Новости Joomla

Вышло обновление JL Like 5.2

Вышло обновление JL Like 5.2

JL Like — современный плагин для Joomla, который добавляет стильные кнопки "Поделиться" и счетчики лайков популярных соцсетей.

Совет по Joomla: использовать выключенное состояние для кнопок в списках элементов админки

Онлайн-трансляции Joomla-разработки Игоря Бердичевского

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 21 Ответов
  • 8027 Просмотров
*

romul_

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Взломали сайт
« : 16.11.2009, 16:16:16 »
Прихожу домой и вижу, что пароль поменяли на админку и на главной странице виднеется какая то дрянь. Ворнул - пароль изменил - на сл. день тоже самое.

Хостинг jino.ru

поможет кто нибудь разобраться?
Записан
*

voland

  • Легенда
  • 11026
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Взломали сайт
« Ответ #1 : 16.11.2009, 16:37:45 »
Версия? Установленные компоненты? Логи наконец!
Записан
*

romul_

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Re: Взломали сайт
« Ответ #2 : 17.11.2009, 10:04:22 »
1.5.15 версия обновлял с 1.5.3
ставил ChronoForms

Текст того что вставляют

<html>
<head>
<title>(( own3d ))</title>
<meta name="description" content="ALBANIAN Protectors!">
<meta name="keywords" content="AHS,Albanian Hackers Special, hacked, crackerd, albanian hackers, kosova hackers, NET , exploits code, exploit code, exploits, 0-day, 0day, 0days, exploit, zero day, poc, exploit, local exploits, remote exploits, root exploits, windows, linux, new exploits, latest exploits, shellcode, Zero-day, zeroday, security articles, ezines, zines, security papers">
</head>
<body link="#FF0000" vlink="#FFFFFF" alink="#000000" text="#FFFFFF" bgcolor="#000000">
<p align="center"" border="0">
<p align="center">

<div align="center"><font size="4" face=>own3d : Albanian Muslim Hackers</font>&trade;<br>
    <font color="#ffFFFF" size="2" face="Trebuchet MS"><b>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^</b></font></div>
<p align="center"><font color="#FF0000" face="Trebuchet MS">ProAndi - mULy - Federali - LinDoX - errorm3n</font>

<div align="center">
<p align="center"><font color="#00ff00" face="Trebuchet MS">Agz-Forum.Com - Islam-Way.Org - Kdg-Crew.Ws</font>
<h3><center>GreetzZ // Phantom , nOa , chc00der , BlackH</h3></center>

<h1><center>*** BrezarT </h1></center>

<div align="center">
  <p><font size="2" face="Trebuchet MS"> </font></p>
  <p><font size="2" face="Trebuchet MS" </font></p>
</div>
<p align="center"><font color="#ffFFFF" size="2" face="Trebuchet MS"> </font> <br>

    <font color="#ffFFFF" size="2" face="Trebuchet MS"> </font> <br>

    <font color="#ffFFFF" size="2" face="Trebuchet MS"> </font>
<center><img style="visibility:hidden;width:0px;height:0px;" border=0 width=0 height=0 src="" /><center><p style="visibility:visible;"><object type="application/x-shockwave-flash" data=" " height="35" width="219" style="width:219px;height:35px"><param name="movie" value=" " /><param name="quality" value="high" /><param name="scale" value="noscale" /><param name="salign" value="TL" /><param name="wmode" value="transparent"/><param name="flashvars" value="myid=31741198&path=2009/10/10&mycolor=000000&mycolor2=030303&mycolor3=1A1623&autoplay=true&rand=0&f=4&vol=100&pat=2&grad=false&ow=219&oh=35"/></object><br><a href="http://www.mixpod.com/playlist/31741198" target="_blank"><img src="" title="" style="border-style:none;" alt=""></a><a href="http://www.mixpod.com" target="_blank"><img src="" title="" style="border-style:none;" alt=""></a><br /><a href="http://mixpod.com"></a> <a href="http://mixpod.com"></a>  <a href=""></a></p></center>

<p align="center">

</body>
</html>

В файле логи за последний день

Пароли вчера менял с другого компьютера. (чтобы исключить возможные вирусы и трояны со своего)
Также на аккаунте есть ещё мои сайты, их также заражают

[вложение удалено Администратором]
« Последнее редактирование: 17.11.2009, 10:11:02 от romul_ »
Записан
*

romul_

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Re: Взломали сайт
« Ответ #3 : 17.11.2009, 10:05:00 »
Цитата: romul_ от 17.11.2009, 10:04:22
1.5.15 версия обновлял с версии 1.5.3
ставил ChronoForms

