Нашел проказника, нужны ваши комментарии - Безопасность сайтов на Joomla

Здравствуйте, уважаемые...

Выловил, наконец-то, в мутной воде чертика, который пакостил моему сайту.
В очередной раз развернул после взлома архивы, несколько часов сайт проработал и опять, бац, знакомая картина:

http://clip2net.com/s/1FdoE

я сразу поднимать логи и вижу:

--
3один.163.3девять.15семьь - - [04/Mar/2012:23:43:07 +0400] "POST /modules/mod_sistem/mod_sistem.php HTTP/1.1" 200 11668 "-" "america"
3один.163.3девять.15семьь  - - [04/Mar/2012:23:43:08 +0400] "POST /modules/mod_sistem/mod_sistem.php HTTP/1.1" 200 8205 "-" "america"
3один.163.3девять.15семьь  - - [04/Mar/2012:23:43:09 +0400] "POST /modules/mod_sistem/mod_sistem.php HTTP/1.1" 200 12416 "-" "america"
--

(p.s. написание IP  изменил намеренно)

некто из славного города Тюмени запускает внедренный скрипт.

попытался открыть в текстовом режиме содержание php файла и Касперский сразу отреагировал на вредоностный код.

у данного файла даже есть XML установик, приведу его содержание:

--
<?xml version="1.0" encoding="utf-8"?><install version="1.5" type="module">
   <name>System</name>
   <author>Joomla</author>
   <creationDate>08 Jan 2010</creationDate>
   <copyright>Copyright (C)  Jhon Liberty</copyright>
   <license>http://www.gnu.org/copyleft/gpl.html GNU/GPL</license>
   <authorEmail>jhon_l@gmail.com</authorEmail>
   <authorUrl>http://www.k0d.cc/</authorUrl>
   <version>1.0.0</version>
   <description>Модуль устранения неисправностей</description>
       <files>
          <filename module="mod_sistem">mod_sistem.php</filename>
        </files>
    <params description="this module has no parameteres" >
    </params>
</install>
--

я понимаю, что скорее всего используется шаблон представления и какой информационной функции сейчас, для разбора ситуации он не несет, но все-таки, вдруг, кому-то что-то напомнит.

далее.. я вот думаю, корректно ли дать ссылку на данный вредоностный скрипт (я слил его в архив).

значит, после удаления скрипта, я поменял пароли на БД, на вход. в админ часть, на хостинге выставил доступ по  FTP только для своего IP, в htaccess запретил доступ IP 3один.163.3девять.15семьь

значит, что, соб-но, меня интересует...

Меня интересует, каким образом произошло заражение.

Если это через FTP, то пароль уже сменил, сами пароли к сайтам я храню в отдельном запароленном менеджере, для досутпа к сайтам используют CuteFTP и пароль вставляю непосредственно перед заходом.

Далее, еще вариант через дырку в компоненте. На сайте стоит Phoca Guestbook 1.4.2. может через него, но сносить бы не хотелось.
Погуглил на эту тему, ничего конкретного в паблике нет.

В общем-то интересует вот что, все ли достаточное я сделал, на что можно было бы еще обратить внимание, чтобы избежать рецидива.

Да, забыл добавить вот что.. после восстановления (еще не зная в чем действительно было дело), я обратил внимание, что скрипт деинсталировал приложения GuardXT и jFareWall LITE и это, я вам скажу, довольно лихо

Если это можно сделать так легко скриптом, есть ли тогда вообще смысл в этих двух программах для безопасности?

Да, забыл добавить вот что.. после восстановления (еще не зная в чем действительно было дело), я обратил внимание, что скрипт деинсталировал приложения GuardXT и jFareWall LITE и это, я вам скажу, довольно лихо

Если это можно сделать так легко скриптом, есть ли тогда вообще смысл в этих двух программах для безопасности?

А он в них разве был когда-то?

А что это за расширение jFireWall Lite? 

А что это за расширение jFireWall Lite? 

--
Представляет собой профессиональный компонент, позволяющий защитить Ваш сайт, основанный на CMS Joomla от хакерских атак любого типа. Полная защита от SQL-инъекций. JFireWall - быстро реагирует на хакерскую атаку, и немедленно блокирует атакуещего. JFireWall также является профессиональным брандмауэром. Существует возможность создавать различные правила блокировки Joomla сайта по IP, по User-Agent и даже по целым странам.
--

JFireWall - Я знаю
А интересен jFireWall Lite ?
Ссылку на разработчика дайте

JFireWall - Я знаю
А интересен jFireWall Lite ?
Ссылку на разработчика дайте

Уважаемый, ну, погуглите, это бесплатная версия того компонента, который вы знаете

А он в них разве был когда-то?

В плане информативности, смысл есть. На базовом уровне полезна кнопа защищающая файл конфигурации от записи. Но в моем случае, не только "обошли" компонент, но и удалили его из системы вообще.

Я уже погуглил   и мне этого достаточно
Ну вот пока ты будешь ставить подобные расширения, ты будешь гонятся за всякой х....й на своих сайтах

Ну.. вот.. пока, господа, с вами задушевничаю, вижу сейчас по логу, опять этот вредоностный IP рыпнулся, но получил 403.

три1.163.3девяtь.1пять7 - - [05/Mar/2012:03:26:57 +0400] "POST /modules/mod_sistem/mod_sistem.php HTTP/1.1" 403 499 "-" "america"

и судя по тому, чтобы была только одна попытка (прямой URL сайта потом загружен не был), значит это автоматизированная рассылка POST-ов.

