Подскажите, взломали сайт - Безопасность сайтов на Joomla

Здравствуйте. Такая проблема: сегодня заметил, что взломали мыло и при заходе на сайт открываются какие то левые порно сайты, popuptraf.ru - один из них. Пароль на мыле восстановил. Подскажите пожалуйста, что нужно сделать, чтобы убрать эти говнгосайты. Адрес сайта: http://sentai.ru

Ничего не вижу (может, KIS попапы режет). Для начала замените индексный файл - index.php - на тот, что был в составе оригинального пака. Если не поможет - перезалейте Joomla на хостинг. Не переустановите, а просто скопируйте все файлы из оригинального пакета поверх установленных. Как вариант: во многих ftp-клиентах есть опция "сравнить папки". Устанавливаете на локалке чистый дистрибутив Joomla той же версии, что и на хосте, заходите на хостинг по ftp, в другом окне клиента открываете установленный на локалке сайт и жмете "сравнить". Если вам залили левые файлы, или размер одного и того же файла различается, то вы это увидите. 
Если хостер предоставляет unix shell (иначе - доступ по шифрованному ftp, SFTP), то работайте только через него, а в корневую директорию положите файл .ftpaccess с запретом соединений по ftp. Запарольте админку через htpasswd. Сделайте пароль на мыло символов в 16, состоящий из букв в разном регистре, цифр и спецсимволов, и никогда не указывайте контрольный вопрос.

Большое спасибо, сейчас буду делать

P.S. Если будете перезаливать Joomla, не забудьте сохранить файл configuration.php. Впрочем, туда легко прописать все значения заново.

и никогда не указывайте контрольный вопрос.

Я как-то делал такой контрольный вопрос

вопрос: девичья фамилия вашей матери

ответ: G55"mhGG5fvH*7%;

Даже помогало, когда пытались ломать.

Конечно это не преграда, но польза есть.

Тоже столкнулась с проблемой взлома сайта. Опишу всю ситуацию как можно подробнее, а вы посоветуйте, что еще можно добавить к моим действиям по безопасности. У меня инет-магазин бал на Joomla 1.5.14 с VirtueMart 1.1.12. Как был взломан я так и не поняла. Но однажды пришло письмо с банка Америки. В папках моего сайта оказалось вредоносное программное обеспечение (фишинг), после были обнаружены еще несколько вредоносных ПО. Мои действия:
1 Сменила все пароли.
2 Проверила комп на вирусы
3 Скопировала все файлы сайта на компьютер и просканировала тремя разными антивирусниками. Каждый нашел разные вирусы. Все файлы, в которых были найдены вирусы, удалила с хоста.
4 Обновила Joomla до 1.5.15 и VirtueMart до 1.1.14
Сейчас вместо доступа по протоколу FTP использую протокол SFTP

Сейчас хост разблокировали и сайт опять заработал, но я боюсь, что не все вредоносные файлы удалены и все может начаться заново. Посоветуйте, что еще желательно сделать? К сожалению, до взлома не был сохранен бэкап сайта.

Посоветуйте что-нибудь

Попробуйте сделать бекап и проверить его AVPtool. Так можно на автомате узнать где остались известные шеллы и прочая гадость, что касперский найдет. Разберитесь как их заливали и посмотрите в логах день создания/изменения зараженного файла. Устраните найденные уязвимости. Установите компоненты защиты. В 1.1.2 можно было сделать sql injection. Можно снести весь сайт, оставив базы данных и потом по верх них все установить (последние компоненты). Подайте сайт на бесплатную проверку уязвимостей.

Подайте сайт на бесплатную проверку уязвимостей.

А как это делается?

Есть много организаций в интернете, что протестируют ваш сайт на наличие уязвимостей. Можно обратиться на античат. А доверять или не доверять им ваше дело.

Есть много организаций в интернете, что протестируют ваш сайт на наличие уязвимостей. Можно обратиться на античат. А доверять или не доверять им ваше дело.

Я просто такими "вещами" не пользовался. От их проверки есть толк?
Меня просто смущает слова "бесплатная проверка"...
Вы пользовались их услугами?

Нет не пользовался. На свой страх и риск. Хотя были хорошие отзывы именно об античате.

Можете заказать платный анализ у кого нибудь. Это уже вам решать.

wishlight
а можно поподробнее про компоненты защиты, какие посоветуете?

wishlight
а можно поподробнее про компоненты защиты, какие посоветуете?

Когда ломают сайт - имеет смысл посмотреть логи доступа к ФТП и обращений к сайту.
Там можно найти кто и когда изменял файлы, а также какие именно запросы были к сайту (магазину). И уже тогда можно думать каким образом произошел взлом.
А также есть общие рекомендации по безопасности Движков сайта.
А вот скачать сайт и запустить антивирус - сомнительное удовольствие... Не совсем представляю чем он поможет от вполне безобидных строк, которые подгружают информацию с других сайтов?

По крайне мере найдет шелл, если он был. Бесплатные компоненты jfirewall lite, sh404SEF - тут тоже можно было найти, jSecure Authentication, GuardXT - это можно поставить бесплатно. Еще посмотрите тут http://extensions.joomla.org/extensions/access-a-security/site-security
Логи конечно смотрите, чтобы определить, когда у вас все произошло.

