0 Пользователей и 1 Гость просматривают эту тему.
  • 20 Ответов
  • 886 Просмотров
*

kristina_r

  • Осваиваюсь на форуме
  • 14
  • 0 / 0
Взломали сайт Antonkiil
« : 04.07.2026, 12:28:24 »
Здравствуйте! Взломали сайт, некий Antonkiil, может кто-то сталкивался с этим, куда копать? Можно как-то избавиться от этой заразы без восстановления из резервной копии? Были на сайте работы проведены большие по изменению дизайна, не хочется результат терять
*

ProtectYourSite

  • Живу я здесь
  • 2379
  • 141 / 4
  • Безопасность вебсайтов
Re: Взломали сайт Antonkiil
« Ответ #1 : 04.07.2026, 18:41:35 »
Спросите хостера для начала об актуальных резервных копиях, они должны быть по идее ежедневными.
Но после этого все равно надо будет лечить и защищать сайт.
*

kristina_r

  • Осваиваюсь на форуме
  • 14
  • 0 / 0
Re: Взломали сайт Antonkiil
« Ответ #2 : 04.07.2026, 18:57:56 »
Спросите хостера для начала об актуальных резервных копиях, они должны быть по идее ежедневными.
Но после этого все равно надо будет лечить и защищать сайт.
Не могли бы вы подсказать пожалуйста, как лечить и защищать сайт?
*

Invictus

  • Захожу иногда
  • 85
  • 0 / 0
Re: Взломали сайт Antonkiil
« Ответ #3 : 06.07.2026, 11:25:47 »
Взлом идет в большинстве случаев через уязвимую версию Helix. Нужно обновить плагины фрейморк до 3.1.2.
« Последнее редактирование: 08.07.2026, 15:46:51 от Invictus »
*

Panda

  • Захожу иногда
  • 56
  • 0 / 0
Re: Взломали сайт Antonkiil
« Ответ #4 : 06.07.2026, 17:55:11 »
Взлом идет в большинстве случаев через уязвимую версию Helix. Нужно обновить плагины фрейморк до 3.1.2.
Но нам не помогло. Восстанавливаем сайт, ставим обновы, сайт какое-то время работает нормально, а потом просто перестает открываться. Раза три пробовали. По видимому хак идет и через SQL.
Такая же ситуация. Поломали кучу сайтов в один день. Пока один восстанавливаю, второй уже снова лежит дефейснутый.
Из того что понял, надо обновить плагин Helix, обновить или снести редактор JCE и обновить SP Pagebuilder до последней версии, но у меня с этим проблема на Joomla 4.1.2
*

Panda

  • Захожу иногда
  • 56
  • 0 / 0
Re: Взломали сайт Antonkiil
« Ответ #5 : 06.07.2026, 19:42:00 »
И вот тут проверить на предмет шеллов - /media/com_sppagebuilder/assets/iconfont/
Ну и сменить пароль от админки и бд
*

Anttuer

  • Захожу иногда
  • 97
  • 2 / 0
Re: Взломали сайт Antonkiil
« Ответ #6 : 06.07.2026, 21:33:06 »
Взлом идет в большинстве случаев через уязвимую версию Helix. Нужно обновить плагины фрейморк до 3.1.2.
Но нам не помогло. Восстанавливаем сайт, ставим обновы, сайт какое-то время работает нормально, а потом просто перестает открываться. Раза три пробовали. По видимому хак идет и через SQL.
Хак идет черед дырку в SP Page Builder через функционал загрузки собственных иконок, вот пояснение: https://www.google.com/search?q=CVE-2026-48908&oq=CVE-2026-48908&gs_lcrp=EgZjaHJvbWUyBggAEEUYOdIBBzczMmowajeoAgCwAgA&sourceid=chrome&ie=UTF-8

Я тоже с этим столкнулся, удалил кучу всего, как временное решение нашел блокировку "дыры" в .htaccess:

RewriteEngine On
# Block asset.uploadCustomIcon direct access
RewriteCond %{QUERY_STRING} task=asset\.uploadCustomIcon [NC,OR]
RewriteCond %{QUERY_STRING} task=asset%2euploadCustomIcon [NC]
RewriteRule .* - [F,L]

В идеале обновиться до Page Builder версии 6.6.2, но если сайт старый то тогда только блокировать.
*

Anttuer

  • Захожу иногда
  • 97
  • 2 / 0
Re: Взломали сайт Antonkiil
« Ответ #7 : 06.07.2026, 21:35:12 »
Такая же ситуация. Поломали кучу сайтов в один день. Пока один восстанавливаю, второй уже снова лежит дефейснутый.
Из того что понял, надо обновить плагин Helix, обновить или снести редактор JCE и обновить SP Pagebuilder до последней версии, но у меня с этим проблема на Joomla 4.1.2
Удаляйте JCE, блокируйте дыру в Page Builder через .htaccess:

RewriteEngine On
# Block asset.uploadCustomIcon direct access
RewriteCond %{QUERY_STRING} task=asset\.uploadCustomIcon [NC,OR]
RewriteCond %{QUERY_STRING} task=asset%2euploadCustomIcon [NC]
RewriteRule .* - [F,L]

