J 3.3.3 Хакнули первый раз - в index.php левый код Жду второго пришествия - прошу помощи - Безопасность сайтов на Joomla

 J 3.3.3 с офсайта.
 Попытки входа в админку постоянны - адрес входа скрыт.
 Все началось с JDownloads - появились загрузки непонятные с аллахом (стоит компонент файлового хранилища Jdownloads) - загрузки отключил. Все равно грузят.
Посмотрел логи по ip:

На сколько я понимаю - методом POST передают данные формы загрузки.
Забанил его по IP.
Сегодня сайт (не форум) упал.
Скачал БД - развернул на локальной копии сайта - все работает.
Сверил файлы шаблона - в файле шаблона прописан левый код:
Хотя дата файла не изменена.
Заменил. Сайт заработал.

Я так понимаю, что до след. прихода....
Люди грамотные, сведущие и не очень - памагите дилетанту!

возможно компонент дырявый, последняя версия стоит?
и если уже взломали, то ищите шелы, сканеров полно

Да, версия последняя.
То, что заливали с помощью компонента удалил. Может быть под видом архива или превью и был шел - хз. Одна картинка у меня не открылась в фотошопе.
У компонента снес папку с шаблонами для формы загрузки.
Т.е. дыра в компоненте или хостер разрешает?

Может быть под видом архива или превью и был шел - хз. Одна картинка у меня не открылась в фотошопе.

просто картинку загрузить не достаточно) хотя бы с расширением file.php.jpg

У компонента снес папку с шаблонами для формы загрузки.

а смысл?) обработчик то не в форме

Т.е. дыра в компоненте или хостер разрешает?

хостер то тут причем? ну если только не через него взломали)
а вот через что именно взломали никто не скажет, нужно смотреть логи и разбираться.
Может через этот компонент, а может и нет. Может вообще тупо пароли увели через троян

Наверное надо посмотреть процедуру обработки загрузки - и отрубить ее?
Пароли только в конфиге. На компе чисто - ничего не сохраняется.
Таких файлов как file.php.jpg не было.
Логи есть - что искать в них?

Посмотрел по логам - кто обращался к странице загрзки /upload.html - 8 раз, география обширна.
Т.е. как я понимаю - смена IP дело простое.

В папку /tmp и куда файлы заливаются, положи файл .htaccess с запретом на исполнение скриптов

Такого содержания достаточно будет?
Правильно ли это будет?


Во вложенные папки добавлять его ведь не надо?

Если вниз по дереву не будет .htaccess, то не нужно.
Я такую директиву прописываю

Т.е. содержание .htaccess только из этих двух строк - так?
И ложу его в корень папок для загрузки файлов.
+ ложу его же в папку /forum/attachments/
Верно понимаю, сенсей?

Хостер на мою абузу отписался:

/forum/attachments/4898_b322458e39e60a30b6b64e691dc20480e7240a0d: Win.Trojan.Rootkit-5209 FOUND ./vodkomotornik.ru/modules/mod_syndicate/tmpl/updates.php: {HEX}php.encoded.b32.384.UNOFFICIAL FOUND

Проверьте это дополнительно, пожалуйста.

Т.е. видать просканировал по ssh сайт (у меня ssh нет).


Автор обновил компонент JDownloads - хотел было уже написать ему на форуме, а там уже есть такая тема днем раньше.
Причем вчера обновления еще не было.

Скачаю я этот аттач (наверняка он и на локальном компе есть) - как его проверить?

Проверить аттач можно антивирусником .
я такой .htaccess ложу и в папки с картинками

Да, версия последняя.

Актуальная версия Joomla 3-ей версии - 3.3.3, а не 3.3.0, как написано в заголовке топика

Очепятка вышла от волнения, вот - Joomla! 3.3.3 Stable [ Ember ] 25-July-2014 13:00 GMT

Да, версия последняя.
То, что заливали с помощью компонента удалил. Может быть под видом архива или превью и был шел - хз. Одна картинка у меня не открылась в фотошопе.
У компонента снес папку с шаблонами для формы загрузки.
Т.е. дыра в компоненте или хостер разрешает?

Картинки откройте в Notepad++. Только сегодня открывал непонятные "левые" картинки на сайте - в одной оказался код, в другой файл стилей. Хотя расширение - jpg

Скинте полный лог за сутки, access и error, в день лома, для установления болие ясной картины

Доброго времени суток.
Joomla 3.3.3
jDownloads for Joomla 3.1/3.2 1.9.2.8

Обнаружил в папке загрузок "левые" архивные файлы (наз: doczxcvbnm.zip и x_0.zip см.аттач).
Кроме того были добавлены и активированы закачки на эти файлы (при том, что загрузка файлов с фронтенда запрещена)
Для каждой закачки были добавлены картинки в папку скриншотов компонента:

Обнаружил случайно т.к. добавленные загрузки на фронтенде сайта не отображались.

Вот такая вот беда....

/*   в других файлах никаких "кодов" не обнаружил. компонент обновил...

Доброго времени суток.
Joomla 3.3.3
jDownloads for Joomla 3.1/3.2 1.9.2.8

Обнаружил в папке загрузок "левые" архивные файлы (наз: doczxcvbnm.zip и x_0.zip см.аттач).
Кроме того были добавлены и активированы закачки на эти файлы (при том, что загрузка файлов с фронтенда запрещена)
Для каждой закачки были добавлены картинки в папку скриншотов компонента:

Спойлер

[свернуть]

Обнаружил случайно т.к. добавленные загрузки на фронтенде сайта не отображались.

Вот такая вот беда....

/*   в других файлах никаких "кодов" не обнаружил. компонент обновил...

Ловите, ловите их:) Я вот тоже на прошлой неделе похвастался, что shell выловил, а в среду бумс - а у меня все суперадминские пароли поменяны Щаз админ наш логи изучает.

Да, иногда не все так просто.

Да, иногда не все так просто.

Как раз Вы и предупреждали, кажется

Ловите, ловите их:) Я вот тоже на прошлой неделе похвастался, что shell выловил, а в среду бумс - а у меня все суперадминские пароли поменяны Щаз админ наш логи изучает.

Ну.... не знаю...  я в воскресенье похвастал, а по средам я дома сижу, чтобы "БУМСов" не было....