0 Пользователей и 1 Гость просматривают эту тему.
  • 13 Ответов
  • 1407 Просмотров
*

art-m1987

  • Осваиваюсь на форуме
  • 124
  • 0
Доброе утро!
Последние несколько месяцев наш сайт (сейчас он закрыт) постоянно взламывают. При чем, откровенно говоря, смысла его взламывать нет, так ка кон не очень посещаем, и выполняет ознакомительную функцию. Никакой рекламы и т.д. (сайт благотворительной организации). Я посмотрел лог, идет постоянная атака через админку. И я не знаю, как с этим бороться!Много раз восстанавливал, но на дню бывает 1-2 раза ломают. очевидно, что где-то дырка, о ГДЕ, не могу понять. Вот последнее из лога

2015-06-19   05:58:26   INFO   84.253.68.178   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   06:15:43   INFO   155.94.220.232   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   06:28:08   INFO   192.77.242.147   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   06:33:52   INFO   104.207.67.164   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   06:35:05   INFO   82.211.23.34   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   06:36:40   INFO   195.154.169.222   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   06:56:31   INFO   151.237.186.75   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   06:57:52   INFO   89.36.65.30   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   07:05:35   INFO   45.62.55.214   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   07:06:55   INFO   82.211.57.172   Joomla FAILURE:    Пустой пароль не допускается
2015-06-19   07:17:52   INFO   117.169.1.117   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   07:30:09   INFO   107.182.116.33   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   07:34:00   INFO   75.127.5.78   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   07:47:57   INFO   78.129.131.253   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   08:07:14   INFO   199.188.102.23   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   08:12:56   INFO   107.169.7.49   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   08:20:37   INFO   93.118.70.161   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
2015-06-19   08:32:16   INFO   173.232.118.230   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте

После взлома на сайте появляется какое-то сообщение об исламистах и прочая хрень.
*

JLang

  • Осваиваюсь на форуме
  • 104
  • 17
Re: Взлом сайта через админку
« Ответ #1 : 19.06.2015, 12:17:43 »
Закройте доступ в админку со всех IP, кроме нужных через .htaccess, размещённый в папке administrator
Код
Order deny,allow
deny from all
Allow from XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
Где XXX.XXX.XXX.XXX - ваши IP адреса (или ваших сотрудников)
Необязательно указывать полный адрес (если динамические) Можно указать только начальный подсети
Список адресов через пробел.

Затем ищите проблемный код или обращайтесь к специалистам по поиску.

Это только если через админку.
*

vipiusss

  • Профи
  • 5592
  • 322
  • Круглая ава-зло!
Re: Взлом сайта через админку
« Ответ #2 : 19.06.2015, 12:27:41 »
ещё можно быстрее-плагином защиты, плагин изменит путь админки, если вы ИП не хотите менять и/или напрягаться
http://extensions.joomla.org/extension/jsecure
но есть и фри версии, поиск в руки и гоу.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

SeBun

  • Практически профи
  • 3140
  • 192
  • @SeBun48
Re: Взлом сайта через админку
« Ответ #3 : 19.06.2015, 12:38:08 »
Ну и мои 5 копеек - поставьте модуль защиты от брута (хотя и JSeсure порой достаточно, чтоб руки обломить).

Закройте доступ в админку со всех IP, кроме нужных через .htaccess, размещённый в папке administrator

Если бот юзает прокси, то это бесполезно.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

draff

  • Практически профи
  • 2770
  • 171
  • step by step
Re: Взлом сайта через админку
« Ответ #4 : 19.06.2015, 13:04:27 »
Смотреть нужно лог доступа хостинга access.log , насчет взлома
А это обычный лог, у тех, кто не закрыл папку /admnistrator базовой http аутентификацией
*

Apoca1ypto

  • Завсегдатай
  • 723
  • 69
Re: Взлом сайта через админку
« Ответ #5 : 19.06.2015, 13:20:55 »
А это обычный лог, у тех, кто не закрыл папку /admnistrator базовой http аутентификацией
Самое простое и отличное решение (http аутентификация смотрим тут)... а не использовать различного рода плагины jsecure и т.д.
Во время спора в Интернете Ваш оппонент приводит неопровержимые доказательства своей точки зрения? Не отчаивайтесь. До...тесь до орфографии.
*

vipiusss

  • Профи
  • 5592
  • 322
  • Круглая ава-зло!
Re: Взлом сайта через админку
« Ответ #6 : 19.06.2015, 13:25:01 »
Самое простое и отличное решение (http аутентификация смотрим тут)... а не использовать различного рода плагины jsecure и т.д.

