Сайт постоянно заражается вирусом! - Безопасность сайтов на Joomla

Приветствую вас, уважаемые форумчане. Я работаю администратором сайта evo-info.net. Уже около месяцев 4-5 меня мучает одна проблема. Сайт постоянно заражается различного рода троянами. Хостер на мои письма о трояне отвечает что сайт заражается с локального компьютера при заливке данных через FTP, но я абсолютно точно уверен в том что на моём компьютере вирусов нет, кроме того провожу каждую неделю проверки антивирусами касперского, нодом и доктором вебом. Избавлялся я от злополучного вируса бекапами и изменением всех паролей (это помогало не надолго, но через несколько дней сайт снова заражался). Кроме того в последний раз два дня назад я попросил хостера лично провести бекап без участия моего компьютера, через два дня сайт снова был заражен. Обновление Joomla до последней версии тоже не помогло. Кто-нибудь сталкивался с такой проблемой? Может быть это не случайные заражения, а атаки конкурентов?

Вы правы, на вашем сайте вирус. мой антивирус болкирует доступ к вашему сайту. а если хостер сам сделал бэкап и все равно все заразилось, то может проблема в хостере?

Возможно, но хостер заявляет что проблема либо в локальном компьютере либо в защите сайта, на следующей неделе собираюсь менять хостинг. Может быть есть какие то другие варианты предотвратить эти эпидемии?

проблема что бекапите уже зараженные файлы.

сохраните все на локалке и посмотрите

Возможных вариантов причин этой проблемы множество.

1. На хост залит шелл, через который заливают вирусы. Если сайт восстанавливается из бэкапов без предварительного удаления всех файлов с хоста, восстановление из бэкапа поможет ненадолго. Есть шансы что вирусы или шелл уже "упакованы" в бэкап.
2. Имеется несколько ftp-паролей к хосту, и вирусы заливаются с использованием другого ftp-аккаунта (пароль для которого никто не меняет).
3. Имеется "дырявый" компонен-модуль-плагин, через который можно заливать шеллы (или модифицировать БД и т.д.) неограниченное число раз. Без ftp-доступа.
4. Проблемы безопасности могут быть с другим сайтом, расположенным на этом же ftp-аккаунте.
5. Проблемы могут быть у хостера.
6. Список можно продолжать практически неограниченно. "Заочно" подобную пробему можно решить только слуайно угадав причину и попав "пальцем в небо". В разделе прикреплён соответствующий топик, который советую почитать. Начните с чтения логов ftp и http и ограничения доступа .ftpaccess, сделайте локальную копию сайта (сайтов) и на локальном компьютере поищите в ней шеллы.

мою Joomla 1.0.12 тоже как-то заражали. касперский ругался при открытии сайта. Пришлось чистить сайт от этой вирусни. в моем случае в заглушки index.html (которые в стандартном состоянии 44 байта) записывалось тело трояна. Часть я вылечил сразу. А часть обнаружил только после скачивания бэкапа на свой комп. Касперский сразу забил тревогу, показал где зараза зарылась

ART-DELI, вы оказались совершенно правы, бэкап зараженный. Теперь вопрос в том как его вылечить? Потому что антивирусники абсолютно не реагируют. Точнее они реагируют но при заливке бэкапа снова начинают ругатся

скачайте бэкап, проверьте его антивирусами, удалите зараженные файлы и зафиксируйте папки их расположения. И впредь контролируйте эти папки. Ну и хостера привлечь к лечению тоже нужно. Пусть смотрят логи, откуда зараза сюда залазит

ART-DELI, вы оказались совершенно правы, бэкап зараженный. Теперь вопрос в том как его вылечить? Потому что антивирусники абсолютно не реагируют. Точнее они реагируют но при заливке бэкапа снова начинают ругатся

Заменить файлы с чистого дистрибутива.. все кроме папки template Также внимательно сравнить файл index.php с оригиналом в папке шаблона. Не трогать файлы в которых проводили хаки.... проверяйте их вручную... Лучший антивирус это глаза.

