Постоянный взлом Joomla! 2.5.2 как бороться?

  • 14 Ответов
  • 1753 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

renataakhm

  • Новичок
  • *
  • 6
  • 0
Здравствуйте,

Имеется один рабочий сайт, на протяжении почти 4х лет, и все было нормально. Сайт обычный-продажа окон в нашем городе, так что особого интереса со стороны взломщиков быть не должно. Примерно с мая 2015 Google периодически закрывает нашу рекламу, так как находит вредоносные ссылки. Ссылки в мае были найдены, удалены. Примерно месяца 3 все было нормально. С сентября началась просто постоянная атака на сайт. Видела много тем именно с этой проблемой, описано как справиться с последствиями, а вот как предупредить - нет.

Проблемная ссылка - web-redirect.ru именно для мобильных устройств, каждый раз нахожу в папке includes/inc.class.php . Строку с ссылками для каждого устройства удалю, на следующий день снова появляется, реклама не работает..

FTP закрыт, левых юзеров ни в базе, ни в админе нет. Как найти дырку? Откуда все это появляется? Ковыряюсь уже месяц..
Логи смотрела - особо подозрительного ничего нет. Единственное было пару переходов на yandex с кучей зашифрованного чего-то... но это переход, возможно это кто-то попал на сайт как раз, когда ссылки были в файле.

Прошу помочь  :(

Версия Joomla 2.5.2 (обновлений не предлагает)


*

KKAAZZOO

  • Практически профи
  • *******
  • 2138
  • 102
Версия Joomla 2.5.2 (обновлений не предлагает)

А если посмотреть на Joomla.org, то какая версия должна быть? Как минимум 2.5.27 вроде последняя у второй версии

*

renataakhm

  • Новичок
  • *
  • 6
  • 0
Обновила до 2.5.28, посмотрим, конечно... Но все же, если снова случится, где искать дыру??

*

KKAAZZOO

  • Практически профи
  • *******
  • 2138
  • 102
Для начала читайте закрепленные темы раздела. Я думаю здесь  вам дадут конкретные советы, подождите

*

draff

  • Практически профи
  • *******
  • 2739
  • 169
  • step by step
Сканер айболит в помощь.
Чем месяц тратить на поиск неизвестно чего, иначе б не спрашивали здесь на форуме совета что искать и где, так лучше установить новую Joomla 2.5.28 и используемые сторонние расширения и подключить старую базу данных. И потихоньку готовится к обновлению на Joomla 3.х.х

*

wishlight

  • Профи
  • ********
  • 3593
  • 220
  • skype aqaus.com
Если был взлом, обновление не поможет. Как выше писали, придется чистить сайт и лучше всего пока что работает сканер ai-bolit.

*

SeBun

  • Практически профи
  • *******
  • 3076
  • 186
  • @SeBun48
Вот ссылка. Там есть описание, инструкция и вся необходимая информация. Сами не справитесь, обращайтесь, поможем.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Администрирование | Разработка
Ник занят

*

renataakhm

  • Новичок
  • *
  • 6
  • 0
Спасибо за советы на счет айболита - обязательно попробую. В общем, весь день прошел, редирект не появился! НО не могу теперь войти в панель управления! Весь день занималась сайтом, все было нормально. Вечером вернулась - просит логин пароль, ввожу, показывает ошибку "500 - обнаружена ошибка.". Все перерыла, путь к logs и tmp правильный, в логах никаких ошибок не показывает. Случилось именно после обновления... видела много про htaccess пишут. Помню, при обновлении не удалось ему, кажется, htaccess обновить, но не уверенна.. Не хочу бэкап с хостинга запрашивать :( ну что за напасть! вот мой htaccess, наверняка, есть, кто разбирается :( помогите, пожалуйста..
Код
##
# @package Joomla
# @copyright Copyright (C) 2005 - 2012 Open Source Matters. All rights reserved.
# @license GNU General Public License version 2 or later; see LICENSE.txt
##


##
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE!
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations.  It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file.  If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your SEF url's.  If they work,
# it has been set by your server administrator and you do not need it set here.
##

## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

## Mod_rewrite in use.

RewriteEngine On

## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End - Rewrite rules to block out some common exploits.

## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End - Custom redirects

##
# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##

#RewriteBase /

## Begin - Joomla! core SEF Section.
#

RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the request is for something within the component folder,
# or for the site root, or for an extensionless URL, or the
# requested URL ends with one of the listed extensions
RewriteCond %{REQUEST_URI} /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
## End - Joomla! core SEF Section.

