hacked by Hmei7 - Безопасность сайтов на Joomla

Добрый день.
Версия Joomla 1.5

Сегодня захожу на сайт и вижу надпись hacked by Hmei7
Как бороться? Где рыть?

1.5.СКОЛЬКО?

1.5.СКОЛЬКО?

1.5.15

Сейчас копаю в файлах. Нашёл подчищенные index файлы...

1.5.15

Мдя.. а табличка хакни меня не висела?

Мдя.. а табличка хакни меня не висела?

Только в левом углу "hacked by Hmei7".
Восстановил index.php и configuration.php всё восстановилось.
Пойду обновляться...

Только в левом углу "hacked by Hmei7".
Восстановил index.php и configuration.php всё восстановилось.
Пойду обновляться...

Мдаа... Где Вы раньше были...

Кстати, в Латвии зафиксирована вспышка атак

Мдаа... Где Вы раньше были...

Кстати, в Латвии зафиксирована вспышка атак

Работал старый сайт на 1.5.15 так и работал. Не возвращался к нету.
Сейчас буду знать...

Давно знакомому одна девушка сделала сайте на Joomla 1.5.20 Стоит три Joomla (под три разных языка), взломана только английская версия, она лежит не в корне а в отдельной папке.
Интересно, думаю что если нашелся доступ к одной Joomla, почему не поломали все остальные. Стерли файлы из корня папки, разные файлы по папкам, в многих местах лежит файл x.txt с текстом Hacked by Hmei7. В папку /images запихнули Htacess с содержимым
<Files ~ "\.(php|php3)$">
deny from all
</Files>
<Files "o10dy.php">
Allow from all
</Files>

вобщем такие дела, посему вопрос присутствующим. Почем стоит перевести 1,5 на более современную и менее ломучую версию. Что будет с совместимостью темы и плагинов?

Проблема совместимости - та еще закавыка. Почитайте на форуме на предмет миграции - для неподготовленного человека это процесс очень не простой.

спасибо за ответ. пока что принял временное решение, апгрейднул 1.5.20 до 1.5.26 (релиз от марта 12), может поможет + запретил регистрацию новых пользователей, т.к. подумалось что хацкеры регались как пользователи и заливали бяки через медиа аплоадер, т.к. были заражены папки images, images/stories и еще пару

спасибо за ответ. пока что принял временное решение, апгрейднул 1.5.20 до 1.5.26 (релиз от марта 12), может поможет + запретил регистрацию новых пользователей, т.к. подумалось что хацкеры регались как пользователи и заливали бяки через медиа аплоадер, т.к. были заражены папки images, images/stories и еще пару

Последнее - лишнее. Заражение происходит через шелл или ftp.

спасибо за ответ. пока что принял временное решение, апгрейднул 1.5.20 до 1.5.26 (релиз от марта 12), может поможет + запретил регистрацию новых пользователей, т.к. подумалось что хацкеры регались как пользователи и заливали бяки через медиа аплоадер, т.к. были заражены папки images, images/stories и еще пару

помогло? тож взломали сайты с тем же копирайтом...

были заражены папки images, images/stories

вероятность 98% что дыра в старой версии JCE

помогло? тож взломали сайты с тем же копирайтом...

Вряд ли помогло. Нужно вычищать весь сайт, проверять все файлы.

вероятность 98% что дыра в старой версии JCE

а как то проверить что именно через JCE взломан сайт возможно?

Сегодня захожу на сайт и вижу надпись hacked by Hmei7

Посмотрите в логах ошибок веб-сервера куда ломился очередной script kiddie. Обновите JCE и Joomla до последних версий. Обычно по ошибкам 404 видно, что они долбят текстовые редакторы.

Посмотрите в логах ошибок веб-сервера куда ломился очередной script kiddie. Обновите JCE и Joomla до последних версий. Обычно по ошибкам 404 видно, что они долбят текстовые редакторы.