У меня на одном сайте дефейсы прекратились после удаления компонента AcyMailing, но левые json файлы с текстами всё равно появляются. Подробнее об уязвимости тут: https://www.google.com/search?q=CVE-2026-48908&oq=CVE-2026-48908&gs_lcrp=EgZjaHJvbWUyBggAEEUYOdIBBzczMmowajeoAgCwAgA&sourceid=chrome&ie=UTF-8

Жопа конечно :(
*

Anttuer

  • Захожу иногда
  • 97
  • 2 / 0
Re: Взломали сайт Antonkiil
« Ответ #8 : 06.07.2026, 21:36:26 »
сменить пароль от админки и бд
Смена пароля от БД мало что решит, там идет прямая загрузка файлов на сервер. Но да, не плохо бы и это сделать.
*

Anttuer

  • Захожу иногда
  • 97
  • 2 / 0
Re: Взломали сайт Antonkiil
« Ответ #9 : 06.07.2026, 21:37:56 »
а потом просто перестает открываться
Я на одном сайте заметил в файлах index.php внедренный обфусцированный js-код, сайт тоже ОЧЕНЬ плохо грузился, после удаления этого кода всё ок стало. Код внедряют в корневой index.php и index.php шаблонов.
*

Anttuer

  • Захожу иногда
  • 97
  • 2 / 0
Re: Взломали сайт Antonkiil
« Ответ #10 : 06.07.2026, 21:47:07 »
Здравствуйте! Взломали сайт, некий Antonkiil, может кто-то сталкивался с этим, куда копать? Можно как-то избавиться от этой заразы без восстановления из резервной копии? Были на сайте работы проведены большие по изменению дизайна, не хочется результат терять
Шаг 1. - зайти к хостеру и скачать максимально старые бэкапы которые доступны, атака пошла с конца июня, если у вас есть ежедневные бэкапы на 30 дней назад - качайте 4-5 версий, файлы + базу.
Шаг 2. - Накатываем бэкап от середины июня или начала месяца
Шаг 3. - Руками проверяем файлы чтобы не было ничего лишнего, удаляем всё подозрительное.
Шаг 4. - Удаляем компоненты JCE, Acymailing, если есть возможность обновляем SP Page Builder до последней версии.
Шаг 5. - Если обновление SP Page Builder невозможно (сайт старый) то открываем корневой файл .htacceess и вписываем туда следующее:

RewriteEngine On
# Block asset.uploadCustomIcon direct access
RewriteCond %{QUERY_STRING} task=asset\.uploadCustomIcon [NC,OR]
RewriteCond %{QUERY_STRING} task=asset%2euploadCustomIcon [NC]
RewriteRule .* - [F,L]

Это заглушка которая закрывает ту уязвимость которую использовали взломщики.
Дальше наблюдайте за сайтом, держите под рукой резервные копии которые вы скачали.
*

khan-alex

  • Давно я тут
  • 650
  • 30 / 1
Re: Взломали сайт Antonkiil
« Ответ #11 : 07.07.2026, 12:17:19 »
Прочитал и не понял, а как взлом проявляется? У меня на 3 сайта стали дико тормозить, через консоль разработчика посмотрел какой файл всё тормозит - идёт запрос на сторонний ресурс whitellllshop.icu файл находился по пути: /media/vendor/jquery/js/jquery.min.js (для Joomla 3.10 путь: /media/jui/js/) Очистил всю папку (хотя заражён был только этот файл), обновил корневые файлы Joomla через интерфейс обновления, удалил все лишние профили в JCE (а они были) и почистил папку tmp в корне сайта. Пока полёт нормальный!
*

Invictus

  • Захожу иногда
  • 85
  • 0 / 0
Re: Взломали сайт Antonkiil
« Ответ #12 : 07.07.2026, 16:44:14 »
Прочитал и не понял, а как взлом проявляется?
Дефейсом, т.е. подменой страниц. Пример: https://vektronik.ru/katalog/stanki/format-mini/product/view/552/1227
В бэкенде зашел в настройки и удалил скрипт в пользовательских JS. Прошелся по файлам на сервере с удалением вредоносных JSON, PHP, TXT. В логах хостера увидели, что атака идет с созданием вебшелла (c PHP) в папке images.
Так же сторонние файлы были найдены в папке с шаблоном, корне сайта (чаще JSON).
В  случае если используется обычный Helix (не Ultimate), следует скачать фикс (оба плагина): https://www.joomshaper.com/downloads/template/helix3
Закрыть уязвимые директории от создания PHP через внесение изменений в htaccess. Можете использовать вот это бесплатное расширение от немецкого разработчика https://htprotect.org/en/#htprotect
Собственно там же, на странице разработчика подробнее о проблеме и ее решении: https://htprotect.org/en/helix3
« Последнее редактирование: 07.07.2026, 16:49:36 от Invictus »
*

Invictus

  • Захожу иногда
  • 85
  • 0 / 0
Re: Взломали сайт Antonkiil
« Ответ #13 : 07.07.2026, 16:48:28 »
Хак идет черед дырку в SP Page Builder
У кого как. У меня SP Builder  3.6.2. Версия не попала в число уязвимых. Атака произошла через уязвимую версию фреймворка Helix.
*

wishlight

  • Гуру
  • 5096
  • 322 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: Взломали сайт Antonkiil
« Ответ #14 : 07.07.2026, 20:05:23 »
JCE, Sp Page Builder, Helix (Helix Ultimate тоже надо обновить!) сейчас актуальные. У кого есть, проверяем все.

