Hacked By_DAVACI - Безопасность сайтов на Joomla

Вместо двух сайтов нарисовалось вот это

Hacked By_DAVACI
SLYHACKER & Beyaz_Hacker & DEATH_K1NG & Tra!ner & Bozodayir
Soykirim yok demek o zaman bizde simdi sanal soykirima baslayalim..
God Damn Murderer France and Israel and USA
Copyright 2006 Turk HACKER Tum Haklari saklidir taklit edilemez.
No War

На одном в админку не пускает (неверный пароль, говорит),  к другому доступ есть. К хостингу пока пароля нет (владелец должен дать).
Joomla была 1.5.20. Никакой защиты не стояло.
Тем похожих много и в них вразброс куча информации, можно ли пошагово объяснить, что делать в данной ситуации? А то первый раз сталкиваюсь с таким вопросом, даже не знаю, откуда начинать.
1. как вернуть сайты на место (если у хостера остались бэкапы - просто их развернуть?).
2. что сделать, чтобы на версии движка 1.5.хх обеспечить максимально возможную безопасность.

На обоих сайтах установлен компонент VirtueMart 1.1.5, переход на последнюю версию Jooml'ы, как понимаю, вряд ли возможен без обновления самого компонента, а там столько было плясок с ним...

ну текущая версия 1.5.26 уже. Думаю обновиться можно без особых проблем. Хотя с виртом только в ознакомительных целях имел дела, тонкостей не знаю.

процедура примерно следующая:

1) попытаться по логам  определить как прошли. Если найдете - отпишите здесь тоже.
2) Если есть бекапы, прогнать их на предмет бекдоров. Если все чисто- обновить все что можно и залить на сайт предварительно удалив старый (сделайте бэкап текущего состояния на всякий случай)

Как-то так.

Благодарю.
"прогнать их на предмет бекдоров" - подскажите, как и чем это сделать? Имеете в виду сканирование самих архивов, полученных от хостера? (как только закончу все срочные дела, сразу плотно засяду за тему безопасности, но на данный момент - просто полный самовар в этом).

Вот очень полезная статья на тему поиска дырок.

Вот очень полезная статья на тему поиска дырок.

Спасибо, отправляюсь читать.

------------------------
Сейчас пока есть доступ по ftp. В папке tmp есть файл cspr.php - это вообще что?

[вложение удалено Администратором]

Это-что то "левое"...

Это-что то "левое"...

Мне вот тоже так думается...

Ещё в .htaccess появилось в конце

#__THIS_COMMENT_WAS_MADE_BY_SERVER_OWNER_RedirectMatch \.(dynamiccontent|pl|plx|perl|cgi|php|php4|php4|php6|php3|shtml)$ http://host-moscow.ru/cgi-sys/movingpage.cgi
#__THIS_COMMENT_WAS_MADE_BY_SERVER_OWNER_RedirectMatch \.(dynamiccontent|pl|plx|perl|cgi|php|php4|php4|php6|php3|shtml)$ http://host-moscow.ru/cgi-sys/movingpage.cgi

На хостинге некоторое время назад были какие-то переезды с сервера на сервер, может, и после этого появилось (дата изменения файла старовата, 20.12.2012).

И на одном из сайтов в корне появился файл .ftpquota - не помню такого, дата изменения - 4.06.2012. В нём всего одна строка

7684 108828013

В интернетах пишут, вроде как от хостера информационная записка.

Спасибо, отправляюсь читать.

------------------------
Сейчас пока есть доступ по ftp. В папке tmp есть файл cspr.php - это вообще что?

это шелл. удаляйте его.

это шелл. удаляйте его.

Спасибо, удалю. Хорошо бы, конечно, у хостера бэкапы остались, у них они максимум недельной давности, но вдруг они ещё чистые.
А какие именно логи нужно посмотреть? Логи ошибок заканчиваются в мае, в папке logs ничего нет. У хостера что-то нужно спрашивать?

версия 1.5.20 была уязвима изначально и сразу сделали заплатку в 1.5.21
сканер в подписи про сканируй файлы и проверь то что покажет как правило shell один не лежит их рассовывают по всем сайта на хосте, а также ломают слабый сайт и все сайты у них как на ладони

версия 1.5.20 была уязвима изначально и сразу сделали заплатку в 1.5.21
сканер в подписи про сканируй файлы и проверь то что покажет как правило shell один не лежит их рассовывают по всем сайта на хосте, а также ломают слабый сайт и все сайты у них как на ладони

Благодарю, сейчас попробую просканировать.

