Взлом сайта терористами - Безопасность сайтов на Joomla

вобщем захожу сегодня на парочку своих сайтов и вижу - писец им....

Hack Egitim & 2010 Root Exploit Satislari Devam Ediyor! 50 TL ( HEXB00T3R@Hotmail.com )

Our war will continue against the ones who are against the real religion islam

Real Terrorist Zionist israel - BOYCOTT ! Stop Supporting Baby Killers

HACKED by HEXB00T3R

Ребят кто встречался с таким? кто знает че делать.. думаю взломали по фтп, но пи беглом просмотре лишних кусков кода не нашел...
 ! ! ! ! !

поменяй пароли ,сделай рековер из бекапа, еще раз смени пароли

потом смотри логи и думай где дыры

Подобных тем взломали сайт террористы стало много! =))) никто не заметил?

заметил.. и ПОЧЕМУ людям спокойно не живется.. валить этих сраных хацкеров надо....

Вот террористам больше делать нечего как ломать неизвестные сайты. Школьники балуются.

лекс ,+1!  школьнечги

Закрывайте тему! И так всё ясно!

Просто пароль надо делать от ftp не 12345 , а хороший к примеру yhr82hw.

пароль был длинее в 2 раза, содержал буквы в разных регистрах цирфы и знаки .. чо за фиг.. а так то конешн.. эт имбицылы 15ти летние делают... прост тему назвал чтоб внимание привлечь))

Пароль наверно хоть и длинный, но в FTP  клиенте хранился.

Сперва просмотрите свой компьютер, на вирусы это важно обычно 90 процентов вредоносного кода и подобной ерунды, попадает из за ПО на компьютере, тащат пароли от ftp ну там Total Commander,FileZilla итд а может шпионский модуль который пример антивирус удалит а он обратно в архив и в память оперативную и ждет перезагрузки компьютера, руткиты разные тоже бывало из за это чтоб сбить приходилось вынимать батарейку с BIOSA сбрасывать все настройки снимать память и сносить винду, не знаю сам криптовал троын кидаю на виртуалку где каспер он не палит кидаю где авирой, нортол, нод, палит многие что видят антивирусники что то а что то нет нет нечего уникального, думаю проверти компьютер тот же самый снимфер может сайта что небудь подхватили

Ищите в бекапе шелл и вирусы на компе AVPtool и как его залили. Вариант перезалить по верх базы данных по моему самый простой. Компоненты какие стояли?

по поиску вы не один пострадавший, вот гугль дает ссылка
еще не используйте в качестве ФТП Total Commander

вобщем сменил пароли, восстановил из бекапа, просканил комп на вирусню.. было конечн немного троянчиков.. в качестве фтп использовал филезиллу.

Честно говоря не совсем понимаю, но у меня на хосте 6 сайтов, от всех них ftp пароли создавались генератором (просто уже не первый раз), все храниться в filezilla. Так вот, сегодня с утра прихожу и 4 из 6 сайтов сломаны. Получается что если вирус и стащил пароли, то почему тогда не все.
Где-то слышал о ftp менеджере с шифрованием пароля. Но мне кажется что это не оттуда "ноги растут".

P.s. и все таки это ftp. Вспомнил о 2 сайтах, простые HTML странички, их тоже сломали.

Создавать и закрывать ftp акаунт при каждой кооректировке файлов? Бред

Может кто знает другой способ?

Да еще были у нас 2 бложка на Wordpressе, так вот один сломан, второй живой

Т.о. можно сделать вывод о том что ломают не через sql уязвимость и не через Joomla

Честно говоря не совсем понимаю, но у меня на хосте 6 сайтов, от всех них ftp пароли создавались генератором (просто уже не первый раз), все храниться в filezilla. Так вот, сегодня с утра прихожу и 4 из 6 сайтов сломаны. Получается что если вирус и стащил пароли, то почему тогда не все.
Где-то слышал о ftp менеджере с шифрованием пароля. Но мне кажется что это не оттуда "ноги растут".

