Начали приходить письма с Google: Новый владелец сайта... - Безопасность сайтов на Joomla

Какая-то зараза перехватывает контроль над сайтами в Google Search. При этом не могу понять с какой целью это делается. Подтверждение всегда получено при помощи загрузки стороннего html-файла и почта при этом всегда разная. Кто-нибудь сталкивался с таким?

Что странно, один из сайтов, который у меня перехватили я закончил буквально на прошлой неделе и он гарантированно чист - никакого вареза там и быть не может, все своими ручками верстал. Соответственно и движок свеженький, обновленный до последней версии. Не пойму как злоумышленники умудрились загрузить свой файлы на хостинг. Не могли ли же они доступ на сам хостинг получить? Тогда бы уж все сайты скопом бы взяли, да и пароли я сменил уже.

Была аналогичная ситуация при уязвимости сессий  с 12.12.2015 года. Еще и заливали левый sitemap.xml в корень сайта.

Была аналогичная ситуация при уязвимости сессий  с 12.12.2015 года. Еще и заливали левый sitemap.xml в корень сайта.

Тоже сначала подумал на уязвимость в движке или может пароль подобрали, но сейчас заметил кое-что интересное. Один из моих сайтов представлял с собой единичный файл index.html - однако в директории, где этот файл лежал также появились вредоносные вставки. Как такое возможно?

Архив с вредоносом прикрепляю:
https://my-files.ru/964pzc
При этом index.html был переименовать в home.html и на него теперь ссылается новоявленный index.php которого ранее не было. По струкутре архива вижу, что это зараза конкретно под Joomla, но что-то больше сказать не могу.

Может кто подскажет кто подскажет куда копать? Как злоумышленник мог провернуть такое? Хочу подстраховаться от повторений. И так сейчас куча сил уйдет на восстановление.

Не могли ли же они доступ на сам хостинг получить? Тогда бы уж все сайты скопом бы взяли, да и пароли я сменил уже.

та чего ж не могли, могли конечно. сплошь и рядом из-за неправильной настройки встречается ситуация, когда ломают один сайт/пользователя, а получают доступ ко всем. плюс недавно появился 0day для debian, там вообще рута получают.

Ну скорее всего переползло с других сайтов. А что на других сайтах стоит?

Добавляют, чтобы быстро проиндексировать дорвеи, если сайты не разделены, то вирус ползает по всем сайтам на аккаунте.

Ну скорее всего переползло с других сайтов. А что на других сайтах стоит?

На некоторых сайтах и вовсе ничего не стоит, чистая статика, но внутри них тоже вижу вредонос. Хостинг на smartape.

Еще заметил, что появились ftp-аккаунты которых я не создавал. Значит ли это, что взлом был не через сайты, а просто был скомпрометирован пароль от хостинга? Я же верно понимаю, что через php на сайтах никак не создать ftp аккаунты и не узнать пароль от хостинга?

Если пароли, где-то хранятся на хостинге, то можно узнать. Можно подобрать. Или иногда бывает алгоритм генерации аккаунт/пароль -можно предугадать пароль аккаунта, если он не менялся. Вариантов вообще уйма, как могли взломать.

Если пароли, где-то хранятся на хостинге, то можно узнать. Можно подобрать. Или иногда бывает алгоритм генерации аккаунт/пароль -можно предугадать пароль аккаунта, если он не менялся. Вариантов вообще уйма, как могли взломать.

Блин, плохо и не понять тогда вектор атаки. Если бы это был просто взлом пароля я бы был более-менее спокоен, так как пароли уже поменял, но если влезли как-то через сайты, это полный пипец. Что плохо, у хостера нет возможно разделить сайты или как ограничить скрипты директорией выполнения. Даже не знаю, что делать.

Блин, плохо и не понять тогда вектор атаки. Если бы это был просто взлом пароля я бы был более-менее спокоен, так как пароли уже поменял, но если влезли как-то через сайты, это полный пипец. Что плохо, у хостера нет возможно разделить сайты или как ограничить скрипты директорией выполнения. Даже не знаю, что делать.

Сайты можно разделить на аккаунты, 1 акк- 1 сайт, либо берете VDS/VPS и там настраиваете

Это дорого. Кажется нашел источник заражения. Компонент Akeeba Backup. На всех сайтах, внутри этого компонента айболит нашел вставки. Да, может быть и не он источник, но интуиция говорит, что Akeeba виноват.

Это дорого. Кажется нашел источник заражения. Компонент Akeeba Backup. На всех сайтах, внутри этого компонента айболит нашел вставки. Да, может быть и не он источник, но интуиция говорит, что Akeeba виноват.

