Откуда попал вирус - Безопасность сайтов на Joomla

Здравствуйте,

Сегодня частично перестал работать сайт.
После отката на 2 дня назад сайт поднялся.

Из подозрительного только один файл в корне.
Содержимое показалось более чем странным:

Вирус ли это? Как думаете?

И еще вопрос. Как понять откуда он залез на мой сайт??
Логи открыл и как говорится вижу фигу. Ткните носом.

Какая версия Joomla у вас? Сколько сайтов на аккаунте? Какая версия php?

Взломать могли и месяц назад, закинуть шелл и активизироваться только со временем.
Посмотрите в админке лишних админов нету?

Чистите и обновляйте сайт(ы).

Взломать могли и месяц назад, закинуть шелл и активизироваться только со временем.
Посмотрите в админке лишних админов нету?

Есть лишний пользователь. У меня регистрация включена но нигде не выведена.
Данный пользователь не активирован и никогда не заходил.
Обозвался как joomlasupport.

Удалил его и регистрацию отключил в настройках.

Какая версия Joomla у вас? Сколько сайтов на аккаунте? Какая версия php?

На аккаунте 3 сайта. Joomla! 2.5.28. PHP Version 5.3.29.

Патчи безопасности на 2.5.28 стоят?
Доступы посторонним фрилансерам не давали?
пароли не примитивные?
расширения какие-нибудь не используют библиотеку PHPMailer?
варез не использовался?
Да и если 3 сайта, то взломать могли любой, а в другие просто раскидать вирусы. Необходимо анализировать безопасность и остальных сайтов.

А еще обнаружил в папке images  файлик thumb_j2.php5.jpg

Патчи безопасности на 2.5.28 стоят?
Доступы посторонним фрилансерам не давали?
пароли не примитивные?
расширения какие-нибудь не используют библиотеку PHPMailer?
варез не использовался?
Да и если 3 сайта, то взломать могли любой, а в другие просто раскидать вирусы. Необходимо анализировать безопасность и остальных сайтов.

Патчей безопасности? Официальных?
Варез есть. ZOO компонент. Такое чувство, что там дырявая подача материала с фронтенда. Хотя... я не спец.

пароли вроде нормальные.

Официально Joomla 2.5 уже не поддерживается, поэтому официальных нету)
Есть только такие: https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions
zoo мне казалось бесплатный компонент)

zoo мне казалось бесплатный компонент)

Когда я качал а это было года три назад были какие-то проблемы с бесплатностью. Сейчас мб и бесплатное.
Спасибо за подсказку.

Ответ на вопрос.

Сам скачал и\или ничего не обновлял

Я правильно понял, что проблема Joomla с удаленным выполнением кода решилась сама начиная с версии PHP 5.4 ?

А вот скачать патч для устранения уязвимости при загрузке файлов не удалось.

Я правильно понял, что проблема Joomla с удаленным выполнением кода решилась сама начиная с версии PHP 5.4 ?

Я бы не рисковал

А вот скачать патч для устранения уязвимости при загрузке файлов не удалось.

А мне удалось.

Откуда попал вирус

Потому что сайты не обслуживаете!

Я правильно понял, что проблема Joomla с удаленным выполнением кода решилась сама начиная с версии PHP 5.4 ?

Мне кажется данная проблема никогда не решится) или вы о чем-то конкретном?

пароли вроде нормальные.

Они кроме вас никому не нужны.

Попробую обобщить на доступном примере все то, о чем говорили. Итак, представьте - у вас дом. Вы его построили, обставили, в шкафу под грудой свежих простынь храните свою заначку на черный день. А уходя из дома вешаете на дверь замочек. И вот в один прекрасный день идете вы домой - а по дороге к вам клеиться некая молодая сексуальная особа, которая ну вся такая доступная... Заходите вы в магазин за пузырем и ведете ее домой. А на следующий день придя домой обнаруживаете, что заначки нет, на столе - недопитый пузырь какого то неизвестного науке пойла, на полу - мокрый презерватив, повсюду следы чьих то грязных сапог. Как же так! - резонно возмущаетесь вы, дверь то на замке! Вызываете полицию. Те приезжают, смотрят на вас как на идиота, кто то в сторонке хихикает... А один пожилой капитан начинает терпеливо объяснять - замочек ваш - фуфло, поддел отверткой - он и отвалится. Но его не трогали, так как в дом проникнуть - тыща способов - и через открытое окно, и через заднюю дверь, и через чердак, и даже просто выбив дверь вместе с замком. А вы еще телку привели в дом, которая все разнюхала, да стукнула, кому надо. Че делать... Теперь уж ниче, смотреть, не прячется ли где вор под диваном, да нанимать охрану, ставить сигнализацию, иначе опять влезут.

