26 апреля 2015 г. обнаружен взлом сайта на CMS Joomla 3.x (есть ли способы защиты от таких ситуаций? - Безопасность сайтов на Joomla

Здравствуйте уважаемые дамы и господа!
26 апреля 2015 г. обнаружен взлом сайта на CMS Joomla 3.x
Адрес сайта, который взломали: http://33point6mlnclub.ru
Хакеры оставили следующие надписи на сайтах.
Ссылка на скриншот сайта после взлома № 1.
https://fotki.yandex.ru/next/users/danilov2018/album/166489/view/939850
Ссылка на скриншот сайта после взлома № 2.
https://fotki.yandex.ru/next/users/danilov2018/album/166489/view/939849
Дело в то, что движок на сайте клуба "33, 6 миллиона" абсолютно новый. Я его постоянно обновляю. Более того, я спрятал адрес входа в административную панель с помощью специального плагина.
Этот адрес вообще никто не знал кроме меня. Тем не менее хакеры умудрились найти вход в админку и взломали каким-то образом сайт. Обратите внимание, что они оставили надпись: "Hacker expert was here!". Что означает: "Хакер-эксперт был здесь!".
Уважаемые дамы и господа! Как грамотно защитить свои сайты от взломов? Какие последовательные шаги необходимо предпринять?
Спасибо, что уделили время на прочтение письма.

Варез использовался?
Какие версии движка и расширений стоят?

Какая версия Joomla. Сколько сайтов на хостинге?

Здравствуйте уважаемый Voland!
Версия CMS: Joomla! 3.4.1 Stable [ Ember ] 21-March-2015 20:30 GMT.
Варез не использовался. Шаблон бесплатный с официального сайта Hurricane Media.
Используются также следующие компоненты:
-Akeeba Backup;
- ChronoForms 5;
- Kunena Forum;
- Mobile Joomla;
- Phoca Gallery;
- Xmap.
Компоненты вроде бы все скачивались с официальных сайтов производителей.

На хостинге 3 сайта.
CMS системы устанавливались автоматически из тех сборок, которые предлагала хостинговая компания (компания SWEB, входит в пятерку крупнейших хостинговых компаний России).

сканер айболит в помощь. А кто сказал что взлом через админку?

Уважаемые дамы и господа!
Также информирую вас о следующем. Предыстория вопроса такова. некоторое время назад хостинговая компания жаловалась на то, что на сайты идет слишком большая нагрузка. Мы изучили log-файлы и пришли к выводу, что кто-то лезет в админку, подбирает пароль. Тогда мы предприняли следующие действия:
1. Сделали блокировку по IP адресам.
2. Я установил плагин, который меняет адрес входа в административную панель.
После предпринятых действий нагрузка на сервер снизилась.
Однако после нескольких месяцев произошел взлом.

Да вы правы. На самом деле мне неизвестно как они попали на сайт. Через админку или нет.

Спасибо за ссылку на сканер "Айболит".

Да уж, интересно где дырка. Скорее всего какое нибудь расширение. У вас там много всего. Лог запросов есть? Может форму авторизации на что главной ломали..
А ну и вот еще http://33point6mlnclub.ru/index.php/component/users/?view=login

Здравствуйте!
Логи есть. Логи мы записываем на каждый сайт.

Добрый вечер.
Что касается данной ссылки: http://33point6mlnclub.ru/index.php/component/users/?view=login
Здесь у меня сделана регистрация для форума. Считаете что она плохо сделана? Лучше ее убрать на всякий случай? Тогда сайт останется без регистрации.
Честно говоря по формам регистрации я не специалист. Есть более надежные компоненты для форм регистрации на форуме Kunena?

- ChronoForms 5;
- Kunena Forum;
- Mobile Joomla;
- Phoca Gallery;
- Xmap.
Компоненты вроде бы все скачивались с официальных сайтов производителей.

Xmap же закрыт, причем вроде одна из причин была в уязвиморстях..

26 апреля 2015 г. обнаружен взлом сайта на CMS Joomla 3.x

обнаружен 26 апр или взломали 26 апр?

Есть более надежные компоненты для форм регистрации на форуме Kunena?

Есть большие сомнения по поводу надежности этого компонента.  CAPTCHA, что у вас там прикручена обходится на раз -  два. И вообще не факт что вас ломали подборкой паролей. Есть и другие способы.

надо ассess log посмотреть в интервале появления этой картинки. хотя, я думаю, ее появление совпало со взломом.

