Спасти сайт от спама - Безопасность сайтов на Joomla

Столкнулся с такой же бедой! Спам сыпется ежесекундно, скачал файловый архив сайта 3,5 ГБ, проверил айболитом.
Такой результат:
Затрачено времени: 2 h 4 m . Сканирование начато 22-05-2018 в 07:31:35, сканирование завершено 22-05-2018 в 09:36:02
Всего проверено 2683 директорий и 31951 файлов. Использовано памяти при сканировании: 10.71 Mb.
Сводный отчет
Вредоносных скриптов   21
JS Вирусов   2
Исполняемых файлов   1
Пропущенных больших файлов   550
Рекламных ссылок и кодов   6
Сравнивал с рабочей версией файлового архива от марта 2018 г. и там где были расхождения, все возвращал в "родное " состояние. В марте 2018 г. сайт работал нормально.
Хостер включил сайт и спустя 5 минут опять его выключили.
В журналах хостера такая картина:
https://cloud.mail.ru/public/AMjS/XivzhyF51
Я попробовал зайти по быстрому выключил всех пользователей кроме себя, удалил phpmailer.php,
а в журнале как шел поток спама, так и продолжался

Помогите, пожалуйста!

В контактах вырубить галочку "слать копию мне" или как-то так. Установить https://extensions.joomla.org/extension/easycalccheck-plus/, настроить.

Хотя может и вирус.

Хотя может и вирус.

Так айболит же дал результат.

Сводный отчет
Вредоносных скриптов   21
JS Вирусов   2
Исполняемых файлов   1
Пропущенных больших файлов   550
Рекламных ссылок и кодов   6

все возвращал в "родное " состояние. В марте 2018 г. сайт работал нормально.
Хостер включил сайт и спустя 5 минут опять его выключили.

При восстановлении из бекапа нужно удалять все в корне сайта. Иначе находящие файлы с шелл/вирусом не удаляться и не перезапишутся .

Так айболит же дал результат.

Он всегда его дает. Оценить еще надо.

Установить https://extensions.joomla.org/extension/easycalccheck-plus/, настроить.

Ситуация осложнена еще тем, что сайт на Joomla 1.5.26,
там еще установлен  Joomla firewall (это установил 1.5 года назад подрядчик после первой аналогичной атаки), и вот сайт благополучно 1.5 года жил, и вот тебе с*ка на...
Хотя бы месяц еще бы поторчал - у меня на подходе на Joomla 3.8 новый сайт. И вот теперь в сети ни одного сайта, скоро начальство возьмется за этот вопрос...

    Так айболит же дал результат.
Он всегда его дает. Оценить еще надо.

Так я его вроде оценил и "удалил", "подправил" явные косяки. Был один jpg (просмотрщиком никак не открывался), но при открытии AkelPad состоял сплошь и рядом из порноссылок)), но айболит часто ругается и на просто картинки (если открыть их опять блокнотом, может быть подозрительное совпадение символов, букв), но Xnview их отлично открывает. В index.php шаблона был встроен php код и сссылка, вернул index.php к родной версии от 2010 года.

Что еще делать то... Помогите, пожалуйста...
Не дает мне покоя в журналах хостера повторяющаяся строка /index.php?option=com_contact&view=contact&id=1&itemid=137

Напомню в журналах хостера такая картина:
https://cloud.mail.ru/public/AMjS/XivzhyF51

Помогите, мне бы его хотя бы на недельку запустить...

Мало того что пролечить айболитом, да и айболит 100% не выявляет всех заражений, к этому всему еще трбуются профилактические меры безопасности. Также тут может еще играть роль безопасности самого хостинга.

Мало того что пролечить айболитом, да и айболит 100% не выявляет всех заражений, к этому всему еще трбуются профилактические меры безопасности. Также тут может еще играть роль безопасности самого хостинга.

так-то я Вас понимаю... Но что делать... И что делать с /index.php?option=com_contact&view=contact&id=1&itemid=137

Он всегда его дает. Оценить еще надо.

