo Cloud и на virustotal.com - чисто
запустили проверку и админы хостинга

а проверять каждый файл и каждую строку файла - это же просто нереально

Тогда Вам вариант проще есть)
Перенести аккуратно только данные на свежую.

Как говорит Воланд, это более чем реально.
Вы заходите через панель хостинга, смотрите в менеджере фалов где были последние изменения, качаете актуальную чистую версию компонента или Joomla, берете там чистое и переносите его на место измененного.
Часа 1,5 - 2 работы, думаю это с перекурами.

На время закрываете сайт, и проверяете свои дыры потом.
Записан
beliyadm
Профи
********

Репутация: +1590/-63
Offline Offline

Пол: Мужской
Сообщений: 8447


Севастополь == Россия


« Ответ #20 : 12.01.2017, 21:23:06 »

Зачем проверять руками каждый файл? Залить из архива оригинальные файлы ядра и компонентов и все (если не вносились изменения в ядре)
Записан
pavelrer
Завсегдатай
*****

Репутация: +9/-1
Offline Offline

Сообщений: 422


« Ответ #21 : 12.01.2017, 21:34:44 »

admincheg

Все сообщения не читал, но вроде все явно!

Напишите ссылки на форму регистрации(без домена) и все будет понятно!
Предполагаю, что стандартные - вот и атаки идут!
Не только на вас, просто на всех!
Самая простая атака, это на новый домен, еще не все поменяли вот мы в него и пытаемся залезть стандартными методами.
А далее, меняй - не - меняй, ваш сайт уже заражен, и нужно проделать много действий чтобы его вылечить!
Вы в шоке - т.к и поисковики вас в низ ставят!
Вот и вся бодяга! Ваш сайт ни кому не нужен, нужен ресурс!
И тут не важно какой движек!
Основная цель, не ваш сайт а ресурсы вашего сервера.
Для чего?
DDOS на сторонние ресурсы, но как-бы вы его выполняете!

Как-то так!
Записан
SeBun
Профи
********

Репутация: +189/-5
Offline Offline

Пол: Мужской
Сообщений: 3223


@SeBun48


« Ответ #22 : 13.01.2017, 00:03:52 »

Зачем проверять руками каждый файл? Залить из архива оригинальные файлы ядра и компонентов и все (если не вносились изменения в ядре)
А как быть с тем, что было залито до этого, в том числе в папки ядра? Собственно я о файлах, не относящихся к Joomla...
Записан
pavelrer
Завсегдатай
*****

Репутация: +9/-1
Offline Offline

Сообщений: 422


« Ответ #23 : 13.01.2017, 00:42:14 »

Как я уже писал - ваш сайт НА,, ни кому не нужен!
У вас стандартная бот атака!
Ну или покажите пациента! Может и на заказ (100бачей в час) - Думаю что не потяните, раз на форуме! Grin
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet