Постоянно взламывают хостинг - Безопасность сайтов на Joomla

Привет всему сообществу. Расскажу подробно, т.к. ситуация реально достала. Несколько лет размещаю сайты в количестве примерно 20 штук на хостинге nic.ua. Там установлена Cpanel в которой все сайты расположены в одном аккаунте, с отдельным ФТП доступом к каждому. И регулярно сайты (или сама панель) взламываются, т.е на всех сайтах появляются левые папки и файлы с вредоносным кодом и начинает валить спам. Я вычищаю все сайты скриптом Фш-Bolit и меняю пароли ФТП но проходит время и все повторяется. Техподдержка отвечает что это мои проблемы, т.к. Joomla самое дырявое в мире го..но. Интересно то что вчера снова мне написали что аккаунт взломан и прислали скрин где вредоносные файлы размещены в папке пользователя которого я только создал и ничего там не было залито, никакой Joomla. И все, дальше ситуация не продвигается. Уточню, что все сайты регулярно обновляются. никакого вареза ни в шаблонах ни в расширениях. Прошу у хостеров показать через какие именно плагины лезет зараза - не показывают,  просто утверждают что взламывают не аккаунт а сайты, без аргументации, и что у них с настройками ПО все отлично.
Я могу быть неправ т.к. не специалист в этом, может кто даст дельный совет или как доказать хостеру что проблема на их стороне, или как мне обезопасить все свои сайты раз и навсегда чтоб эта проблема не возникала, может есть какой скрипт, плагин, или например в файле .htaccess прописать какую команду, вот саппорт например пишет:
"В вашем случае используется, по моему мнению, самая взламываемая CMS Joomla.
В ней не реализованы даже минимальные варианты защиты, тот же .htaccess с запретом запускать php в папке."

Сразу скажу - вариант перенести сайты к другому хостеру самый последний вариант, есть причины

Посмотрел свои же комментарии в карму и могу только процитировать Станиславского относительно

Уточню, что все сайты регулярно обновляются. никакого вареза ни в шаблонах ни в расширениях.

— не верю!

Joomla самое дырявое в мире го..но

уже смешно

"В вашем случае используется, по моему мнению, самая взламываемая CMS Joomla.
В ней не реализованы даже минимальные варианты защиты, тот же .htaccess с запретом запускать php в папке."

еще раз смешно хорошо, что это только его мнение самая взламываемая - разве что только потому, что самая распространенная. а по htaccess даже комментировать не хочется.

конечно, это все бред. но вот по сути - хостер скорее всего прав. я согласен с Воландом, вероятно вы пропустили какое то важное обновление безопасности (либо обновили поздно), и вас взломали. а поскольку хостер настолько бестолков, что не может разграничить доступ к сайтам в пределах одного аккаунта, то взломав один сайт - взломали все.

вам предстоит нехилая работа... 20 сайтов вычистить дело не быстрое и не дешевое...

А поставить сканер появления новых файлов и изменения в уже находящихся на хостинге, на каждый сайт отдельно .

Посмотрел свои же комментарии в карму и могу только процитировать Станиславского относительно— не верю!

не совсем понял насчет комментов в карму и почему не веришь:)? Но просьба - БОЛЬШАЯ - можно только по существу проблемы?

А поставить сканер появления новых файлов и изменения в уже находящихся на хостинге, на каждый сайт отдельно .

а что это по сути даст? и так сообщают, что очередной раз взломан проблему это не решит, надо вычищать все, по всем сайтам искать и вычищать

А поставить сканер появления новых файлов и изменения в уже находящихся на хостинге, на каждый сайт отдельно .

Подскажите пожалуйста - какой сканер, может нюансы есть и насколько это поможет решить проблему?

уже смешно
еще раз смешно хорошо, что это только его мнение самая взламываемая - разве что только потому, что самая распространенная. а по htaccess даже комментировать не хочется.

конечно, это все бред. но вот по сути - хостер скорее всего прав. я согласен с Воландом, вероятно вы пропустили какое то важное обновление безопасности (либо обновили поздно), и вас взломали. а поскольку хостер настолько бестолков, что не может разграничить доступ к сайтам в пределах одного аккаунта, то взломав один сайт - взломали все.

вам предстоит нехилая работа... 20 сайтов вычистить дело не быстрое и не дешевое...

интересно то что хостер вроде серьезный - nic.ua и по всем вопросам которые возникают - помогают, качественно, оперативно, в т.ч. по телефону, словом я на фоне других с какими сталкивался - вполне доволен. А вот эта ситуация тупиковая просто какая-то...
Насчет обновлений - да все обновляю, ну не прям вот так сразу но например могу пропустить версию Joomla и на каком-то сайте 3.4 а не последняя. И то не факт...

Доступ по ФТП разграничен, т.е. есть один мой аккаунт, а на нем - сайты, у каждого свой ФТП доступ.
И как сделать чтоб не заниматься этой бедовой чисткой уже не знаю. Может есть какой-то скрипт который может ограничить по айпи к каждому отдельному сайту доступ?

ИМХО, 20 сайтов на одном аккаунте - это сложно и дорого решаемая проблема. Тут, бывало, пока с одним разберешься - семь потов сойдет, а 20...

ну не прям вот так сразу но например могу пропустить версию Joomla и на каком-то сайте 3.4 а не последняя

здорово

Доступ по ФТП разграничен, т.е. есть один мой аккаунт, а на нем - сайты, у каждого свой ФТП доступ.

доступ по ftp вообще никому не интересен. в другой теме я вам уже написал, можете даже не заморачиваться и не менять пароли. толку от этого 0

И как сделать чтоб не заниматься этой бедовой чисткой уже не знаю. Может есть какой-то скрипт который может ограничить по айпи к каждому отдельному сайту доступ?

где то была кнопка. дайте человеку

Подскажите пожалуйста - какой сканер, может нюансы есть и насколько это поможет решить проблему?

http://sitesdata.ru/php-script-kontrola-failov.htm
Ну насколько я не знаю, но мне помогает в сложных случаях. Особенно когда нужно точно установить откуда взлом, со стороны Joomla или хостинга.

http://sitesdata.ru/php-script-kontrola-failov.htm
Ну насколько я не знаю, но мне помогает в сложных случаях. Особенно когда нужно точно установить откуда взлом, со стороны Joomla или хостинга.

Спасибо, пошел пробовать

где то была кнопка. дайте человеку

А вот же она))


А если серьезно

1 ) Качаете все бэки на локалку
2 ) Чистите
3 ) Обновляете все до последних актуальных
4 ) Покупаете расширения безопасности на каждый сайт. Тут у каждого свои предпочтения. С  20 сайтами на одном акке без них обойтись почти нереально
5 ) Удаляете все сайты одновременно с хостинга
6 ) Удаляете все доступы ftp
7 ) Меняете все пароли - везде, и на хостинге, и в админках - где только можно
8 ) Перезаливаете все сайты
9 ) Молитесь

Ибо, если пропустили хоть один кусочек кода в одном файлике - вереятность повтора всего с нуля равна примерно 70%

где то была кнопка. дайте человеку

Да, кнопочка б такая не помешала:)

Скажите, а если серьезно - есть возможность запретить доступ по ftp к сайту, оставив доступ только для себя, или для пары айпишников? Хотя вы пишете что это не в ФТП проблема но я как-то не пойму - а как тогда заливаются файлы с вредоносным кодом?

А вот же она))


А если серьезно

1 ) Качаете все бэки на локалку
2 ) Чистите
3 ) Обновляете все до последних актуальных
4 ) Покупаете расширения безопасности на каждый сайт. Тут у каждого свои предпочтения. С  20 сайтами на одном акке без них обойтись почти нереально
5 ) Удаляете все сайты одновременно с хостинга
6 ) Удаляете все доступы ftp
7 ) Меняете все пароли - везде, и на хостинге, и в админках - где только можно
8 ) Перезаливаете все сайты
9 ) Молитесь

Ибо, если пропустили хоть один кусочек кода в одном файлике - вереятность повтора всего с нуля равна примерно 70%

Вот именно так я и сделал последний раз. Но не все: не поменял все пароли в админке - это нереально, ладно свои а пользователей и других админов у каждого из сайтов?
И с расширениями безопасности - не ставил...Ну и Ai-Bolit ом чистил но не факт что что-то и пропустил, в смысле скрипт мог и не показать.... И увы, не молился...