бэкап чист и залит. фтп юзер отныне не существует. сможет ли вирус проникнуть на сайт без использования фтп?

Спасибо всем за советы. Но хотелось бы добавить несколько оффтопа от новичка в создании сайтов.
Читая статью "На сайте вирус - Что делать?" Краткое руководство для начинающих сайтостроителей, задумался вот над этими двумя пунктами:

• Постоянно пользуйтесь заслуживающим доверия антивирусом со свежими антивирусными базами.
• Установите и правильно сконфигурируйте файрвол.

Хотелось бы прочитать комментарии от опытных людей по этим пунктам. Если грозные модераторы сочтут это за оффтоп, то был бы благодарен за ответы в личку.

А что тут не ясно?
Постоянно пользуйтесь заслуживающим доверия антивирусом со свежими антивирусными базами.

Потому что каждый считает свой антивирь лучшим.. Подыми тему какой лучше, так сколько людей сколько и мнений будет.. И по разным критериям. По этому не написали.. Главное что бы базы тянул вовремя..

Установите и правильно сконфигурируйте файрвол.
ну так что такое файрвол знаешь? возьми к примеру Комодо из бесплатных... Настрой доступ программ в интернет. По настройке - это скорее на сайты продуктов.
А цель всего этого одна.
1. Не пустить никакого трояна, или бекдура, или кейлогера к себе на комп.. что бы тот не скомуниздил пароль на ФТП
2. Следить за всеми соединениями на машине, и в случае если какая то кака, попытается соезеднится с инетом, да бы продать ваши пароли за рубеж, то файрвол эту каку покажет и обезглавит...
 

Перезалейте поверх базы данных чистую Joomla с последними версиями расширений. Если необходимо, сохраните пользовательские файлы (аватры, картинки на сайте и прочее без страниц index. ) и перезалейте их после установки. Установите средства защиты и мониторинга. Защитите свою операционную систему (целый комплекс мер, начиная с антивируса и заканчивая иммунизацией).

перепробовал все вариантыичего из выше перечислиннего и ничего не помогло, самый лучший способ, удалить файлы с сайта предворительно скачав на комп, потом очистить и залить! НО есть одно большое НО через пару дней будет та же фигня, что не знаю ответить. Поменяйте права, хостинг точно не виноват, по скольку у меня несколько десяток сайтов и большенство из них на разных хостингах

тоже добавлю...

* выставить рекомендуемые права на папки (где тут на форуме есть темка)
* проверит на сайте index файлы ... почти все ))... ну можно бегло ...  (index.php в том числе шаблона и компонентов, и index.html - пустые)
* сходить сюда http://docs.joomla.org/Vulnerable_Extensions_List и посмотреть установленные версии компонентов на "дырявость"

И еще полезно вспомнить, не было ли чего-нибудь такого.

fist спасибо за ссылку +1

* сходить сюда http://docs.joomla.org/Vulnerable_Extensions_List и посмотреть установленные версии компонентов на "дырявость"

А что там с PhocaGallery? В списке значится, как узнать где уязвимость и как её устранить?

А что там с PhocaGallery? В списке значится, как узнать где уязвимость и как её устранить?

я с этой галереей не работаю  ... скорее всего, в последних версиях исправлен тот баг, так как, она бы не была в каталоге http://extensions.joomla.org/

вот ссылка Phoca Gallery v2.7.4 (last update on Aug 9, 2010)

скорее всего, в последних версиях исправлен тот баг

Использую как раз последнюю версию, однако хотелось бы узнать поточнее что за уязвимость и исправлена ли она, поскольку в том списочке Phoca всё ещё выделена красным.

можно еще посмотреть уязвимости в расширениях тут http://joomlaforum.ru/index.php/topic,35226.0/all.html

fist, спасибо за совет, обязательно попробую.
Кстати, после того как выполнил большинство пунктов из темы о безопасности сайт еще пару раз заразился и перестал =)