Взломали несколько сайтов - Безопасность сайтов на Joomla

Взломали несколько сайтов на одном хостинге одновременно,сначала хостеры сказали через фтп-это первый раз,откатили по бэкапу все заработали,пароль поменял,на компе его не держу,антивирус стоит.Через 2 недели опять таже история...теперь говорят что всё дело в движке,надо мол дыру в нём искать....вот я теперь не пойму надо во всех их искать (5 сайтов) и как это сделать...слить их на локалку и там их антивирусом проверить или ещё можно как нибудь?

Для начала версия Joomla  какая у вас стоит?!
Попробуйте скачать на локал хост и и проверить антивирем =) но думаю это ничего не даст, хотя кто знает =)
Далее можете поискать сторонние скрипты который вы не заливали на сайт =)
Потом.. какие расширения у вас стоит под Joomla?!
Чаще бывает так, что движок то по сути дыр не имеет, если стоит последняя актуальная версия. И виной всему могут быть сторонние расширения =)

а как узнать даст или не даст,сейчас то всё работает....и в каких папках искать скрипты...хотя как их искать я не знаю потому как не заливал ничего.....Версия 1.5.14
Community Builder,Ignite Gallery,JCE Administration,JComments,MorfeoShow,uddeIM,Форум FireBoard.

а как узнать даст или не даст,сейчас то всё работает....и в каких папках искать скрипты...хотя как их искать я не знаю потому как не заливал ничего.....Версия 1.5.14
Community Builder,Ignite Gallery,JCE Administration,JComments,MorfeoShow,uddeIM,Форум FireBoard.

Искать скрипты типа шел, смотри по дате создания файлов! Возможно есть посторонние файлы, что не принадлежат ни Joomla ни компонентам!
А вот нащет обновлени версий это могу сказать сразу и смело.. обновляй все до самых последних версий. Предварительно сделав бекапы. Ибо после обновления ты не пргираеш, а только избавишся от ошибок которые присутствуют в прошлых версиях!

какой антивирус?

NOD32

во всех папках их искать надо или есть какие то отдельные?

как ищутся заражённые файлы, один из вариантов - берёшь весь сайт выкачиваешь в себе на тачку, потом находишь один заражённый файл, смотришь у него дату модификации. После этого ищешь все файлы с этой датой модификации.

недавно был случай...вирус на сайт залез по FTP именно с компьютера на котором был установлен NOD32 с новыми базами...
скачайте какой-нибудь другой антивирус и проверьтесь им, а то так и будете каждую неделю из бекапа восстанавливаться...

P.S. рекомендую Касперского, у них на сайте по-моему есть триальная версия...

Вири-Вири.. да не в них дело как мне кажется! =)
Скорей всего, все гораздо проще и банальней =) Возможно просто злоумышленник воспользовался уязвимостью в одном из компонентов!

А если из компонента,то что делать тогда?

А если из компонента,то что делать тогда?

для начала обновить компонент до последней стабильной версии или искать альтернативу

P.S. по собственному опыту, через дыры ломают 2 сайта из 10, остальные 8 ломают банально вирусы...
при условии, что установлена последняя стабильная версия Joomla и последние стабильные версии, заслуживающих доверия, расширений

Обновил,как написано сдесь же где то,слил по фтп поверх старой версии...а старые файлы двойники не надо удалять,которые остались от старой версии?

Обновил,как написано сдесь же где то,слил по фтп поверх старой версии...а старые файлы двойники не надо удалять,которые остались от старой версии?

какие ещё старые файлы?

configuration,CHANGELOG,INSTALL...и т.д.

у меня они по два раза теперь стали видны

два файла с одним и тем же названием и расширением (учитывая регистр) не могут существовать в одной и той же директории...
проверьте имя и расширение — они разные...

если вы всё сделали правильно, то вы заливали файлы поверх т.е. старые заменяли на новые...т.е. старые файлы стерлись, а новые появились...

Да,вы правы...только вот два файла смущают LICENSES и LICENSE раньше был один...не вирусный ли это файл?

у меня они по два раза теперь стали видны

У меня так бывает в фаре, когда был обрыв сессии - это глюк фтп-менеджера.

Joomla 1.5.15
у меня в корне лежит только
LICENSES.php
содержащий копирайты
строчку defined('_JEXEC') or die('Restricted access');
и текст лицензии
начинающейся

Joomla! includes or is derivative of works distributed under the licenses listed below.

This file includes the full text of the following licenses:
------------------------------------------------------------------

т.е. кода (кроме defined('_JEXEC') or die('Restricted access');)
никакого быть не должно

у меня перед defined('_JEXEC') or die('Restricted access') стоит такой текст:
<?php
/**
 * @version      $Id: LICENSES.php 12356 2009-06-24 18:20:14Z ian $
 * @package      Joomla
 * @copyright   Copyright (C) 2005 - 2009 Open Source Matters. All rights reserved.
 * @license      GNU/GPL, see LICENSE.php
 * Joomla! is free software. This version may have been modified pursuant
 * to the GNU General Public License, and as distributed it includes or
 * is derivative of works licensed under the GNU General Public License or
 * other free or open source software licenses.
 * See COPYRIGHT.php for copyright notices and details.
 */

дальше как Вы говорите

<?php
/**
 * @version      $Id: LICENSES.php 12356 2009-06-24 18:20:14Z ian $
 * @package      Joomla
 * @copyright   Copyright (C) 2005 - 2009 Open Source Matters. All rights reserved.
 * @license      GNU/GPL, see LICENSE.php
 * Joomla! is free software. This version may have been modified pursuant
 * to the GNU General Public License, and as distributed it includes or
 * is derivative of works licensed under the GNU General Public License or
 * other free or open source software licenses.
 * See COPYRIGHT.php for copyright notices and details.
 */

это и есть копирайты...так и должно быть
проверьте файл до конца...должен быть просто текст лицензии
вирусы любят...записывать свои щупальца именно в конец файла...

хотя обычно вирусы сюда не ползут...
чаще их отростки можно найти в index.php и в различных ява файлах

ага,сейчас гляну там,спасибо.