P.s. и все таки это ftp. Вспомнил о 2 сайтах, простые HTML странички, их тоже сломали.

Создавать и закрывать ftp акаунт при каждой кооректировке файлов? Бред

Может кто знает другой способ?

Зачем создавать? Просто - не запоминать в клиенте пароль. Хотя и это очень неудобно.

еще не используйте в качестве ФТП Total Commander

тотал тут не причем...
из любого ФТП клиента пароли уводятся, если они там сохранены...

Честно говоря не совсем понимаю, но у меня на хосте 6 сайтов, от всех них ftp пароли создавались генератором (просто уже не первый раз), все храниться в filezilla. Так вот, сегодня с утра прихожу и 4 из 6 сайтов сломаны. Получается что если вирус и стащил пароли, то почему тогда не все.
Где-то слышал о ftp менеджере с шифрованием пароля. Но мне кажется что это не оттуда "ноги растут".

P.s. и все таки это ftp. Вспомнил о 2 сайтах, простые HTML странички, их тоже сломали.

Создавать и закрывать ftp акаунт при каждой кооректировке файлов? Бред

Может кто знает другой способ?

Пользуйтесь хостингом обладающим панелью управления с менеджером файлов. (cPanel, DirectAdmin и др.)

Может кто знает другой способ?

Другой способ - .ftpaccess

Файл создаётся в корневой директории сайта (или вышележащей директории - public_html, htdocs, docs) и ограничивает ftp-доступ к этой директории и всем поддиректориям по IP. Если Вы используете статический IP для работы с сайтами, можно ограничить ftp-доступ одним своим IP (или своей подсетью, если IP динамический, но из ограниченного диапазона). Синтаксис:

<Limit ALL>
Allow from ххх.ххх.ххх.ххх # где ххх.ххх.ххх.ххх Ваш адрес IP
Deny from all
</Limit>

Итак, в результате разбора лог файлов сервера, выяснили что "лезли" товарищи из админки Joomla (пока не совсем понятно как с другими сайтами, те что HTML и Wordpress). С ними будем завтра разбираться

Нашли вот такую тулзу http://extensions.joomla.org/extensions/access-a-security/site-security/12254

Правда платная, тут же купили (кому надо поделюсь, но сначала поймите принцип работы).

главное достоинство что админка "просто" пропадает для товарищей "пионЭров"

Ага, а если сайт 500+ Мб?

В таком случае разбивать на архивы.

расскажи, как штучка работает?...

а то стоит плагин 404- страницы. Иногда приходят сообщения с информацией о каких-то роботах, которые пытаются найти вход в админку, перебирая все варианты... от Wordpressа до битрикса

вроде как плагин по айпи чекает .

расскажи, как штучка работает?...

а то стоит плагин 404- страницы. Иногда приходят сообщения с информацией о каких-то роботах, которые пытаются найти вход в админку, перебирая все варианты... от Wordpressа до битрикса

Главное достоинство - это не только ограничение по IP но и то что для доступа в админку надо знать key, который знаешь и задаешь только ты. На практике это www.ваш_сайт.ru/administrator/?пошел_ты_нахер_пионэр, т.е. для доступа к админке надо передать параметр. Ну плюс шлет на мыло активности.

Но на этом история не закончилась, где-то через 12 часов, пионЭры предприняли очередную, удачную попытку, в итоге сломались все сайты. Мы их быстренько раскатали обратно. Вырубили все ftp аккаунты (просто их поудаляли).

К сегодняшнему утру лежал только один сайт. Попробуем его перенести на другой хостинг. Посмотрим. Хорошо, что все проекты наши и никто кроме нас не страдает.