--------------------------------
В шаблонах index.php тоже "неместный". После удаления шелла и замены index.php на один из старых, выпадает ошибка Internal Server Error. И если на сервер обратно залить хакнутый index.php (заранее скачанный на локалку), та же самая ошибка (то есть привета из Турции исчез вместе со всем остальным).
При сканировании аналогично. Видимо, теперь только ждать, когда владелец сайтов обратится к хостеру за бекапами...

Удалось просканировать, вот результат

Это там везде зараза сидит или через эти файлы она может проникнуть? Файлы вроде такие же, как и года полтора назад...

это те файлы которые надо проверить/просмотреть

Вразнобой просмотрены 12 файлов, ничем не отличаются от прошлогодних версий. Я, конечно, просмотрю абсолютно все, но если в них тоже ничего нет?

Вы так шелл не найдете. Они криптованные все. Откройте тот файл, который Вы выше давали. Там нет в чистом виде упоминания этих команд.

Вы так шелл не найдете. Они криптованные все. Откройте тот файл, который Вы выше давали. Там нет в чистом виде упоминания этих команд.

Возможно. По крайней мере в моём случае те файлы, что нашёл сканер, чистые. А какие есть ещё способы?
Вручную мне удалось найти только этот самый cspr.php и заменить все index.php (в шапке и в шаблонах). Пока злодей не появляется, но это не дело, нужно откат сделать и обновлять то, что можно, а владелец сайтов молчит (кому это вообще нужно, интересно).

По той ссылке, которую давал bzzik есть парочка советов.

По той ссылке, которую давал bzzik есть парочка советов.

Всё, на что хватило мозга, сделано:
1. Проверены указанные в статье директории на предмет прикольно названных файлов да и вообще на наличие новых или изменённых файлов.
2. Файл .htaccess проверен, в него добавлены некоторые строки, как советовали в соседней теме.
3. В логах ничего нет.
4. Пароли FTP в жизни никогда не хранились в FileZill'e. Но выяснилось, что один из сайтов передан другому человеку (потому и к админке доступа нет), и что там эта девушка делает - неизвестно.
5. Сделать бэкап и обновить расширения пока не удаётся (кому-то пофигу на свои сайты, лень хостеру написать, наверное).

Пока вот так.

Ну если есть шелл, то доступ ко всем сайтам на учетке есть..

Ну если есть шелл, то доступ ко всем сайтам на учетке есть..

Это я понимаю. Но как его ещё искать - не знаю. Сканеры выдают очень много файлов, которые "нужно проверить". После fls.php были честно проверены все найденные им файлы. Все чистые. Но после Ai-Bolit'a такое ощущение, что нужно всё удалять к чертям, ибо там тонны файлов нужно пересмотреть.
А раскидывать сайты по разным учёткам - это для владельца непосильный труд, наверное.

Это я понимаю. Но как его ещё искать - не знаю. Сканеры выдают очень много файлов, которые "нужно проверить". После fls.php были честно проверены все найденные им файлы. Все чистые. Но после Ai-Bolit'a такое ощущение, что нужно всё удалять к чертям, ибо там тонны файлов нужно пересмотреть.
А раскидывать сайты по разным учёткам - это для владельца непосильный труд, наверное.

Кто это такие - не знаю, есть clamscan, можно искать по дату файлов

есть clamscan, можно искать по дату файлов

По "дату" - это по дате изменения? Если да, то это сделано было в первую очередь.
Можно подробнее про clamscan? Я пока нахожу, что это команда для ubuntu... Может, не то ищу.

По "дату" - это по дате изменения? Если да, то это сделано было в первую очередь.
Можно подробнее про clamscan? Я пока нахожу, что это команда для ubuntu... Может, не то ищу.

Ну да, не на винде же сервер?
Антивирус консольный.

Ну да, не на винде же сервер?
Антивирус консольный.

Сервер-то не на винде, я на винде , мне слово консоль знакомо весьма относительно и ассоциируется с командной строкой в этой самой винде, коей я пользуюсь не часто. Потому, если можно, постепенно: где взять, куда закинуть, как запустить. Пожалуйста.

Если хостинг шаред без SSH - нигде

Если хостинг шаред без SSH - нигде

Всё понятно...................
Спасибо в любом случае.