"Левые" файлы в корне сайта. Вместо сайта пустая страница - Безопасность сайтов на Joomla

Обнаружил вместо сайта пустую страницу. Joomla 1.5.25. Затем обнаружил и удалил подозрительные (как мне показалось "левые") файлы sitemap.php и sitemap.xml в корневой папке сайта. После этого сайт заработал. На следующий день вместо сайта опять пустая страница. В корне опять лежал sitemap.php (sitemap.xml в этот раз не было).

Пожалуйста, подскажите мне, не очень опытному в этих проблемах. С чего начать и что это может может быть?

При этом, на аккаунте ещё есть сайты на Joomla, но с ними всё ок, по крайней мере пока что.

Содержимое файла вот

Начнем с самого начала: скачанные с вареза расширения установлены на сайте?

Расширений много. Почти все взяты на официальном сайте Joomla. Сайт уже год работал и всё ок. А тут такое ((

Откровенность на откровенность: разберитесь с теми самыми расширениями из категории "почти", конкретнее - удалите их и установите их оригиналы. Без чистой системы фактически не о чем разговаривать.

То, что с варезом Ваш сайт себя по виду вел без проблем, ни о чем не говорит. Что там (и в соседних сайтах на том же хостинге) в это время на самом деле происходило - непредсказуемо.

Эх, если бы ещё вспомнить что было с вареза. Но может и ничего не было. Тогда я не был разборчив сильно. Но увы, "опыт, сын ошибок трудных" (с). Есть у меня подозрения, что это связано с гостевой книгой, а точнее со спамом. Последнее время спам начал приходить в больших количествах. Мог ли вредоносный код попасть из этого спама? Гостевая книга с предмодерацией, если что.

А есть же тема
http://joomlaforum.ru/index.php?PHPSESSID=ff1f1c18e1c1a498a1d82ea542e5e5e2&topic=246899.0

"Прощаются тебе грехи твои, сын мой. Иди и больше не греши!"

... Мог ли вредоносный код попасть из этого спама? ...

Когда на веб сайте ставятся скачанные с вареза приложения, то это per se открытое приглашение на свой сервер злоумышленников.

Моя настоятельная рекомендация - пересобрать свой веб сайт с чистой страницы, с учетом усвоенных уроков, как Вы верно заметили. По хорошему - на новом хостинге.

Лучшее средство от перхоти - гильотина. Разборки с вирусами - это разборки с симптомами, а не самим источником инфекции. Не все вирусы можно найти.

Моя настоятельная рекомендация - пересобрать свой веб сайт с чистой страницы, с учетом усвоенных уроков, как Вы верно заметили. По хорошему - на новом хостинге.

Спасибо за совет. Задачка, конечно, не из лёгких будет, заново сайт собирать, но оставлю этот вариант решения проблемы, как крайнюю меру. А хостинг навряд ли получиться поменять. Владелец сайта капризный дядька, он свой немецкий 1и1 любит очень. А я намучился с этим хостом, конечно, там всё через пятую точку работает.

Отключил гостевую книгу и пару дней сайт работал. Я уж было подумал, что в ней причина была. Ан нет. Сегодня утром сайт опять в оффлайне. Так что буду пробовать искать причину. Может, кто ещё посоветует, что делать?

На самом деле не всегда причина в варезе. У клиентов пара сайтов была взломана, бэкдоры. Просто длительное время расширения и Joomla там не обновлялись. Вероятность взлома из-за:
- уязвимость в Joomla
- уязвимость в Nonumber расширениях
- уязвимость в JCE

Так что тех.поддержка - все же нужная вещь.

@ Евгений Сивоконь,

1) Техподдержка варезных расширений равносильна ремонту ворованных машин в подпольных гаражах.

2) [модерация] Бэкдоры и шеллы возможно установить только после получения контроля над сервером. Так что, захват контроля над веб сайтом на Joomla через впрыснутый в варезное расширение злостный код - первый шаг, а установка дверей, шеллов и прочих инструментов теневого администрирования - второй. Никогда не наоборот.

P S Я надеюсь мы оба понимаем, что сценарий a la "Имя пользователя: admin. Пароль: admin" находится за рамками дискуссии.