Так чистка не только айболитом ведется. Тут от вида заражения зависит. Как минимум сторонние файлы искать надо - код в них может быть весьма приличным на вид, айболит не покажет.

Вообще много нюансов.

Хоть Вы и написали, что перенос невозможен - вангую, все равно рано или поздно съедете. Мы с пятью сайтами не справились - пришлось переезжать на VDS. Хотя, что интересно - переехали на VDS к другому хостеру - и взломы прекратились в принципе)

А вот же она))

ага

ТС, повторю свое имхо: вы не справитесь с этим сами. либо закажите проверку/чистку у специалистов, либо забейте. все остальное - промежуточные состояния, которые ни к чему не приведут, только действия лишние. кроме эффекта карусели не получите больше ничего.

Насчет обновлений - да все обновляю, ну не прям вот так сразу но например могу пропустить версию Joomla и на каком-то сайте 3.4 а не последняя. И то не факт

Вот и причина взлома.
Я был прав, не веря.
И это по существу. Я даже выше писал (в подписи)

Лень второе имя. Это уже 100 раз обсуждалось. Начнем с того что ftp доступ тут вообще не причем. Варианта тут 3.
1. Нанять человека (в случае с 20 сайтами на одном аке) лучше человека 3 хотя бы.
2. Попробовать сделать самому. (Учитывая вообще наличие данного вопроса, а так же другие кооментраии "не по Сеньке шапка", тут не работает принцип "если долго мучатся что нибудь получиться" надо быстро и с первого раза);
3. Уйти в монастырь.

В случае если хотите второй вариант, тут вам мало чем помогут, ну можем литература накидать, пару скпртиков, но не написать как и что вам делать. Первое потому что этому учатся годами. Второе для многих безопасность это их хлеб с черной икрой и делиться ни кто не будет.
Сам же принцип такой же как с инфекционными заболевания в медицине. (я где расписывал эту метафору). Увезли пациентов в больницу полностью продифференцировали дом(а лучше его вообще сжечь). Вылечили, изолировали от остальных. Если есть место то лучше все проваливать друг от друга изначально.

P.S Хостинг менять однозначно. За ответ про самую взламываю, может отчасти по статистике и верен, но это не их дело, и если хост  так прищет это показывает их не компетентность.
"Постоянно взламывают хостинг" - название не про проблему.

Вот и причина взлома.
Я был прав, не веря.
И это по существу. Я даже выше писал (в подписи)

я если честно не думал что на безопасность может существенно повлиять необновление с 3.4 до 3.5 или с 3.5 до 3.6 - разрыв небольшой, но по причине то ситуация достала буду теперь делать обновления немедленно, спасибо

бывало даже, что между выходом обновления и началом проведения первой атаки проходило не больше часа. поэтому в некоторых случаях немедленно - это именно немедленно подпишитесь на новости, смотрите что затрагивает апдейт. если исправления касаются безопасности - апдейт необходим срочно. только теперь то это все равно не поможет без лечения. обновляй, не обновляй - сайты уже все равно заражены.

Лень второе имя. Это уже 100 раз обсуждалось. Начнем с того что ftp доступ тут вообще не причем. Варианта тут 3.
1. Нанять человека (в случае с 20 сайтами на одном аке) лучше человека 3 хотя бы.
2. Попробовать сделать самому. (Учитывая вообще наличие данного вопроса, а так же другие кооментраии "не по Сеньке шапка", тут не работает принцип "если долго мучатся что нибудь получиться" надо быстро и с первого раза);
3. Уйти в монастырь.

В монастырь отпадает:)
Нанимать - тоже вряд ли, это не денежные проекты а просто несколько сайтов моих клиентов, визитки или простенькие магазины, ну и своих парочка плюс площадка для тестирования, словом - не за что нанимать, чтоб не в убыток:). Если вариантов решения не найду - буду всех разгонять по отдельным хостингам.
Сделать самому - я просто для самообразования конечно буду пробовать, т.к. раньше ВООБЩЕ не занимался настройкой безопасности и надо это исправлять.