Нашли вот такую тулзу http://extensions.joomla.org/extensions/access-a-security/site-security/12254

Там как я понял команда разработчиков разделилась, одни по 5 баксов этот плагин толкают, вторая часть сделала бесплатный аналог: http://extensions.joomla.org/extensions/access-a-security/site-security/12271?qh=YToxOntpOjA7czo3OiJqc2VjdXJlIjt9

Но на этом история не закончилась, где-то через 12 часов, пионЭры предприняли очередную, удачную попытку, в итоге сломались все сайты. Мы их быстренько раскатали обратно. Вырубили все ftp аккаунты (просто их поудаляли).

К сегодняшнему утру лежал только один сайт. Попробуем его перенести на другой хостинг. Посмотрим. Хорошо, что все проекты наши и никто кроме нас не страдает.

Вы не первые и, видимо, не последние. Тоесть проблема, как я понял не в подборе пароля к админке и не в ФТП.

Вы добавляли вот это в .htaccess?
А может через вот такую ссылочку ломают: /index.php?option=com_user&view=reset ?
Какая у вас версия Joomla?
Вы пожалуйста, держите в курсе нас, потому что "пионЭры", далеко не пионеры и ломают сайты потоковым методом и очень давно.

Там как я понял команда разработчиков разделилась, одни по 5 баксов этот плагин толкают, вторая часть сделала бесплатный аналог: http://extensions.joomla.org/extensions/access-a-security/site-security/12271?qh=YToxOntpOjA7czo3OiJqc2VjdXJlIjt9
Вы не первые и, видимо, не последние. Тоесть проблема, как я понял не в подборе пароля к админке и не в ФТП.

Пока получается так. Но первичное воздействие идет с/на файлы index.php. Т.к. у нас есть сайты на других платформах и даже просто веб странички

На одном из сайтов, с которого предположительно начинается атака, сделали безопасность файла индекса - 400

Посмотрим

Вы добавляли вот это в .htaccess?

Пока нет. вчера внимательно читал тот топ. Будем последовательно внедрять.

А может через вот такую ссылочку ломают: /index.php?option=com_user&view=reset ?

Таких следов пока не обнаружили. Я так понял это сброс паролей у всех пользователей. Но так ведь потом надо и пользователя подобрать. Хотя наверное админ есть у всех

Родилась идея заблокировать админа и сделать какого то нечленораздельного пользователя. Типа abrakadabra

Какая у вас версия Joomla?

От 1.5.15 до 1.5.18 (ту что с которой начинают ломають 1.5.18)

Вы пожалуйста, держите в курсе нас, потому что "пионЭры", далеко не пионеры и ломают сайты потоковым методом и очень давно.

Безусловно, так же хочется поинтересоваться, насколько проблема животрепещущая, т.е. сколько людей сталкиваются с проблемами взлома. Хотим нанять на время спеца по серверам и безопасности. Просто уже достало. После первой волны взломов, нанимали товарища, который проблему устранил (была такая турецкая кобра). Теперь новая неприятность. Очень не хочется слезать с этой CMS.

Пока получается так. Но первичное воздействие идет с/на файлы index.php. Т.к. у нас есть сайты на других платформах и даже просто веб странички

Если все сайты на разных движках, значит дело не в уязвимости Joomla.

Хотя наверное админ есть у всех

Абсолютно нет, я, создав сайт, первым делом меняю логин админа.

Безусловно, так же хочется поинтересоваться, насколько проблема животрепещущая, т.е. сколько людей сталкиваются с проблемами взлома. Хотим нанять на время спеца по серверам и безопасности. Просто уже достало. После первой волны взломов, нанимали товарища, который проблему устранил (была такая турецкая кобра). Теперь новая неприятность. Очень не хочется слезать с этой CMS.

А что за кобра?
Я тут изучал этот раздел, в основном ломают через уязвимости сторонних компонентов. Но у вас странная ситуация - ломают разные сайты на разных движках... как будто через ФТП, но отключив аккаунты ФТП, вы все равно потеряли один сайт. Возможно, они залили на один сайт файл (раньше по ФТП), а теперь через этот файл ползают на сайт и им пофиг уже на ваши ФТП доступы и пароли.