а чем вам не понравился плагин? я просто имелл ввиду быстро: поставил, включил
я использую его, что вам в коде не нравиться в нём?
цель-админку не видит бот и тот, кто хочет поломать подбором или дос атаки на админку.
не понял ваше "фэ"
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

Apoca1ypto

  • Завсегдатай
  • 723
  • 69
Re: Взлом сайта через админку
« Ответ #7 : 19.06.2015, 13:35:28 »
а чем вам не понравился плагин? я просто имелл ввиду быстро: поставил, включил
я использую его, что вам в коде не нравиться в нём?
цель-админку не видит бот и тот, кто хочет поломать подбором или дос атаки на админку.
не понял ваше "фэ"
Есть же отличный способ защиты с помощью .htpasswd который как раз и создан чтобы ограничить доступ, зачем усложнять и устанавливать jsecure.
А фэ связано с тем, что переодически появляются темы на форуме - "ОМГ ! адин адин".. поставил jsecure, теперь не могу попасть в админку... =)))
Во время спора в Интернете Ваш оппонент приводит неопровержимые доказательства своей точки зрения? Не отчаивайтесь. До...тесь до орфографии.
*

vipiusss

  • Профи
  • 5592
  • 322
  • Круглая ава-зло!
Re: Взлом сайта через админку
« Ответ #8 : 19.06.2015, 13:42:14 »
ну не может попасть-значит провтыкал ссылку и имя в плагине, это уже личные проблемы.
вот есть интересное высказывание ...

можно запрет в хтсесе:
Спойлер
[свернуть]
« Последнее редактирование: 19.06.2015, 19:29:39 от flyingspook »
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

draff

  • Практически профи
  • 2770
  • 171
  • step by step
Re: Взлом сайта через админку
« Ответ #9 : 19.06.2015, 13:42:49 »
А если закрыть сразу в nginx, до запуска апач, то будет существенная экономия ресурса хостинга.
*

vipiusss

  • Профи
  • 5592
  • 322
  • Круглая ава-зло!
Re: Взлом сайта через админку
« Ответ #10 : 19.06.2015, 13:48:08 »
мой пост(код) запретит в корне выполнение скриптов злоумышленника.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

flyingspook

  • Moderator
  • 3619
  • 236
Re: Взлом сайта через админку
« Ответ #11 : 19.06.2015, 19:29:14 »
вот есть интересное высказывание ...


это что спам на варез, или как
*

vipiusss

  • Профи
  • 5592
  • 322
  • Круглая ава-зло!
Re: Взлом сайта через админку
« Ответ #12 : 19.06.2015, 21:02:30 »
это что спам на варез, или как
думал не варез))) протупил.вытри
ну и все мои с этим.ты же модер, сам решишь!
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

winstrool

  • Завсегдатай
  • 770
  • 41
  • Свободен для работы
Re: Взлом сайта через админку
« Ответ #13 : 20.06.2015, 10:11:12 »
ТС, какие у вас установлены компоненты? версия движка? было бы отлично если логи доступов сохранились "access_log" бывают такие уязвимсоти, что и доступа к админке и не надо.... Чистите сайт, наводите профилактические работы и все будет пучком!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Компоненты и скрипты для защиты сайта. Логи атак на сайты

Автор wishlight

Ответов: 589
Просмотров: 191954
Последний ответ 06.08.2017, 12:41:32
от winstrool
В корне сайта появляется файл с именем ".bt" (без ковычек)

Автор maestra

Ответов: 24
Просмотров: 2208
Последний ответ 26.07.2017, 12:09:01
от winstrool
Вынос configuration.php за пределы корня сайта

Автор Sulpher

Ответов: 10
Просмотров: 11127
Последний ответ 18.06.2017, 22:24:19
от winstrool
IPSecure - защита сайта от ботов

Автор SeBun

Ответов: 1
Просмотров: 581
Последний ответ 09.05.2017, 12:09:17
от SeBun
Как удалить страницы со взломанного сайта?

Автор and3885

Ответов: 71
Просмотров: 2120
Последний ответ 02.05.2017, 06:03:34
от alixsjr