Собственно, именно это и обсуждается. Вы привели телку в виде вареза на свой и так хлипкий старый двиг, и надеетесь на пароли? Взломать его - тыща способов на самом деле. Это так, пища для размышлений. Собственно, прислушайтесь к словам тех, кто вам ответил.

P.S. кстати, тем жуликам теперь известны ходы, и даже есть специальное хитрое приспособление, которое откроет им дверь изнутри....

Официально Joomla 2.5 уже не поддерживается, поэтому официальных нету)
Есть только такие: https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions
zoo мне казалось бесплатный компонент)

Если я заменю файл session.php на скачанный по вашей ссылке, то проблема с удаленным выполнением кода решится?
Или от шелов никак не защититься?

Решится 99%, если поставить два патча, удалить уже существующие шеллы и сменить все пароли.

Если я заменю файл session.php на скачанный по вашей ссылке, то проблема с удаленным выполнением кода решится?
Или от шелов никак не защититься?

От инъекции поможет от шелов нет, потому что шел это (если не углубляясь простым языком) файл уже который вам залили, от шелов и бекдоров избавит только чистка сайта, кстати варез это и есть шел который те кто ставит сами себе внедряют.

Решится 99%, если поставить два патча, удалить уже существующие шеллы и сменить все пароли.

я уже все подчистил. и сменил все пароли.
а что за два патча?

session hardening и патч получения суперадминских прав от VirtueMart, выше по ссылки уже давались.

А еще обнаружил в папке images  файлик thumb_j2.php5.jpg

у меня на Хостинг-Центре (shared) тоже такой файл попал туда же. Вот он https://yadi.sk/i/RnohT3a83BWTkm
хостер сообщил о нем. но к тому времени логи уже были недоступны. это произошло в начале месяца.
я перенес сайт на другую услугу - но не из-за этого, панель новую захотелось. поставил tripwire. пока он не появился. Joomla 2.5.28 пропатченная и никакого вареза. кроме этого патча https://virtuemart.net/news/latest-news/478-joomla-security-release-3-6-5-and-patch-for-joomla-2-5-28   пропустил как-то. ZOO есть у меня - бесплатный, blog и еще что-то.

проблема такая с хостером - скрипт tripwire в cron через wget не шлет письма иногда если интервал ставить раз в час. раз в сутки шлет. разбираюсь с саппортом.

Из подозрительного только один файл в корне.
Содержимое показалось более чем странным:

Спойлер

[свернуть]

Блин мне опять залили подобный файл в корень сайта. Капееец.

Значит или не всё удалили или не все уязвимости закрыли, смотрите логи, если время создания файла не измененное, то можно посмотреть по конкретному времени.

Блин мне опять залили подобный файл в корень сайта. Капееец.

Прочитайте еще раз мой пост выше.

Есть у кого-нибудь сайты на Joomla 2.5?

Должен быть такой файл: site.ru\manul\static\signatures\malware_db.xml

Есть у кого-нибудь сайты на Joomla 2.5?

Должен быть такой файл: site.ru\manul\static\signatures\malware_db.xml

И причем тут движок?
Написано же, что это  manul похороненный

И причем тут движок?
Написано же, что это  manul похороненный

Я не знаю что это за манул папка

Антивирус от яндекса, можно спокойно удалять папку.
Я смотрю даже не знаете, что у вас на сервере происходит.

я уже все подчистил. и сменил все пароли.
а что за два патча?

Ни чего вы не почистили, чистка включает в себя, закрытие уязвимостей  и накат обновлений с патчами.

Блин мне опять залили подобный файл в корень сайта. Капееец.

Так и будет пока кто либо компетентный не выполнит работы.

Вам желаю хорошего само обучения! И приобретения опыта.

Прочитал на серче совет про отплючение функций php:

Отключаем не нужные для 95% сайтов функции ( и нужные для 99% шелов)

disable_functions = exec, system, passthru, popen, shell_exec, proc_open, proc_close, proc_nice, get_current_user, getmyuid, posix_getpwuid, apache_get_modules, virtual, posix_getgrgid, getmyinode, fileowner, filegroup, getmypid, apache_get_version, apache_getenv, apache_note, disk_free_space, diskfreespace, dl, ini_restore, openlog, syslog, highlight_file, show_source, symlink, disk_total_space, ini_get_all, get_current_user, posix_uname

Кто что думает?