Не работает админка, работала и перестала - Безопасность сайтов на Joomla

идет массовый брутфорс(попытка взлома с помощью подбора пароля) Joomla and wordpres, не стоит паниковать у кого пасы хорошие, ну и хостера сейчас делают все возможное чтоб обезопасить и снять нагрузки ddos те что от брутфорса происходят
да и плюс если уже пас не подходит, если был взлом, то тогда рекомендация простая пас ручками менять или с бэкапов восстанавливаться

топик просто для предупреждения

У меня два джумловских сайта с хорошими паролями взломали, тут не совсем в паролях дело. Вот какие рекомендации хостер дал:

Для того чтобы обезопасить свои сайты, нужно обязательно обновить версии движка и модулей, до актуальных версий. Wordpress Joomla.
Рекомендуемы версии, для Wordpress – 3.6, для Joomla – минимум 1.5.26, лучше 2.5.14, 3.1.5.

Так же можно выполнить некоторые шаги для повышения уровня безопасности:

Wordpress:
1) Удалить стандартную учётную запись администратора (admin). Для этого необходимо создать еще одного администратора, выйти из административного раздела сайта, войти под новым администратором, удалить старого администратора в списке пользователя.
2) Изменить адрес входа в административный раздел сайта, установив модуль Hide Login (правда, у меня после попытки установить этот плагин начались какие-то проблемы, но есть ему альтернативы).

Joomla:
1) Смените стандартный логин admin, на какой либо боле сложный и неявный.
2) Изменить адрес входа в административный раздел, установив модуль jSecure Authentication.

Рекомендуемы версии для Joomla – минимум 1.5.26, лучше 2.5.14, 3.1.5.

Joomla 1.5- запросы ~30 мин, а Joomla 2.5.14 ежеминутноVPS один.
 По другим хостингам клиентов выборочно по Joomla 1.5 , к некоторым вообще нет запросов к админке.
Хотя домены не новые.

до 2-3K запросов в админку в сутки по нескольким сайтам. Уроды.
Хорошо видно по логу Joomla

до 2-3K запросов в админку в сутки по нескольким сайтам. Уроды.
Хорошо видно по логу Joomla

Такая же фигня, с пятницы на каждый третий запрос сайт отдает ошибку. Причем в первую очередь дохнет подключение к базе данных.

security.lab- не вижу инфо о происходящей атаке. Интересно когда прекратиться.

...Интересно когда прекратиться.

Теоретически - никогда. Если каждый взломанный сайт присоединяется к ботнету - эпидемия может только расширяться.

Чтобы её прекратить нужны согласованные действия всех хостеров и владельцев взломанных сайтов, что в мировом масштабе нереально.

В папку administrator кладём два файла .htaccess и .htpasswd
Содержимое .htpasswd
Содержимое .htaccess
Всё, админка закрыта. Пусть хоть обдолбятся...
Данные для входа в данном примере
Пользователь Joomlauser
Пароь - Joomla
Для того чтобы задать своего пользователя и пароль используем онлайн генератор http://www.htaccesstools.com/htpasswd-generator/
Новые данные вставляем в файл .htpasswd для каждого разрешенного доступа с новый строки.

В папку administrator кладём два файла .htaccess и .htpasswd
Содержимое .htpasswd

Код

Joomlauser:GVBzbv6f6eH1.

Содержимое .htaccess

Код

AuthUserFile "/var/www/volnistye/data/www/volnistye.ru/administrator/.htpasswd"
AuthName "Restricted Area"
AuthType Basic
require valid-user

RewriteEngine On
RewriteRule \.htpasswd$ - [F,L]

Всё, админка закрыта. Пусть хоть обдолбятся...
Данные для входа в данном примере
Пользователь Joomlauser
Пароь - Joomla
Для того чтобы задать своего пользователя и пароль используем онлайн генератор http://www.htaccesstools.com/htpasswd-generator/
Новые данные вставляем в файл .htpasswd для каждого разрешенного доступа с новый строки.

Добавлю, что подобное же действо можно совершить при помощи Akeeba Admin Tools (иконка с замком)

Akeeba Admin

Я в 2.5 не использовал, не знаю.
Сейчас в при закрытие доступа в админку через Akeeba Admin файл .htpasswd создается каждый раз новый затирая старый как и в старых версиях?

Такая же фигня, с пятницы на каждый третий запрос сайт отдает ошибку. Причем в первую очередь дохнет подключение к базе данных.

Не дохнет. просто пухнет лог.

@Аленка и снова здравствуй бот 
читаем внимательно, хороший пас и логин не admin как многие оставляют не возможно от брутфорсить на это требуются годы десятилетия, то что чей то сайт взломали это не значит, что подобрали логин пас

закрывать админку требуется, basic авторизация самая простая(хотя не безопасная), на vps можно и по жестче закрыть

то что хостер страдает от брутфорса это полностью его проблемы пусть с ddos сам борется каналы свои настраивает фильтрацию ставит, basic авторизация на всех сайтах его не спасет все равно, обращения на сервер как были тысячами так и будут идти, ну снизят нагрузку, дак её с другой стороны прибавят на фронт повесят она еще большей станет   

Теоретически - никогда. Если каждый взломанный сайт присоединяется к ботнету - эпидемия может только расширяться.

Чтобы её прекратить нужны согласованные действия всех хостеров и владельцев взломанных сайтов, что в мировом масштабе нереально.

