Как найти дыру? - Безопасность сайтов на Joomla

Добрый день, обнаружил сегодня случайно, что на сайте вирус. Начал смотреть логи увидел такую вот фигню, все от нее произошло. ВРоде что-то похожее на ветках читал, но все не то.
Залили виурсный файл trojan template.php ну и далее пошло
Joomla 3.4.7 была. Помогите разжевать? НА хостинге 9 сайтов. Все полетели или только этот? Мои действия восстановить сайт от 23 .12 , базу данных не знаю надо ли трогать, и далее поменять пароли все установить AI-Bolit но как такую атаку избежать? Это же тихий ужас.

А что в логах. Проверить файлы, к которым запрос POST
/libraries/cms/model84.php Вряд ли файл Joomla. А так да- проверять все
Хостинг - VPS/VDS и для каждого сайта свою пользователь, с определением open_basedir

Ээ.. ТС же говорит что стоит 3.4.7
Или врёт?

Залили виурсный файл trojan template.php ну и далее пошло

Секундочку.
А его то кто\как залил?

Ну это понятно, 3.4.7 когда была залита?
Еще вариант - что просто ТС сам себе шелл поставил.

Ну это понятно, 3.4.7 когда была залита?
Еще вариант - что просто ТС сам себе шелл поставил.
Еще вариант - что просто ТС сам себе шелл поставил.

Да вот в том то и дело что не устанавливал стороннего. Обновление было Joomla 22.12.2015 в 22.07, кроме этого устанавливал (обновлял ) шаблон от yootheme (с оф.сайта) и пару картинок для категорий JoomShopping (вот сча я их и проверяю на наличие различных маркеров). Вариант что сайт старый был 2.5. версия, возможно какой то старый плагин, сейчас попробую все проверить. Для меня непонятно как мне залили это троян  template.php , как это вообще возможно?

Обновление было Joomla 22.12.2015 в 22.07

6 дней много, особенно, учитывая что уязвимость была 0day - то есть начала эксплуатироваться до патча (с 12 числа в буржунете).
В рунете, судя по сообщениям, дырка начала эксплуатироваться через 4-6 часов после патча, а через 1-2 дня был уже пик.

Поставьте себе плагин, посылающий вам письмо при выходе обновлений Joomla. Тогда практически сразу будете узнавать- о выходе обновлений Joomla, закрывающих дыры в безопасности!

Такие дырки бывают раз в много лет.
era же все таки был заставлен сделать рассылку, надо было лишь прочитать )

Будет в 3,5 уже вроде.

Так я все же теперь не могу понять, что делать?Бекапнуть все сайты от 12.12.2015?И базы данных?Одним словом все бекапнуть? Либо только один сайт?

Обнаружил в одном изображении странный код, посреди-это нормально? Может отсюда и пошло заражение? или это параноя у меня?

Нет ни чего странного это код формирует photoshop
По теме у вас давно мог быть залитый шел и вы сейчас только на него внимание обратили, уже не то что бывает, а практикуется по полной программе, что шелы лежат годами на сайтах и владельцы про них даже не подозревают. Есть глобальные задачи для взлома сайтов и присоединения их к бот сети или еще что, так на них шелы лежат очень долго и ждут своего часа Х.

К примеру утечка ftp пароля или пароли от базы данных- вообще не влияют на версию, могут просто зайти под админом и засунуть любые трояны.
Надо не только чистить файлы, но и все пароли обязательно сменить.

Даже если есть доступ к БД, как он расшифрует пароль админа ? И где гарантия что нет скрипта, залитого хакером, перехватывающего измененный пароль админа.

Даже если есть доступ к БД, как он расшифрует пароль админа ?

Вас научить?

И как вариант, можно использовать просто админскую сессию которая хранится в БД, и пройти в админку...

По теме у вас давно мог быть залитый шел и вы сейчас только на него внимание обратили, уже не то что бывает, а практикуется по полной программе, что шелы лежат годами на сайтах и владельцы про них даже не подозревают. Есть глобальные задачи для взлома сайтов и присоединения их к бот сети или еще что, так на них шелы лежат очень долго и ждут своего часа Х.

Да похоже на правду. Проверил Ai-bolit очень много чего показал, сейчас проверяю версии дампа более ранние от  07.12 и т.д.
По теме читал этот топик http://joomlaforum.ru/index.php/topic,246899.660.html , там настоятельно рекомендуется отключать сайт на период выполнения работ (либо как только был обнаружен вредоносный код типо шел, бекдоры).
Из всего, что я прочел за эти 2 дня, попробую сделать вывод:
 я понял что у меня был шел через который был залит вирус троян template.php (просто запросом  и множество других файлов. Лечить надо все, всей сайты на хостинге. Устанавливать надо себе скрипт  по защите для хостинга типо ai-bolit (так рекомендовал хостинг), следить за всеми обновлениями Joomla (чуть ли не с разбежкой до часа). Все левые сайты которые были на хостинге (которые набирали себе возраст  и были версии 2.5.28) я скосил, вернусь к ним позже, пока надо спасть то, что кормит. Обновил все расширения, поменял логи пароли админки, пользователей бд, через admin tools проверил права папок и поменял пароли htaccess.  Также теперь в файлообменике надо как то разграничить доступы по сайтам, чтобы не расползались версии (тут немного не понял как). Ну и последнее -раз уже точно есть вирусный код-надо заказывать работу специалиста, т.к. тут однозначно нужен опыт, тут нужен именно лекарь). Вроде все правильно написал либо еще что-то?

Да похоже на правду. Проверил Ai-bolit очень много чего показал, сейчас проверяю версии дампа более ранние от  07.12 и т.д.
По теме читал этот топик http://joomlaforum.ru/index.php/topic,246899.660.html , там настоятельно рекомендуется отключать сайт на период выполнения работ (либо как только был обнаружен вредоносный код типо шел, бекдоры).
Из всего, что я прочел за эти 2 дня, попробую сделать вывод:
 я понял что у меня был шел через который был залит вирус троян template.php (просто запросом

Спойлер

[свернуть]

  и множество других файлов. Лечить надо все, всей сайты на хостинге. Устанавливать надо себе скрипт  по защите для хостинга типо ai-bolit (так рекомендовал хостинг), следить за всеми обновлениями Joomla (чуть ли не с разбежкой до часа). Все левые сайты которые были на хостинге (которые набирали себе возраст  и были версии 2.5.28) я скосил, вернусь к ним позже, пока надо спасть то, что кормит. Обновил все расширения, поменял логи пароли админки, пользователей бд, через admin tools проверил права папок и поменял пароли htaccess.  Также теперь в файлообменике надо как то разграничить доступы по сайтам, чтобы не расползались версии (тут немного не понял как). Ну и последнее -раз уже точно есть вирусный код-надо заказывать работу специалиста, т.к. тут однозначно нужен опыт, тут нужен именно лекарь). Вроде все правильно написал либо еще что-то?

Да все верно.

Поставьте себе плагин, посылающий вам письмо при выходе обновлений Joomla. Тогда практически сразу будете узнавать- о выходе обновлений Joomla, закрывающих дыры в безопасности!

Это где такой плагин найти?

http://extensions.joomla.org/extensions/extension/access-a-security/site-security/cupdater

Спасибо как закончат цементацию сайта сразу установлю