А еще вопросик можно
что это за модуль     /modules/mod_sistem/mod_sistem.php

Я уже погуглил   и мне этого достаточно
Ну вот пока ты будешь ставить подобные расширения, ты будешь гонятся за всякой х....й на своих сайтах

Хотите сказать, что это намеренное вредоностное расширение?

Соб-но, вот с этой темы:
http://joomlaforum.ru/index.php?topic=42266.0 я данным расширением и заинтересовался.

p.s. Вообще LITE версия у меня стоит на многих сайтах.. и уже с год как.
Надо заметить, что только с данным сайтом у меня подобная проблема, так что не факт, что проблема в данном расширении.

Хотя, конечно, надо разобраться, какой признак привел хакера на сайт.

А еще вопросик можно
что это за модуль     /modules/mod_sistem/mod_sistem.php

Это как раз тот скрипт вируса, который удаленный пользователь запускает и ставит на попа мой сайт.
В исходном посте я вроде бы подробно расписал что к чему..

и снова..

--
три1.163.3девяtь.1пять7 - - [05/Mar/2012:03:56:10 +0400] "POST /modules/mod_sistem/mod_sistem.php HTTP/1.1" 403 499 "-" "america"
--

если сравнить время, то становится понятно, что каждые пол часа данный IP делает запрос.

Я уже погуглил   и мне этого достаточно

А я вот погуглил и мне непонятно, почему ж тогда нет результата вот так?

Ну вот пока ты будешь ставить подобные расширения, ты будешь гонятся за всякой х....й на своих сайтах

прошу без фамильярностей..

Отсюда твой модуль  сходи в гости к разработчикам  

Да и в первом посте System а нет sistem

Бери htaccess отсюда и подгоняй под свой сайт
Там прописана хорошая штука, ее смысл в том что не кто не может попасть в директории даже некоторые свои скрипты надо добавлять в белый список

Отсюда твой модуль   сходи в гости к разработчикам 

Вот блин.. сумеречная зона-то жуть.. я мало чего понял, но, видимо, вы клоните к тому, что эти дети  подземелья выискивают уязвимости движка, ляпают троянских коней под видом халявных компонентов и пускают и в свет.

Судя по тому, что данный компонент вообще не приносит мне никакой видимой пользы, в общем-то, и удалить нежалко.

Да и в первом посте System а нет sistem

Нет, именно так, как я написал, см. http://clip2net.com/s/1FdXY

Бери htaccess отсюда и подгоняй под свой сайт
Там прописана хорошая штука, ее смысл в том что не кто не может попасть в директории даже некоторые свои скрипты надо добавлять в белый список

А можно контекстно указать, где прописывается запрет на внутренние каталоги?

Сами же и ставят троянов..
Ну сколько можно твердить - никакого вареза и будет счастье.

Сами же и ставят троянов..

Ну это я понял.. правда, интересно, почему _на десятках_ других сайтов ничего подобного нет (равно как и на сайте аналогичной "сборки" на том же хостинге)?

Ну сколько можно твердить - никакого вареза и будет счастье.

Ну так а кто знал-то? На этом же форуме люди советуют, никто не возмущается и не предупреждает.. в поиске тоже тихо. Заявленна Lite (облегченная версия), - понятно, что специально расчитано на таких простодушных как я.. ну так странно, что в сети по этой Lite версии никакого шума нет

А какой шум может быть если тут никому из нормальных разработчиков и в голову не придет устанавливать подобное.

Ну, я извиняюсь, не все же _разразботчики_ и не всем нужно ими быть
Есть и другие специалисты, есть вообще простые вебмастера разного уровня подготовки, однако,
если на это же форуме, в открытых и обсуждаемых темах, как например, люди дают конкретные рекомендации и никто из разработчиком за руку не одернет..

С другой стороны, понятно, форум - это место где никто ни за кем ничего не смотрит и никто никому ничем не обязан, главное, это мой личный опыт, - столкнулся с проблемой, определил задачу, решил ее доступными для себя способами, получил новые знания, благодаря вам - вот это самое главное

Спасибо, вам, господа, за подсказки, премного благодарен.

p.s. Вот бы еще с конкретикой определиться - как отрубить в htaccess переходы по внутренним папкам для пользователей, и тогда вообще замечательно потому как вопрос записи всякого темного софта в дебри древовидной структуры системных папок Joomla меня волновал давно..

Тонкий расчет на новичков, обитающих на варезниках.

Да, так и есть.. никто не спорит.
Однако, в чужом деле мы все - новички

Такой же модуль mod_system в сайтах и еще в корни сайтов напихоли robots.php и component.php

и еще в папки с шаблоном какие-то вредоносные файлы.

Это все вражеский код.

Похоже приобретает стихийное бедствие.

Считаю мерзавцев надо привлекать к уголовной ответсятвенности, может это отобъет желание гадить людям.

у меня проблема решилась...
1. весь сайт скинул скопировал на комп. при копировании каспер нашел и отсек 4 файла с вирусом.
2. далее вручную удалил 2 php файла в папке images
3. в модулях нашел 2-х засранцев: mod_system и еще какого-то - удалил
4. все пароли сменил.
5. сайт залил обратно.
6. теперь не храню пароли в фтп-клиентах и вообще, стараюсь работать с фтп через панель хостера или сервера.