+

И что делать с /index.php?option=com_contact&view=contact&id=1&itemid=137

А почему надо с ней что-то делать?

так-то я Вас понимаю... Но что делать... И что делать с /index.php?option=com_contact&view=contact&id=1&itemid=137

Поставте логирование POST запросов, а от туда картина станет более яснее, что и куда долбится, и что с этим делать...

Поставте логирование POST запросов, а от туда картина станет более яснее, что и куда долбится, и что с этим делать..

Подскажите, пожалуйста, как это сделать?

В настоящее время развернул на денвере свой взломанный сайт с базой SQL 47MB и 3.5Gb файлового архива. Хочу его помучить, но только не знаю с чего начать лучше... Опять айболит что-ли...((
Скрин сайт на денвере https://screenshots.firefox.com/RoXXb8j7QlnBYqE7/localhost
В папке sendmail вроде как порядок...
настоящий сайт terbuny.org

Самое обидное - правда неделю не дожил до нового сайта на joomla 3.8

    И что делать с /index.php?option=com_contact&view=contact&id=1&itemid=137

А почему надо с ней что-то делать?

Просто интересно, почему в журнале хостера постоянно повторяется эта запись...

Ситуация осложнена еще тем, что сайт на Joomla 1.5.26,
там еще установлен  Joomla firewall

Патч для сессий установлен ?

Патч для сессий установлен ?

Если честно - не знаю где это посмотреть, а файрвол правильно называется rsfirewall

По ошибке в файле libraries/joomla/session/session.php on line 343
https://joomla-support.ru/thread/46552/#post-185122

Сделал бэкап базы и файлов на хостинге, удалил все из каталогов httpdocs и httpsdocs (т.е. там ничего нет), глянул журнал на хостинге и опять ужаснулся: спам идет с той же скоростью
Скрин: https://cloud.mail.ru/public/Gxp6/LkoNWHD5p
Кстати, как тут фото по нормальному прикладывать? Без Яндекс-диска, облако и т.п....?

Вот, что может генерировать такой поток спама, если в корневом каталоге теперь: см. https://cloud.mail.ru/public/47R1/NkurM9TAv

БД осталась только одна, на что еще грешить не знаю...

Надо найти этого хакера и написать ему - че ты творишь, сыкло, беспледельщик, завязывать спам слать, крыса

Надо найти этого хакера и написать ему - че ты творишь, сыкло, беспледельщик, завязывать спам слать, крыса

не, а если серьезно??))

Если серьёзно, то для начала обновиться на актуальную версию, либо сделать новый сайт на актуальной и туда перенести тексты с сохранением структуры url

Если серьёзно, то для начала обновиться на актуальную версию, либо сделать новый сайт на актуальной и туда перенести тексты

на новой версии Joomla сайт уже почти готов, как бы этот хотя бы ненадолго запустить. И что может генерировать такой поток спама, если файлов уже нет?

Мне отсюда не видно. Пару идей в теме предложили. Если спецу на месте смотреть, то наверняка найдёт.

А где спам, если скриптов нет ?
Прописать редирект в .htaccess на запрос в контакт .
option=com_contact&view=contact

Люди, кто знает - объясните, пожалуйста, как может идти поток спама при отсутствующих файлах CMS Joomla (см. скриншот https://cloud.mail.ru/public/47R1/NkurM9TAv)
Осталась только БД сайта, но поток сайта продолжает идти (см. скриншот https://cloud.mail.ru/public/Gxp6/LkoNWHD5p)
Хостер, подумав 2 часа, ответил мне что база данных инициализирует запросы, рассылает спам и пытается обратиться  к какому-то файлу, который теперь удален (ведь каталог httpdocs я почистил).
Но как так-то? Я всегда думал, что CMS обращается к БД, а не БД к сайту??
И откуда этот б***ский поток спама (см. скриншот https://cloud.mail.ru/public/Gxp6/LkoNWHD5p)