На предмет выяснения технологии уже состоявшегося взлома смотреть нужно не лог ошибок, а лог доступа (access_log). Потому что если сервер откликнулся на запрос 404 ошибкой, хакер ломился в закрытую дверь и ничего не получил. Чтобы найти то место, где он всё-таки нашёл открытую дверь (дырявый скрипт), нужно смотреть страницы с 200 ответом, которых нет в логе ошибок. Да, это очень долго, и очень сложно, но по крайней мере имеет смысл. Лог ошибок может содержать только вспомогательную информацию: нарпример, какие IP стоит искать в логе доступа в числе первых.

Господа ну какие же вы смешные))), даже пришлось зарегаться чтоб откоментировать пару вопросов))

1.как таковая Joomla ломается за счет уязвимых компонентов а не за счет каркаса куда вешаются сами компоненты!
2.конечно было бы неплохо обновить сам двиг так как там исправлены различного характера кодерские недочеты и постоянно интегрируется что то новое!
3. Даже если используя уязвимость из бд вытащели ваши админские аккаунты, взлом может не завершится из-за сложности пароля, практика показывает, что частенька юзаются бональные пассы...
4. грамотно выставленые права, не дадут возможность взломщику залить шелл
5. частенько сталкивается такая уязвимость как реверс, это блогодоря ей можно лазить по всем сайтам на хостере и делать с ним ну может быть не все что захочется, но многое дозволяет)) а если ядро еще и рутабельное, то пальчеки оближишь)))! в таком случае стоит менять хостера!

Нагуглил вот какой топик, может кому пригодится http://www.joshpate.com/2013/01/how-to-fix-hacked-by-hmei7-on-joomla-web-site/

Меня сегодня тоже взломали эти товарищи.
Joomla 2.5.8 вроде
JCE 2.3.3

В корне сайта появился файл j.php с текстом как в названии темы.
Нашел еще такой же в папке с картинками. Более ничего не находил левого. Файлы configuration и htaccess не изменены.

Не понимаю как тогда они мне свои файлы залили? Должен же быть какой-то скрипт для закачки

Меня сегодня тоже взломали эти товарищи.
Joomla 2.5.8 вроде
JCE 2.3.3
Не понимаю как тогда они мне свои файлы залили? Должен же быть какой-то скрипт для закачки

В Joomla 2.5.14 были исправлены уязвимости.а уже вышла Joomla 2.5.18

В Joomla 2.5.14 были исправлены уязвимости.а уже вышла Joomla 2.5.18

Будем надеяться.

А как посмотреть логи кто в админку ломился?

А как посмотреть логи кто в админку ломился?

А логи хостинга включены? Открой access.log в редакторе Notepad++ , и ищем запросы к /administrator

А логи хостинга включены? Открой access.log в редакторе Notepad++ , и ищем запросы к /administrator

а где это файл лежит?

http://www.secbot.org/hacked-by-hmei7/

Анализ и предотвращение:

В ходе проведенного анализа механизмов взлома было установлено, что взлому подвержены сайты на системе управления Joomla.
Взлом происходит через ошибку модуля JCE Editor, а именно через ошибку проверки безопасности при работе с gif файлами.
Для предотвращения последующих взломов необходимо выполнить следующее:

Обновить Joomla и все ее компоненты до последней версии.
Если обновление невозможно отключить возможность работы в gif файлами в настройках компонента JCE Editor.

На одном старом сайте обнаружил взлом. Посмотрим, поможет ли отключение gif в редакторе и на сайте.

Точно ломают через JCE, сам производитель рекомендует обновить редактор.

http://www.joomlacontenteditor.net/support/forum/sos-possible-vulnerability-in-image-manager

Точно ломают через JCE,

С чем связаны все последние заражения сайтов
2. Редактор JCE - его последнее время залатывали не раз.

Пока вроде все чисто, следов взлома нет. Запретил gif файлы везде во всех расширениях.

Пока вроде все чисто, следов взлома нет. Запретил gif файлы везде во всех расширениях.

если версия движка 1.5.26 делаем так
-если пользователи без регистрации и не нужны то заливку изображений разрешаем только супер админу
-и ставится обязательно последний хак от 08.2013 он как раз на заливку сделан
-ну и последнее это всегда следить за расширениями требуется и вовремя обновлять