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Спасибо за советы на счет айболита - обязательно попробую. В общем, весь день прошел, редирект не появился! НО не могу теперь войти в панель управления! Весь день занималась сайтом, все было нормально. Вечером вернулась - просит логин пароль, ввожу, показывает ошибку "500 - обнаружена ошибка.". Все перерыла, путь к logs и tmp правильный, в логах никаких ошибок не показывает. Случилось именно после обновления... видела много про htaccess пишут. Помню, при обновлении не удалось ему, кажется, htaccess обновить, но не уверенна.. Не хочу бэкап с хостинга запрашивать :( ну что за напасть! вот мой htaccess, наверняка, есть, кто разбирается :( помогите, пожалуйста..
Код
##
# @package Joomla
# @copyright Copyright (C) 2005 - 2012 Open Source Matters. All rights reserved.
# @license GNU General Public License version 2 or later; see LICENSE.txt
##


##
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE!
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations.  It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file.  If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your SEF url's.  If they work,
# it has been set by your server administrator and you do not need it set here.
##

## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

## Mod_rewrite in use.

RewriteEngine On

## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End - Rewrite rules to block out some common exploits.

## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End - Custom redirects

##
# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##

#RewriteBase /

## Begin - Joomla! core SEF Section.
#

RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the request is for something within the component folder,
# or for the site root, or for an extensionless URL, or the
# requested URL ends with one of the listed extensions
RewriteCond %{REQUEST_URI} /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
## End - Joomla! core SEF Section.
htaccess норм, есть такая штука, когда есть доступ к примеру: phpmyadmyn, но не могут сбрутить ваш пасс, тогда подставляют свой пасс... заведомо хешь который известен, но со стороны взломщика "глупость" что не вернул родной обратно при измене пасса
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

SeBun

  • Практически профи
  • *******
  • 3076
  • 186
  • @SeBun48
тогда подставляют свой пасс...
Но тогда ей будет выводить сообщение "Неправильный логин или пароль", а не 500-ю ошибку.

Первое - попробуйте в configuration.php найти
Код: ini
public $live_site = '';
и проверить, что бы он был пустым. Так же можно параметр
Код: ini
public $offline = '1';
сделать равным 1 (это отключит сайт). Далее, попробуйте перезалить папку administrator из дистрибутива вашей версии. И обязательно проверьте пути (у вас они должны быть другими):
Код: ini
public $log_path = '/home/httpd/vhosts/sitename/httpdocs/logs';
public $tmp_path = '/home/httpd/vhosts/sitename/httpdocs/tmp';
и проверить, что бы на папки tmp и logs права 755 стояли.

Если не поможет, можно попробовать в .htaccess закомменировать строку
Код: ini
#Options +FollowSymLinks
или вообще переименовать его в htaccess.txt.

Если при входе появляется ошибка - неправильный логин или пароль, то это уже другая тема. Придется зайти в базу и сменить пароль.
« Последнее редактирование: 04.10.2015, 10:19:46 от SeBun »
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Администрирование | Разработка
Ник занят

*

flyingspook

  • Moderator
  • *****
  • 3609
  • 236
включите показ ошибок в htaccess

Код
php_flag display_errors on
php_value display_errors 0

если что покажет выложите тут, про белый экран тема есть

*

renataakhm

  • Новичок
  • *
  • 6
  • 0
Перезалила папку админа, проверила все права, пути... вошла в панель! Но работало все как-то через раз.. В общем, перед обновлением я крутила с правами на всякие папки и файлы, ну чтоб мой inc.class.php перекрыть от изменений, и, видимо перекрутила :D когда обновилась, некоторые файлы, в том числе index.php сохранить он и исправить не смог, вот все и полетело... Сейчас снова все установила, установилось в этот раз без каких либо предупреждений и ошибок. Теперь буду смотреть вылезет ли опять редирект.

Кстати, закралась идея, раз за сутки файл не был изменен, и все это время было невозможно зайти в панель даже мне, то, скорее всего все эти манипуляции с редиректами происходят именно с панели админа... в общем, буду ждать, отпишусь :) спасибо!

*

renataakhm

  • Новичок
  • *
  • 6
  • 0
Просканировала айболитом! вещь просто супер! Обнаружила по меньшей мере 5 файлов подозрительных, по мнению айболита. Просматриваю код, а там везде этот редирект и скрипт на изменение htaccess и как раз тот inc.class.php! мда...

*

renataakhm

  • Новичок
  • *
  • 6
  • 0
Снова редирект, снова появились левые эти файлы, словно и не удаляла их..

*

wishlight

  • Профи
  • ********
  • 3593
  • 220
  • skype aqaus.com
Значит что-то не доделали. Вариант выкачать на локалку сайт, проверить целиком и закрыть дырки, очистить аккаунт хостинга, и залить сайт обратно.