Какая версия Kunena кстатии? Я вот читаю там полно уязвимостей в третьей версии, причем довольно серьезные xss и sql инъекции возможны. вот например:
http://packetstormsecurity.com/files/127683/Joomla-Kunena-Forum-3.0.5-SQL-Injection.html

Ни на одном сайте нет Joomla 3.3.6 и ниже?

Доброго времени суток!
Продолжу подробно отвечать на ваши вопросы. По поводу версий CMS Joomla. Нет, на всех трех сайтах самая последняя версия и сайты регулярно обновляются.

Отвечаю на ваш вопрос по поводу версии компонента "форум Kunena". Версия 3.0.8.

Уважаемый Сapricorn!
По поводу даты взлома. Скорей всего взлом сайта клуба произошел в период с 20 апреля 2015 г. по 26 апреля 2015 г. Когда точно, сказать трудно. Log файлы я еще не смотрел. Факт взлома был обнаружен мной сегодня (26 апреля 2015 г.).

я бы предложил поставить "растяжку" на случай повторного захода бота - скрипт в cron каждые 30 минут на обнаружение изменений в файлах с сообщением на почту. даже если взломали по ftp, все равно можно будет увидеть когда это произошло.

https://github.com/lucanos/Tripwire

а два других сайта на одном аккаунте какие?, могли также и через них ломануть!

Ооо да тут "битва экстрасенсов".
Что гадать, судя по списку расширений, установлено масса "дырявых" и 100% не обновлялись, еще и движки не с оф. сайта
В чем вопрос то, вам аудит надо? Или погадать вместе с вами?
У вас в руках логи вот их и смотрите. Остальное все на ТНТ там все экстрасенсы.
Вам хостер про нагрузку писал, вы не стали смотреть/искать и устранять, а начали админки закрывать не понятно за чем переименовывать их, все намного проще ставите HTTP авторизацию на папку средствами Apache.

У вас в руках логи вот их и смотрите

Конечно. Найдем.

Здравствуйте уважаемые дамы и господа!
По данной теме у меня есть дополнительная информация. Спешу ей с вами по делиться. От хостинговой компании, где расположен сайт мне пришло письмо, о том, что "на аккаунте обнаружено вредоносное содержимое". Письмо пришло уже после хакерской атаки (27 апреля).
Вот фрагмент письма от хостинговой компании:
"В ходе плановой проверки на Вашем аккаунте было обнаружено подозрительное, потенциально вредоносное, содержимое.
Ниже приведены пути к найденным файлам, а также их описание:

.../tmp/plupload/p19jku99t3j8a1vh1rmb4c21smm4.php : PHP.Hide"

Итак, вирус был обнаружен в папке tmp. Данный файл я удалил.
Возникает вопрос, как он мог туда попасть? Может быть у меня не были выставлены необходимые права для файлов и папок Joomla? Дело в том, что я почему-то решил, что при инсталляции третьей версии CMS Joomla права к папкам и файлам выставляются автоматически. Или я не прав? Посоветуйте, пожалуйста, где дополнительно почитать о том, как грамотно выставить права для папок Joomla третьей версии?

Более того, определил приблизительно дату хакерской атаки на сайт. Изменения в файле p19jku99t3j8a1vh1rmb4c21smm4.php были произведены 24 апреля 2015 года. Следовательно, скорее всего и атака была 24 апреля.

Уважаемые дамы и господа! Что вы можете посоветовать в свете вышесказанного?

Дату вы не определите по файлу, шел могли залить и пол года назад, а файл с "заразой" намного позже. Читайте логи ищите подтверждение своей даты, так и поймете дату взлома. Права на папки 755 на файлы 644 Joomla или другая cms разницы в правах нету, на некоторые файлы (если требуется) самостоятельно устанавливаются права 640 или 444 или 440, в каких либо дополнительных расширениях бывает что необходимо папки открывать на 777 но это не относится конкретно к Joomla.

Дату вы не определите по файлу

Тут я с вами поспорю! дату создания файла можно определить, ее нельзя править, а дату доступа и дату модификации можно!

Ни с кем спорить не буду, получится бесполезный холивар, просто файлы удаляются и заливаются, шелы по пол года на сайтах отлеживаются и потом применяются. И какую дату у каких файлов в этих случаях смотреть. Найдя файл с датой 01.01.1900 это не значит что у шела точно такая же дата, и не означает что файлы не модифицировали под сайт и не создавались с такой же датой как основные файлы сайта.

Да, тут и правда больше демагогии. Securitycheck поставить и посмотреть список уязвимостей тоже можно. Дефейсят обычно по приколу. Обычно пытаются получить выгоду.