Взлом сайта терористами - страница 2 - Безопасность сайтов на Joomla

Другой способ - .ftpaccess

Файл создаётся в корневой директории сайта (или вышележащей директории - public_html, htdocs, docs) и ограничивает ftp-доступ к этой директории и всем поддиректориям по IP. Если Вы используете статический IP для работы с сайтами, можно ограничить ftp-доступ одним своим IP (или своей подсетью, если IP динамический, но из ограниченного диапазона). Синтаксис:

<Limit ALL>
Allow from ххх.ххх.ххх.ххх # где ххх.ххх.ххх.ххх Ваш адрес IP
Deny from all
</Limit>

ЕЩЁ НЕ ЗАБУДЬТЕ 127.0.0.1 или хз что у вас там в конфиге - это если у вас фтп в системе включен

курил два года назад и что ? ты попробуй для начала сам-то ...

я имел в виду при вкл фтп в системе если вы ограничили доступ по фтп своим айпи ,то необходимо добавить айпи из конфигурации ... что тут непонятного не понимаю...
пс.вроде на форумах на ты оьщаются ?

.... а теперь через этот файл ползают на сайт и им пофиг уже на ваши ФТП доступы и пароли.

Да скорее всего так, но как обнаружить тот файл?
И еще не совсем понятно как можно поменять файл в правами - 400
Родилась еще идея, до выяснения файла, может есть возможность в Joomla изменить название файла index.php на какоето другое? Соответственно в конфиге апача мы потом все поменяем.

А не может быть, что Вас через хостера ломают?

SEF

Т.е. SEF можно настроить таким образом, что главный загрузочный файл будет не index ?

Т.е. SEF можно настроить таким образом, что главный загрузочный файл будет не index ?

да, достаточно включит "использовать mod_rewrite" в общих настройках. И переименовать htaccess.txt в .htaccess
Но на безопасность это никак не повлияет

А не может быть, что Вас через хостера ломают?

Мы тоже про это думаем. Решили разнести сайты по разным хостерам (работа конечно мудацкая) с 2 целями (мы возьмем бэкапы до взлома).

1. Убедиться что нас ломают не через хостера (или убедиться в этом)
2. Тот сайт который сломается, в нем уже искать уязвимость (ну если сломаются все, опять, тогда станет ясно что зараза уже внутри каждого сайта)

Мы проанализировали HTML код наших страничек (хорошо что их там не много), сейчас ищем систему (или веб сервис) который с точностью до минуты определит когда меняется наш файл index.php

Да, еще, в очередной раз подложим заразу Verio (в прошлый раз они нам помогли разобраться с херней). Очень дорогой хостинг. Но думаю если они нам и в этот раз помогут, уйдем к ним.

как обнаружить тот файл?
И еще не совсем понятно как можно поменять файл в правами - 400

Вероятно Вам залили шелл. Если хостер не оказывает услуг по сканированию директорий сайта антивирусом, то простейший способ этот шелл найти - это скачать весь сайт полностью, включая картинки и прочее, на локальный компьютер и просканировать парой хороших антивирусов со свежими базами. Но это не снимает вопроса - как шелл был залит? Где-то есть "дыра".

Дыру можно искать в логах (подозрительны любые обращение к php-файлам, отличающимся от корневого index.php), а можно гуглом. Составьте полный список используемых модулей, компонентов и плагинов (включая номер версии) и погуглите, на предмет обнаруженных в них уязвимостей.

somick, Вы извините, но тема названа некорректно. В данном случае в качестве "террористов" ваступают какие-нибудь турецкие школьники, подчерпнувшие информацию об уязвимости Joomla от больших дядь на каком-то своем форуме и решившие поиграться. А суть послания в том, что эти "хакеры" назвали государство Израиль террористом и призвали остановить террор. Такова суть их послания. (правда непонятно, зачем для этого ваш сайт. Кстати, хакер оставил свое мыло)
Поэтому лучшим выходом из ситуации будет чистка сайта и своевременное обновление.

somick, Вы извините, но тема названа некорректно. В данном случае в качестве "террористов" ваступают какие-нибудь турецкие школьники, подчерпнувшие информацию об уязвимости Joomla от больших дядь на каком-то своем форуме и решившие поиграться. А суть послания в том, что эти "хакеры" назвали государство Израиль террористом и призвали остановить террор. Такова суть их послания. (правда непонятно, зачем для этого ваш сайт. Кстати, хакер оставил свое мыло)
Поэтому лучшим выходом из ситуации будет чистка сайта и своевременное обновление.

