Вирусы на сайте - как лечить - Безопасность сайтов на Joomla

Доброго вечера! Заказчик прислал вот такое сообщение с хостинга:

В панели управления хостингом запустил проверку на вирусы. Подтвердил что файлы заражены:
public_html/orichem/templates/mail.php: SiteLock-PHP-UPLOADER-1-md5-tq.UNOFFICIAL
public_html/iceplast.ru/adminer.php: HG.PHP.Malware.27295.UNOFFICIAL
public_html/kinetrapro.ru/adminer.php: HG.PHP.Malware.27295.UNOFFICIAL

Файлы adminer.php не доступны для скачки и просмотра, ни с панели хостера, ни через фтп.
Паникую, подскажите что и в какую сторону копать. Если не в том разделе разместил, прошу не пинать.

Не в том.
Или в раздел Безопасность (но там надо не писать, а читать сначала), или в коммерческий раздел.

Ну пусть повисит немного, может что дельного подскажут...

Служба поддержки на этом хостинге отвечает только до 18-00. Средствами хостинга после проверки удалил эти файлы. Вопрос: файла adminer.php не должно быть в корне сайта, если его не залить туда принудительно? Я не заливал.
Посмотрел на другом сайте с Джумлой, на другом хосте - этого файла нет. Может это быть диверсия? Начитался сегодня что с помощью adminer.php управляется БД. Если да, то как могли залить?

Принцип взлома прост - обычно через уязвимость на сайте заливается шелл - специальный скрипт, через который можно получить полный контроль над вашим аккаунтом, и уже потом выполняются различные действия, например, создается скрипт, подключающий ваш сайт к системе спама. Лечиться нужно, и не файлики удалять, а весь сайт чистить и патчить, проводить аудит расширений и контролировать его после лечения, тут за бесплатно вам такую услугу никто не предложит.

И желательно разные сайты запускать под разными пользователями или хотя бы ограничить open_basedir.

1. Айболит на почту на изменение файлов.
2. Кроном чмод на все папки и файлы 644 раз в час
3. При добавление материалов - ну в общем картинок или вы сами 777 ставите, или отлавливаете допустим кнопку админки сохранить или сохранить и закрыть, при нажатии чмод 777 после записи картинок чмод 644.
Все! Всем вирусам ХАНА!

И желательно разные сайты запускать под разными пользователями или хотя бы ограничить open_basedir.

Имеете ввиду на хостинге для каждого сайта свой пользователь?

для каждого сайта свой пользователь

Примерно так.

2. Кроном чмод на все папки и файлы 644 раз в час

Что за изврат?

Просканировал сайт вот этой штукой Shell и BackDoor. Посмотрите пожалуйста, есть тут зараза?

И вот второй сайт

Боюсь, телепаты в отпуск ушли

Я в спойлерах выложил результаты сканирования. Их не видно? Или их видно, но ничего не понятно? Или может я по ошибке выложил фрагмент "Войны и мира"? Можете информативнее высказаться?

Я в спойлерах выложил результаты сканирования.

они ни о чем. это не те логи, по которым можно что-то сказать

В "отчете" нет фрагментов кода.
Даже информативности айболита, который показывает маленькой вхождение подозрительного кода не всегда достаточно - надо смотреть сам файл\исходник.

Понятно, но данный продукт больше не выдал мне никаких  файлов логов, просто открыл страницу в браузере с текстом и все.

Вот эта строка String: ******* не показывает на какие файлы хотя бы стоит обратить внимание? Ай Болит не могу использовать - выдает ошибку из за короткой сессии, а на хостинге нет возможности увеличить. Есть ли еще варианты, чем можно просканировать?

Айболитом на локалке.

Ну вобщем, развернул сайты на другом хостинге, который в своих инструментах предлагает проверку файлов АйБолитом. Вердикт по обоим - Вирусы и вредоносные скрипты не обнаружены. Но, на каждом есть по одному скрытому файлу.
Должно так быть? Или нужно искать эти файлы в целях проверки? И как их можно найти если они скрытые?

Вердикт по обоим - Вирусы и вредоносные скрипты не обнаружены.

интересно, как это? айболит даже на чистую жумлу пару скриптов показывает ложных срабатываний. вы в параноидальном режиме проверяли? если нет, то проверьте именно в нем.