избавиться от этой заразы без восстановления из резервной копии

Это достаточно тяжело. В закрытом режиме все вычищать и обновлять надо.
« Последнее редактирование: 07.07.2026, 20:11:06 от wishlight »
*

Invictus

  • Захожу иногда
  • 85
  • 0 / 0
Re: Взломали сайт Antonkiil
« Ответ #15 : 08.07.2026, 15:43:40 »
Что касается  SP Builder, согласно заявлению разработчиков, у версий 3-хх нет данной уязвимости.
По инциденту с дефейсом, можно посмотреть пошагово следующие действия по решению проблемы: https://htmlweb.ru/articles/incident-rostovklimatru.html
*

Invictus

  • Захожу иногда
  • 85
  • 0 / 0
Re: Взломали сайт Antonkiil
« Ответ #16 : 08.07.2026, 15:54:40 »
Из того что понял, надо обновить плагин Helix, обновить или снести редактор JCE и обновить SP Pagebuilder до последней версии, но у меня с этим проблема на Joomla 4.1.2
Скомпрометированные версии JCE не создают данной проблемы. И там не таких серьезных последствий (решается удалением левых профилей и файлов shtml, накаткой фикса) как в случае с взломом фреймворка Helix и конструктора контента от JoomShaper. Здесь уже более глубокое заражение и действительно приходится произвести полный аудит скомпрометированного сайта. Кроме того - как правило ломается шаблон и надо удалять сторонний код в БД в стилях.
Если у Вас уязвимая версия SPB, можете просто накатить патч. Подробнее здесь:
https://www.joomshaper.com/forum/question/45258
*

oslyabya

  • Захожу иногда
  • 107
  • 0 / 0
Re: Взломали сайт Antonkiil
« Ответ #17 : 13.07.2026, 09:58:27 »
спасибо большо что поделились. а то только восстановлю сайт из резервной копии, через несколько часов снова ломают.
обновил SP Page Builder 6 Lite, его кстати можно бесплатно скачать с сайта разработчика https://www.joomshaper.com/downloads/extension/sp-page-builder-lite-next
и после этого проблема ушла.
В поисках решения удалил ещё редактор JCE. Его уже можно заново ставить, или там тоже дыры есть?
*

ProtectYourSite

  • Живу я здесь
  • 2379
  • 141 / 4
  • Безопасность вебсайтов
Re: Взломали сайт Antonkiil
« Ответ #18 : 13.07.2026, 14:14:46 »
Как по мне, я стараюсь обходиться без редактора JCE, история со взломами повторяется с периодичностью. Либо можно пытаться повысить защищённость добавляя в папки загрузки .htaccess с запретом исполняемым файлов/ белым списком разрешенных
*

Invictus

  • Захожу иногда
  • 85
  • 0 / 0
Re: Взломали сайт Antonkiil
« Ответ #19 : 14.07.2026, 11:21:42 »
В поисках решения удалил ещё редактор JCE.
Дыру пофиксили. Можно ставить. Но согласен с коментом  выше. Больно часто его взламывают.
*

Invictus

  • Захожу иногда
  • 85
  • 0 / 0
Re: Взломали сайт Antonkiil
« Ответ #20 : 14.07.2026, 11:23:33 »
У меня после восстановления из бекапа и чистки после недавнего взлома Helix, появилась другая проблема. Стоит мне очистить кэш Joomla, как сайт ложится с ошибкой 500. Приходится снова разворачивать из бекапа.
Друзья, кто сталкивался может, где копать?
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

При открытии сайта с режима инкогнито перекидывает на вирусный сайт

Автор 62411

Ответов: 6
Просмотров: 5419
Последний ответ 31.03.2024, 16:14:32
от SeBun
Netflix! - Клиент поймал фишинг на старый сайт. Где порылись собаки?

Автор Alex_gs

Ответов: 9
Просмотров: 3345
Последний ответ 05.11.2021, 21:47:31
от wishlight
Взломали сайт. Как в некоторых случаях делаю я

Автор cntrl

Ответов: 0
Просмотров: 2123
Последний ответ 29.08.2020, 00:25:24
от cntrl
Безопасный вход на сайт Joomla и админка

Автор jm

Ответов: 9
Просмотров: 3252
Последний ответ 19.07.2020, 23:57:17
от wishlight
[Руководство] Как защитить сайт на версии 1.5 (не поддерживается разработчиками)

Автор flyingspook

Ответов: 13
Просмотров: 9223
Последний ответ 08.01.2020, 12:52:55
от winstrool