Не всегда так бывает. Вот наглядный пример
http://joomlablog.ru/analiticheskie-stati/382-gde-najti-besplatnye-shablony-joomla
Всем известный нам блог, дает ссылки на бесплатные шаблоны. Бесплатные то они бесплатные, но внутри могут уже содержать нечто зашитое для атак, взлома и всякой гадости. Смотрите последний мой комментарий

@ Fedor Vlasenko,

Вы правы как правая рука. Бесплатных обедов не бывает. Зашитые "подарки" могут действительно с большой вероятностью содержаться и в бесплатных шаблонах, и в бесплатных расширениях, и в бесплатной поддержке друзей варезчиков.

Моя рекомендация - идти по пути репутации, что чаще всего ведет к топ догс, а ля Rocket Theme, siteground.com, joomlart.com и т.п., где скачивать бесплатные расширения можно без риска "подарков".

[модерация]

Повторяю еще раз мою позицию и надеюсь больше к этому не возвращаться:

0) Безопасность веб сайтов на системе Joomla  - всеобъемлющий вопрос, вовлекающий серверскую и клиентскую сторону, человеческий фактор, социальную психологию и т.п., но все это будет терять смысл пока на сайте установлены варезные расширения.
1) Неожиданное и существенное нарушение работы веб сайта на Joomla, на котором были установлены варезные расширения с большой вероятностью вызвано вшитыми в те варезные расширения вирусами.
2) "Теподдержка" таких веб сайтов без устранения этих варезных расширений безсмысленна, непредсказуема и равносильна подпольному ремонту ворованных машин, даже если в ходе такой "поддержки" выяснится, что один из Ваших супер администраторов имеет имя пользователя "admin" и пароль "admin".
3) В случае обнаружения взлома веб сайта на Joomla, даже при условии устранения на нем варезных расширений, существует вероятность углубления и распространения инфекции с Вашего веб сайта горизонтально и вертикально на сервер. В этой связи существенно важно связаться с хостером, который в свете взлома Вашего веб сайта способен экспертно оценить здоровье Вашего хостингового аккаунта в частности и всего своего сервера в целом.

Здесь не чего ни прибавить, ни убавить.

Keereal,
отвечаю на вопрос:

Пожалуйста, подскажите мне, не очень опытному в этих проблемах. С чего начать и что это может может быть?

Причин, по которому сайт оказался зараженным, может быть несколько:
1. Уязвимость в Joomla
2. Уязвимость в бесплатных расширениях
3. Бэкдоры в варезных расширениях (если они используются на сайте)
4. Хранение паролей в FTP менеджере
5. Вирус пришел от хостера

Вам нужно составить список всех установленных расширений Joomla. После этого, внимательно проверить наличие свежих версий этих расширений и почитать changelog'и на предмет исправлений (были ли уязвимости). В случае, если расширение коммерческое, и  Вы использовали варезную версию, высока вероятность "подарка", о котором говорил AlexSmirnov.
Соответственно, самое простое - пересобрать сайт заново на базе свежих расширений + в случае необходимости использованя платных расширений или шаблона, официально их купить. И в дальнейшем следить тщательно за обновлениями, соблюдая меры по безопасности.

AlexSmirnov, я согласна с Sulpher. Не только варез является причиной взлома сайтов. Даже больше скажу - гораздо реже, чем устаревшие, пусть и легальные, версии движка и расширений.

В последние два месяца перебрала около 10 вирусных сайтов - ни на одном не было варезных расширений.

[модерация] 

Keereal, Вам, скорее всего, нужно искать бэкдор. Прогоните сайт скриптом Айболит - он должен показать подозрительные файлы.

AlexSmirnov, если почитать вас, то получается что не варезные расширения не взламываемые? ))

2) [модерация] Бэкдоры и шеллы возможно установить только после получения контроля над сервером.

Чушь ))

@era,

То, что я в действительности сказал и повторил, написано ясно. Что у кого и как "получается", боюсь, вне моего контроля. Я говорю то, что имею в виду, и имею в виду то, что говорю.