Вот как бы найти эту дырочку, через которую лезет вирусня. Есть подозрение что это какой-то плагин на одном из сайтов, и потому все неоднократные чистки приводят к небольшой передышке до следующего появления левых файлов и папок...

хостеры написали что я могу использовать Installotron - http://joxi.ru/brRe63yhGy61A1 - я только пока не разобрался, это я так понял скрипт для автоматического обновления движка и расширений, но можно ли использовать для уже рабочего сайта?

Буду все же чистить, параллельно изучать вопрос как по максимуму настроить безопасность, чтоб в итоге просто исключить возможность внедрения сторонних кодов и файлов

хостеры написали что я могу использовать Installotron - http://joxi.ru/brRe63yhGy61A1 - я только пока не разобрался, это я так понял скрипт для автоматического обновления движка и расширений, но можно ли использовать для уже рабочего сайта?

Буду все же чистить, параллельно изучать вопрос как по максимуму настроить безопасность, чтоб в итоге просто исключить возможность внедрения сторонних кодов и файлов

Авто обновление зло обсуждали только вчера. Дырка уже давно не одна и не в одном сайте. Сайты все равно надо растаскивать. Хотя бы на время чистки иначе замкнутый круг.
P.s вспомнилось кто то наткнулся на хост где можно было в рут зайти без проблем

понял, спасибо, буду значицца растаскивать, предварительно только составлю себе мануал по настройке безопасности каждого конкретного сайта. Можно попросить о такой помощи: может есть обязательные правила и очень эффективные средства, подскажите, кто может. Т.е. может какие-то конкретные плагины, я вот на один из сайтов поставил "Securitycheck" - вычитал где-то но смотрю - пока не понял как его в действии использовать:). Может есть какие-то права на папки, которые надо при установке на хостинг вручную установить обязательно. Может можно что-то прописать в файле .htaccess чтоб ограничить возможность вмешательство и ограничить доступ с левый IP/
Буду ОЧЕНЬ признателен за каждый дельный совет.

Кстати техподдержка прислала вот такое:

Кто скажет, что это реально даст и даст ли в принципе, стоит ли на всех сайтах так сделать?

Пока тут спрашиваете все в течении последних полутора часов обновлялись на Joomla 3.6.4
Примерно через полчаса-час будут взламывать оптом всех не обновлённых.
А вы тут про какие-то никому не нужные плагины спрашиваете

Пока тут спрашиваете все в течении последних полутора часов обновлялись на Joomla 3.6.4
Примерно через полчаса-час будут взламывать оптом всех не обновлённых.
А вы тут про какие-то никому не нужные плагины спрашиваете

все, побежал обновлять:). Ну а спрашиваю для того чтоб научиться защищать свои и клиентов сайты, как без этого? Без этого я уже отгреб.

та вы можете уже особо не торопиться у вас сайты уже взломаны. лишним само собой не будет, но вам надо вычистить то, что уже есть

...чтоб научиться защищать свои и клиентов сайты...

nick71, вам самим нужно учиться основам. Причем даже не основам администрирования Joomla, не основам администрирования своего шареда через панель управления, а получать базовые знания об устройстве интернета и архитектуры сервера. Я не говорю уже о знаниях способов взлома и методов защиты сайтов. Отсутствие этих знаний грозит однажды обернуться для вас большими проблемами. В лучшем случае клиенты уйдут, но могут заставить платить за понесенные убытки. Вы ведь не просто так им свои услуги продаете...

кстати разводя демагогию. В вашем случае я бы все таки нанял человека. чтобы следил за всем. Сначала на чистку, потом на обслуживание. Нервы все равно дороже, да если это сайты клиентов включите им это в стоимость, подавно если там шопы. Да и сайтов не мало глядишь и на скидку договоритесь..

А еще если сайты не такие уж тяжелые. то есть вариант который ни кто не упоминал в виду его время затрат. В свое время была такая фраза "формат c - лучший антивирус" в принципе имея запас времени и терпения, а так же зная в чем была ваша ошибка, для человека не сведущего в чистке самый просто вариант пересобрать сайты где нибудь, а потом все старые стереть и влить новые.