правильно, к этому все и идет, любой прошлый взлом это захват сервера сайты им нах....н не нужны просто "лошар" много стало и они не понимают и нет статьи за ответственность того что вирус на сайте у владельца этого сайта, на месте хостера блокировал бы такие сайты(пусть многие не согласятся но как Яндекс АГС вешал бы на владельца и домен с запретом использовать скажем этот домен у себя на хосте или CMS, можете не соглашаться, но эпидемия разрастается и борьба как с чумой просто сжечь)

а то что CMS периодически с уязвимостью выскажу имхо, кому то это очень нужно вот и все, видеться это просто разработчики сами делают двери для себя и потом их просто кто то находит, последнее время это уж просто становится очевидным, и не дело в том что хакеров больше стало или они поумнели, дыры то ну очевидные и видно что их даже не думали закрывать изночально

Новый троянец взламывает блоги в России и за рубежом
 Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает о распространении вредоносной программы Trojan.WPCracker.1, предназначенной для взлома блогов и сайтов, работающих под управлением популярных CMS (систем управления содержимым), в частности Worldpress. С помощью этого троянца злоумышленники могут поменять содержимое блогов или же инфицировать их другими вредоносными программами, которые будут угрожать будущим посетителям. Именно с распространением Trojan.WPCracker.1 может быть связан отмечаемый многочисленными экспертами в настоящее время всплеск масштабных атак на веб-сайты.
http://joomla-support.ru/showthread.php?p=170035#post170035

большое спасибо хостингу reg.ru, который самостоятельно установил защиту (дополнительную авторизацию) в .htassecc всех сайтов на Joomla и wordpress.

подскажите пожалуйста, за 7 дней этого месяца истратил 77% ресурсов хостинга (mgnhost, пришло уведомление), самый дорогой тариф 630 рублей, около 20 сайтов, такого раньше не бывало даже на долее дешевых тарифах хостинга. Возможно связано с брут атакой в интернете.

Помогите закрыть в .htassecc прямые запросы:

/administrator/
/templates/
/modules/
/plugins/

хотя бы эти для начала, заранее благодарен за помощь.

данная ситуация может быть попыткой взлома?
http://joomlaforum.ru/index.php/topic,272803.0.html

Уважаемые мастера Joomla, если я правильно понимаю - идет массовая атака на сайты, сделанные на Joomla и Wordpress (пока почему-то не говорят о Drupal). У меня несколько сайтов, часть расположена на Peterhost, и один на Valuehost, там хостинг купил клиент по своему желанию. В июле peterhost прислал предупреждение, что идут массовые атаки на сайты, в конечном итоге они вставили во все сайты (судя по всему - несколько тысяч таких сайтов у них хостятся)) на этих CMS директиву с обязательным прописыванием ip-адресов в определенном файле для доступа к админке; но когда сегодня клиент прислал письмо примерно такого же содержания от Valuehost (только они предлагают справиться с этим самим владельцам) - я впала в тоску, потому что поняла, что атака действительно массовая. Извините, если я от эмоций не дочитала тему до конца, но возможно ли понять, какие цели у этой атаки, ведь любое действие имеет цель? Или это робот-вирус?
Поможет ли (в случае с Joomla) установленный компонент jsecurity? или и там тоже нужно теперь все менять?
Заранее спасибо за ответ.

это хакеры упиваются своей безнаказанностью

Уважаемые мастера Joomla, если я правильно понимаю - идет массовая атака на сайты, сделанные на Joomla и Wordpress (пока почему-то не говорят о Drupal).  Или это робот-вирус?
Поможет ли (в случае с Joomla) установленный компонент jsecurity? или и там тоже нужно теперь все менять? 

Запросы есть и к админке Битрикс. Ну конечно не руками столько запросов делают, а через ПО.
 Если плагин сможет изменить ссылку на вход в админку, то поможет от брутфорс.Но нагрузка на хостинг будет все равно. Если ВПС, применяйте nginx , чтобы закрыть админку

Кто нибудь в курсе - массовая брутфорс атака все еще имеет место быть?

панели атакуют уже давно, смотрите логи, возможно раньше не так массово

купил jsecurity и akeeba backup pro - во втором функционал поболее, возможности намного шире, адрес в админку также меняет, но к сожалению редирект только на главную, нет редиректа на 404, также можно сделать двойную авторизацию

Кто нибудь в курсе - массовая брутфорс атака все еще имеет место быть?

Судя по статистике на виртуальном хостинге, где только апач,- то продолжается.И число сайтов, откуда идут запросы, увеличилось.

Кто нибудь в курсе - массовая брутфорс атака все еще имеет место быть?

идет и будет идти каждый ломаный становится ботом, а хостеры не успевают в баньку их отправить, вот теперь реальность проста долько закрывать админки

Ок, я уже позакрывал у себя через .htaccess

мой любимый хостер сам все админки позакрывал

reg.ru позакрывал сам

reg.ru позакрывал сам

так это проделки reg.ru?
please use your ISPmanager login and password
а то приехал с оотпуска, залажу в админку а тут еще одно окно авторизации, застремался вводить лог и пасс.

они в письмах уведомляли, правда они уведомляют на следующий день после того как че нибудь сделают.

У меня этой ночью взломали сайт - по\явился дополнительный пароль на сервере для входа в админку. Коннектились по ftp. Я в папке administrator файл с паролем нашел и удалил. Теперь страница site.ru/administrator выдает ошибку 500