Взломали сайт... Как избавиться от последствий?

  • 4 Ответов
  • 545 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

richnz

Всем привет!
На днях не смог зайти в админку (Joomla 3.3.3 + JoomGallery 3.1.1), ввожу логин и пароль, страница просто перезагружается и всё. В БД, менял пароли, создавал новых суперадминов - результат тот же.
Пишу хостеру, так мол и так, спасите-помогите... Получаю ответ:
Спойлер
[свернуть]

На следующий день - сайт забанил хостер, с пометкой "Рассылает спам", (мне открыли доступ по IP). Первым делом я выкачал сайт и собрал его на денвере, и уже в локальной версии, на странице входа увидел это:
Спойлер
[свернуть]

Далее действовал наугад - с чистой Joomla выдернул файл substr_replace.php и скормил с заменой "заболевшей" локальной версии сайта и... сразу зашел в админку. Это же сработало и с сайтом на хостинге.
Создал нового суперадмина, логин, пароль. В корне нашел папку с названием 2000GT в которой было несколько сотен HTML файлов с ссылками ведущими на какие-то азиатские сайты, папку удалил. В файле .htaccess был в самом верху строки
Спойлер
[свернуть]
Заменил этот файл на оригинальный. Еще в корне появились файлы week.php, db.php, error.php, include.php, license.php, proxy.php, session.php некоторые пустые, некоторые со странным содержимым, так же их удалил. При проверке исходящих ссылок увидел только одну, вела она на сайт какого-то сервера, моих ссылок не было совсем никаких, ни внутренних, ни внешних. После проделанных вышеописанных действий - чужая ссылка пропала, все мои ссылки появились.

Сейчас обновился до Joomla 3.4.5 Копаюсь в файлах, может найду какие нибудь "левые" ссылки закодированные в Base64. На этом мои и так слабые знания заканчиваются.
В связи со всем приключившимся прошу совет. Как вычистить "заразу" с сайта, куда копать и на что обратить внимание, и как обезопаситься на будущее от подобных неприятностей?
Спасибо!

p.s. в файле defines.php было в base64 закодировано это:
Спойлер
[свернуть]
Подскажите пожалуйста, что это за URL такой, "опасный" или нет?
« Последнее редактирование: 26.11.2015, 04:34:39 от richnz »
Истинный параноик знает, что если всё хорошо, значит всё хорошо замаскировано!


*

winstrool

  • *****
  • 758
  • [+]41 / [-]2
  • Свободен для работы
Цитировать
Как избавиться от последствий?
Как минимум для начало перечитать данный раздел.
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

jlend

Joomla 3.3.3 давно пора было на 3.4.5 обновить, а теперь чистите все вредоносное и обновляйте движок и расширения

*

richnz

Чистить с помощью скрипта ai-bolit
Большое спасибо! Этот скрипт мне очень помог.
для начало перечитать данный раздел
Уже читаю, спасибо. Испугался просто сразу, запаниковал, подумал будет быстрее спросить, чем копать n-страниц... Теперь поспокойнее стало, изучаю форум.
давно пора было на 3.4.5
Теперь я это точно запомню)) Спасибо)
Истинный параноик знает, что если всё хорошо, значит всё хорошо замаскировано!