Alexashka
после проверки сайта антивирусом, он нашел вот что и поместил в карантин
administrator\components\com_virtuemart\jawa.php содержит сигнатуру эксплойта EXP\PHP.E
Логи на день блокирования сайта я посмотрела, их очень и очень много, но в них ничего не поняла. Папка в которой были файлы фишинга administrator\components\com_virtuemart\ing, в основном обращения к этой папке, например такие:


79.178.1.70 - - [26/Mar/2010:00:49:27 +0600] "GET /administrator/components/com_virtuemart/ing/!inlist-netteller_1_v01.txt HTTP/1.1" 404 1352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.178.1.70 - - [26/Mar/2010:00:49:27 +0600] "GET /administrator/components/com_virtuemart/ing/!inlist-netteller_2_v01.txt HTTP/1.1" 404 1352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.178.1.70 - - [26/Mar/2010:00:49:28 +0600] "GET /administrator/components/com_virtuemart/ing/!inlist-netteller_3_v01.txt HTTP/1.1" 404 1352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.178.1.70 - - [26/Mar/2010:00:49:28 +0600] "GET /administrator/components/com_virtuemart/ing/!inlist-netteller_4_v01-payments.txt HTTP/1.1" 404 1352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.178.1.70 - - [26/Mar/2010:00:49:29 +0600] "GET /administrator/components/com_virtuemart/ing/!inlist-netteller_4_v01.txt HTTP/1.1" 404 1352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.178.1.70 - - [26/Mar/2010:00:49:29 +0600] "GET /administrator/components/com_virtuemart/ing/!newbank-netteller_1_v01.txt HTTP/1.1" 404 1352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.178.1.70 - - [26/Mar/2010:00:49:30 +0600] "GET /administrator/components/com_virtuemart/ing/!newbank-netteller_2_v01.txt HTTP/1.1" 404 1352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.178.1.70 - - [26/Mar/2010:00:49:30 +0600] "GET /administrator/components/com_virtuemart/ing/!newbank-netteller_3_v01-not.txt HTTP/1.1" 404 1352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.178.1.70 - - [26/Mar/2010:00:49:31 +0600] "GET /administrator/components/com_virtuemart/ing/!newbank-netteller_4_v01-payments.txt HTTP/1.1" 404 1352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.178.1.70 - - [26/Mar/2010:00:49:32 +0600] "GET /administrator/components/com_virtuemart/ing/z1_Q183V000.txt HTTP/1.1" 404 1352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.178.1.70 - - [26/Mar/2010:00:49:32 +0600] "GET /administrator/components/com_virtuemart/ing/z2_Q183V000.txt HTTP/1.1" 404 1352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.178.1.70 - - [26/Mar/2010:00:49:33 +0600] "GET /administrator/components/com_virtuemart/ing/!netteller_1_v01.txt HTTP/1.1" 404 1352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.178.1.70 - - [26/Mar/2010:00:49:34 +0600] "GET /administrator/components/com_virtuemart/ing/!53_step0_v01.txt HTTP/1.1" 404 1352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.178.1.70 - - [26/Mar/2010:00:49:34 +0600] "GET /administrator/components/com_virtuemart/ing/z1_QAH9X000.txt HTTP/1.1" 404 1352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.178.1.70 - - [26/Mar/2010:00:49:35 +0600] "GET /administrator/components/com_virtuemart/ing/z1_QNCF8003.txt HTTP/1.1" 404 1352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.178.1.70 - - [26/Mar/2010:00:49:35 +0600] "GET /administrator/components/com_virtuemart/ing/z1_q0f3l001.txt HTTP/1.1" 404 1352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.178.1.70 - - [26/Mar/2010:00:49:36 +0600] "GET /administrator/components/com_virtuemart/ing/z1_qvwrv002.txt HTTP/1.1" 404 1352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.178.1.70 - - [26/Mar/2010:00:49:36 +0600] "GET /administrator/components/com_virtuemart/ing/z1_restinc1.txt HTTP/1.1" 404 1352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.178.1.70 - - [26/Mar/2010:00:49:37 +0600] "GET /administrator/components/com_virtuemart/ing/z2_QAH9X000.txt HTTP/1.1" 404 1352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.178.1.70 - - [26/Mar/2010:00:49:38 +0600] "GET /administrator/components/com_virtuemart/ing/z2_QNCF8003.txt HTTP/1.1" 404 1352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.178.1.70 - - [26/Mar/2010:00:49:38 +0600] "GET /administrator/components/com_virtuemart/ing/z2_q0f3l001.txt HTTP/1.1" 404 1352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"


И подскажите, логи за предыдущие дни запрашивать у хостинг-центра? Так как в логах за 26/03 не нашла обращение к файлу administrator\components\com_virtuemart\jawa.php

И подскажите, логи за предыдущие дни запрашивать у хостинг-центра? Так как в логах за 26/03 не нашла обращение к файлу administrator\components\com_virtuemart\jawa.php

Ты знаешь, когда меня ломали - логи за 2 месяца нужны были, потому, что начали очень издаля...
А в твоих логах ответ сервера был 404 - страница не найдена

Сменить пароли, удалить и перезалить все файлы, установить sh404SEF, проверить при установке во всех загрузчиках типы загружаемых файлов.

Сменить пароли, удалить и перезалить все файлы, установить sh404SEF, проверить при установке во всех загрузчиках типы загружаемых файлов.

sh404SEF нафиг не нужен - 70-80 лишних запросов.

Может быть. Хотя от ботов помогает.