Люди, кто знает - объясните, пожалуйста, как может идти поток спама при отсутствующих файлах CMS Joomla (см. скриншот https://cloud.mail.ru/public/47R1/NkurM9TAv)
Осталась только БД сайта, но поток сайта продолжает идти (см. скриншот https://cloud.mail.ru/public/Gxp6/LkoNWHD5p)
Хостер, подумав 2 часа, ответил мне что база данных инициализирует запросы, рассылает спам и пытается обратиться  к какому-то файлу, который теперь удален (ведь каталог httpdocs я почистил).
Но как так-то? Я всегда думал, что CMS обращается к БД, а не БД к сайту??
И откуда этот б***ский поток спама (см. скриншот https://cloud.mail.ru/public/Gxp6/LkoNWHD5p)

это журнал access_log'a, ведет логирование всех запросов к сайту, время, юзер-агент, показывает код ответа сервера, в вашем случае 503, даже если у вас ничего не будет на аккаунте, он всеравно будет вести лог запросов, есть даже один из типов DOS атак, когда засоряют журнал access_log'а, происходит переполнение памяти выделенной на аккаунте и сайт падает...

1. Сайт работает, зачем его спасать?
2. Что вы имели в виду под "спам"? Как winstrool уже писал, на скриншотах - журнал логов, где зарегистрированы запросы к сайту. Они как-то вам мешают?
3.

инициализирует запросы, рассылает спам и пытается обратиться  к какому-то файлу, который теперь удален (ведь каталог httpdocs я почистил).

Не знаю такой БД, которая может все это делать.

Хостер, подумав 2 часа, ответил мне что база данных инициализирует запросы, рассылает спам и пытается обратиться  к какому-то файлу, который теперь удален

Но как так-то? Я всегда думал, что CMS обращается к БД, а не БД к сайту??   

та никак. естественно, это бред. у вас как и сказал @winstrool просто регистрируются в логе обращения. а существуют файлы или нет - не важно.

На новой Joomla только не забудьте отключить галку и поставить какую капчу/рекапчу на контактную форму, иначе ситуация со спамом повторится.
RS Firewall  не бесплатен, если не покупали,  то стоит почитать Не используйте варез!

В общем проблему решил так: выкачал через панель хостера файлы и БД, развернул все дома на денвере, подправил configuration.php - все заработало. Потока спама я не почувствовал))
Затем:
1) зашел в админку, удалил старые ненужные плагины, расширения, модули
2) скачал оф. дистрибутив Joomla 1.5.26, сравнил файловый состав дистрибутива со своим архивом, при этом явно выраженные левые каталоги, например, в editors - dfsfdf454605hgh я удалил. Затем сверху накатил все что было в оф. дистрибутиве на свой файловый каталог сайта за исключением каталога installation
3) полученный таким образом файловый каталог сайта еще раз проверил айболитом, удалил, почистил, что показалось нужным
4) на хостинге полностью вычистил файловый каталог сайта, загрузил свой каталог
5) сайт заработал, но криво
6) удалил на хостинге БД и импортировал туда версию БД после шаманства с удалениями различных расширений, плагинов и т.п.
7) поменял все пароли на очень сложные 20-значные))

Сейчас вроде все работает. Хостер сайт еще не отключил))
Хз, правильно ли я все делал или нет, опыта маловато...

Было же в этой теме,  Вы патчи на Joomla поставили?  Статья морально устаревшая, но там можно взять патчи  - ссылка
То,  что сайт криво работает,  может быть,  что  или вирус повредил, или лишнее удалили - включайте отладку или смотрите логи ошибок, скачивайте сторонние расширения и сравнивайте файлы с файлами на сервере. Бд тоже не мешает айболитом прогнать.

Статья морально устаревшая, но там можно взять патчи  - ссылка

По Вашей ссылке патчи поставил, права на все каталоги 755, файлы 644, configuration 444