И как их можно найти если они скрытые?

в логе разве не показывает путь к этим файлам?

Именно в параноидальном. Но я запускал из панели управления хостингом и по результатам мне доступен вот такой .hml отчет. Сейчас спрошу в тех поддержки, сохраняется ли где файл логов...

Именно в параноидальном.

ничего себе, неужели наконец то исправили ложные срабатывания

по результатам мне доступен вот такой .hml отчет

ну так кликайте на Скрытых файлов 3, и там будет видно что это за файлы.

  не кликабильно, я бы кликнул...

странно, видимо что-то поменялось в последних версиях значит. проверю чуть позже, посмотрю.

Хостер ответил - нет файла логов, только этот хмл отчет.

Хостер ответил - нет файла логов, только этот хмл отчет.

Хостеру ваши проблемы по барабану. Логи создаются в том случае, если они включены, это два файла error_log и access_log. Я ранее писал, что все эти ваши поползновения абсолютно неэффективны, т.к. у вас отсутствуют нужные знания. Вы же остаетесь при своем мнении и даже не пытаетесь понять, что вам объясняют специалисты. В частности, я сказал вам о том, что нужно смотреть весь сайт, а не искать какие то левые файлы. Сейчас нет сомнений, что сайт взломан, а если так, то для поиска последствий нужна, прежде всего, голова и знания, а не волшебные программки, да еще на стороне хостера, которые могут годами не обновляться. А эффективных сканеров не так много.

Вот скажите, что вы пытаетесь найти? Допустим, мне известна уязвимость, через которую я проник на сайт. Я, получив доступ на запись, залил вам небольшой файлик с вполне себе нормальным кодом в какую нибудь системную папку. Там нет известных сканеру сигнатур. Этот файлик юзает мой бот. Только и всего. Дату и время создания я поставлю такую же, как у остальных файлов. Как вы его найдете? Ну?

А если я залью и запущу другой скрипт, который пропишет исполняемый код в базу и потом удалю этот скрипт, каким сканером вы обнаружите это, если даже не можете скачать себе и запустить айболит для Windows?

P.S. А если.... А вот таких "а если" на самом деле больше, чем вы думаете. И взлом - это не всегда появление новых файлов или изменение кода существующих. Волшебных программ, где нажал кнопочку - и сайт чист - их не существует. Решить вопрос могут только знания.

Ну почему же не пытаюсь понять – очень даже пытаюсь. И Вы, несомненно, специалист, и в этой теме тоже специалисты пишут и в других, в разделе «Безопасность».
Вот с айболитом для винды, да, я оплашал, сейчас прогоню на локальном сервере.
Я думаю я смогу. Если смогу Вы смените тон, на чуть более благосклонный?
Вы же, как специалист сразу отсылаете в коммерческий раздел, а я хочу сам разобраться, ведь, наверное, в будущем придется столкнуться с этим неоднократно.

Я думаю я смогу. Если смогу Вы смените тон, на чуть более благосклонный?
Вы же, как специалист сразу отсылаете в коммерческий раздел, а я хочу сам разобраться, ведь, наверное, в будущем придется столкнуться с этим неоднократно.

Да небыло никакого особого тона, кроме обычного делового 

Смотрите, какой расклад: я очень даже приветствую ваше желание научиться. Если начнете, могу даже накидать ссылок. Но вся ваша беда в том, что для того, что бы понимать суть вашего вопроса, понадобятся годы учебы и практики. А результат вам нужен здесь и сейчас. Потому вас и посылают в коммерческий раздел, где за небольшую плату вам пролечат сайт, пропатчат, настроят и дадут ценные советы по дальнейшей эксплуатации.

Ведь нельзя научиться ломать сайты за неделю-другую, а уж тем более нельзя за этот срок научиться тому, чему вы хотите научиться, на это нужны, я повторюсь, годы.

Потому вас и посылают в коммерческий раздел, где за небольшую плату вам пролечат сайт, пропатчат, настроят и дадут ценные советы по дальнейшей эксплуатации.

А при таком раскладе приоткроют завесу тайных знаний? А ссылочек все же накидайте, если не затруднит...