Мопед не мой Я просто активно интересуюсь этими "антиреррористами" потому что ломают они бодро и давно. Движки ломают разные: DLE регулярно, Wordpress слышал тоже ломают.

Кстати, своими действиями они вызывают противоположенный эффект: сочувствовать начинаешь израильтянам, что у них соседи такие идиоты.

Да не спорю: мне самому давно интересно, откуда эти школьники черпают информацию об уязвимостях Joomla. Возможно есть какой-то хаккерский ресурс - было бы полезно учитывать специфику Joomla.

Нажмите на ссылку которую товарищ давал на 1 страницы данной новости ведущую в Google и посмотрите сайты которые ломали. на некоторых из них можно понять что там присутствует шел атака

Итак, можно сделать первые выводы

Ломают через хостера. Мы перенесли несколько сайтов, на другой хостинг. Сайты в добром здравии находятся уже несколько дней.

Стараемся делать это у разных, чтобы понять где сидит shell

А вот что касается информационных ресурсов по безопасности, то это конечно интересно. Но заниматься сам постоянно этим не будешь, а чтобы это окупалось, и держать на этом человека, таких сайтов должно быть как минимум сотни две.

Я был прав
хотя улыбка здесь не уместна...

Хочется спросить у общественности. Существует ли какой то ресурс или сервис, который четко укажет какие файлы поменялись и добавились на сайте?
Ведь тогда, по идее, станет видно.
Лог сервера, вещь конечно интересная, но не информативная.
Может написать какой то обработчик, который разложит по полочкам, разные действия над сервером? (хотя я уверен что они существуют)

фтп в этом деле помогает : )
файлы сортируются по папочкам и.... кстати, в папке дата изменения тоже меняется, если файлы внутри были добавлены/изменены

по отслеживанию...левых внезапно появившихся скриптов...есть такой сервис

по отслеживанию...левых внезапно появившихся скриптов...есть такой сервис

+1 пригодится

по отслеживанию...левых внезапно появившихся скриптов...есть такой сервис

Этот сервис отслеживает новые JavaScript'ы, тогда как новые файлы php он оследить не сможет никак. Т.е. защиты от шеллов он не предложит никакой вообще. Кроме того, этот сервис не отличает собственный js движка (используемый, например, для скрытия e-mail) от js-вирусов, поэтому будет постоянно долбить мозг ложными срабатываниями. Пользовался -> отказался.

Хочется спросить у общественности. Существует ли какой то ресурс или сервис, который четко укажет какие файлы поменялись и добавились на сайте?

Отследить изменения в директориях сайта можно только по ftp/SSH. Если есть локальная не взломанная версия сайта, можно сравнить её с удалённым сайтом утилитами вроде Beyond Compare (которые работают и по ftp). Новые файлы найдёте относительно быстро, но если искать изменения в файлах, сравнивая файлы по CRC (а сравнение по размеру почти наверняка будет некорректным), то лучше это делать, предварительно скачав сайт на локальную машину: скорость работы увеличится раз... ну, я на знаю, как называется число, с таким количеством нулей.

итак прошел месяц
Все наши сайты живы и здоровы. Мы даже, на некоторых, для эксперимента, сняли всю ту защиту которую городили.
Итак с уверенностью можно сказать, что это хостер.

Советов по поводу выбора хостера давать не буду - они надеюсь всем известны

а назовите хостера

Вставлю свои 5 коп., в ваше обсуждение =)
Вот сегодня нашел на хабре: http://habrahabr.ru/blogs/sysadm/100961/

Такой метод не исключен =) И это не зависит от сайта =)

а назовите хостера

У которого сайты лежали? Не скажу по собственным соображениям, тем более они свернулись
К кому переехали - народ сочтет за рекламу

ну если народ спрашивает, то за рекламу не сочтет : )

На данный момент остановились на p-host.com.ua

Думаем взять дедик на hetzner.de