как то жестко вы его
если с сайта разработчика то не может
но межет какая уязвимость в нем была и этим воспользовались

у самого стоит на всех сайтах и всегда тихо

Наверняка не акеба. А хостинги есть на которых такого бы не случилось. Теперь реально придется долго чистить, если конечно не вытащить старые бекапы и не раскидать по разным аккам, обновив их. Чистить все равно придется.

Компонент с оф. сайта, но на некоторых сайтах не обновлялся давно. Насчет чистить, да, верно. Там под сотню сайтов, работы уйма. Конечно, попробую для начала бэкап развернуть старый от всего аккаунта, но если повториться все, придется перебирать все поштучно.

поэтому изоляция наше все

Компонент Akeeba Backup. На всех сайтах, внутри этого компонента айболит нашел вставки. Да, может быть и не он источник, но интуиция говорит, что Akeeba виноват.

Нет

Нет

+
Да и к такому равно или поздно приходит, если держать сайты без изоляции.

+
Да и к такому равно или поздно приходит, если держать сайты без изоляции.

Увы, какой хостинг дали с тем и работаю.

Увы, какой хостинг дали с тем и работаю.

Надо правильно объяснить, к каким затратам может этот хостинг привести, и что лучше немного больше заплатить и сделать по уму.

Это дорого.

Ну вот а теперь посчитайте... на сколько дорого вам обойдется сейчас, лечение сайтов, которых около сотни, как вы говорите выше или арендовать свой VDS/VPS? а если при лечение сайта был упущен хоть один бэгдор? или снова воспользовались какой либо уязвимостью и пробили вас? что лучше, с экономить на хостинге или постоянно лечить всю сотню сайтов? или один проблемный сайт на аккаунте?

Могли так-же у вас на компьютере перехватить пароль. Проверьте на вирусы и смените пароли.

Надо правильно объяснить, к каким затратам может этот хостинг привести, и что лучше немного больше заплатить и сделать по уму.

В том-то и дело, что затраты - только мое время на восстановление. А хостинг уже оплачен на 3 года вперед, не станет работодатель менять его. К тому же, это первый такой случай за два года, до этого все тип-топ было. Cегодня с утра закончил восстановление и вычистил весь подозрительный хлам. Надеюсь не повториться.

Могли так-же у вас на компьютере перехватить пароль. Проверьте на вирусы и смените пароли.

Да, могли, но скорее-всего не у меня, а с компьютера работодателя) Пароли все сменил давно, пока тихо.

В том-то и дело, что затраты - только мое время на восстановление.

Значит не ценим своё время. Да и на самом деле затраты больше: потеря траффика, потеря репутации, потеря клиентов

Значит не ценим своё время. Да и на самом деле затраты больше: потеря траффика, потеря репутации, потеря клиентов

Там нет такого уж большого трафика, даже если брать все сайты скопом, потеря дня не критична, а чтобы развернуть бэкапы больше и не нужно.

Время я свое ценю. Но допустим, даже если все сайты перенесу на VPS, это не избавит меня от необходимости за ними приглядывать, скорее только добавит работы за счет администрирования сервера.

Могли так-же у вас на компьютере перехватить пароль. Проверьте на вирусы и смените пароли.

Тоже хотел об этом написать, что вполне возможен компьютерный вирус, который внедряется в исходники. Я и сам так попал однажды еще в 2007 году, голову поломал, откуда на сайте левые фреймы лезут
А в прошлом году также разработчики госуслуг лоханулись. Так что в описанной ТС-ом ситуации, на мой взгляд выглядит куда более правдоподобно, нежели взлом только что законченного сайта.

Тоже хотел об этом написать, что вполне возможен компьютерный вирус, который внедряется в исходники. Я и сам так попал однажды еще в 2007 году, голову поломал, откуда на сайте левые фреймы лезут
А в прошлом году также разработчики госуслуг лоханулись. Так что в описанной ТС-ом ситуации, на мой взгляд выглядит куда более правдоподобно, нежели взлом только что законченного сайта.

Ладно, убедил меня, чертяка. Проверюсь)

Время я свое ценю. Но допустим, даже если все сайты перенесу на VPS, это не избавит меня от необходимости за ними приглядывать, скорее только добавит работы за счет администрирования сервера.

Есть шаред хостинги с изоляцией, на очень  худой конец можно  попробовать использовать open_basedir - с запретом исполняемых скриптов.

Есть шаред хостинги с изоляцией, на очень  худой конец можно  попробовать использовать open_basedir - с запретом исполняемых скриптов.

Пример такого хостинга можно? Без ограничений на кол-во сайтов и в пределах ~3000 р. / год.