Текст того что вставляют

<html>
<head>
<title>(( own3d ))</title>
<meta name="description" content="ALBANIAN Protectors!">
<meta name="keywords" content="AHS,Albanian Hackers Special, hacked, crackerd, albanian hackers, kosova hackers, NET , exploits code, exploit code, exploits, 0-day, 0day, 0days, exploit, zero day, poc, exploit, local exploits, remote exploits, root exploits, windows, linux, new exploits, latest exploits, shellcode, Zero-day, zeroday, security articles, ezines, zines, security papers">
</head>
<body link="#FF0000" vlink="#FFFFFF" alink="#000000" text="#FFFFFF" bgcolor="#000000">
<p align="center"http://site.mynet.com/djonur55/mynet_resimlerim/hacked.jpg" border="0">
<p align="center">

<div align="center"><font size="4" face=>own3d : Albanian Muslim Hackers</font>&trade;<br>
    <font color="#ffFFFF" size="2" face="Trebuchet MS"><b>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^</b></font></div>
<p align="center"><font color="#FF0000" face="Trebuchet MS">ProAndi - mULy - Federali - LinDoX - errorm3n</font>

<div align="center">
<p align="center"><font color="#00ff00" face="Trebuchet MS">Agz-Forum.Com - Islam-Way.Org - Kdg-Crew.Ws</font>
<h3><center>GreetzZ // Phantom , nOa , chc00der , BlackH</h3></center>

<h1><center>*** BrezarT </h1></center>

<div align="center">
  <p><font size="2" face="Trebuchet MS"> </font></p>
  <p><font size="2" face="Trebuchet MS" </font></p>
</div>
<p align="center"><font color="#ffFFFF" size="2" face="Trebuchet MS"> </font> <br>

    <font color="#ffFFFF" size="2" face="Trebuchet MS"> </font> <br>

    <font color="#ffFFFF" size="2" face="Trebuchet MS"> </font>
<center><img style="visibility:hidden;width:0px;height:0px;" border=0 width=0 height=0 src="" /><center><p style="visibility:visible;"><object type="application/x-shockwave-flash" data=" " height="35" width="219" style="width:219px;height:35px"><param name="movie" value=" " /><param name="quality" value="high" /><param name="scale" value="noscale" /><param name="salign" value="TL" /><param name="wmode" value="transparent"/><param name="flashvars" value="myid=31741198&path=2009/10/10&mycolor=000000&mycolor2=030303&mycolor3=1A1623&autoplay=true&rand=0&f=4&vol=100&pat=2&grad=false&ow=219&oh=35"/></object><br><a href="http://www.mixpod.com/playlist/31741198" target="_blank"><img src="" title="" style="border-style:none;" alt=""></a><a href="http://www.mixpod.com" target="_blank"><img src="" title="" style="border-style:none;" alt=""></a><br /><a href="http://mixpod.com"></a> <a href="http://mixpod.com"></a>  <a href=""></a></p></center>

<p align="center">

</body>
</html>

В файле логи за последний день
Записан
*

palexa

  • Завсегдатай
  • 1108
  • 88 / 0
Re: Взломали сайт
« Ответ #4 : 17.11.2009, 10:15:34 »
не уверен, но может стоить попробовать использовать эти рекомендации
Записан
*

voland

  • Легенда
  • 11026
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Взломали сайт
« Ответ #5 : 17.11.2009, 10:51:35 »
в логах строчка - запрос к /images/black.php - теперь ищите как его туда заливают
Записан
*

romul_

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Re: Взломали сайт
« Ответ #6 : 17.11.2009, 11:39:23 »
в файле этот файл black.php
А как его могли записать?

Хотя создали давно 12.11.09
« Последнее редактирование: 17.11.2009, 12:06:52 от romul_ »
Записан
*

voland

  • Легенда
  • 11026
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
Re: Взломали сайт
« Ответ #7 : 17.11.2009, 11:44:50 »
Цитата: romul_ от 17.11.2009, 11:39:23
в файле этот файл black.php
А как его могли записать?

Хотя создали давно 12.11.09
Вот и смотрите логи за 12.11 - как его могли записать?
Для начала надо удалить и выставить правильные права на папку images (если конечно туда не заливают пользователи).
Далее создать .htaccess в этой папке и запретить выполнение скриптов.
Это заплатки.
После этого анализировать логи, как файл был залит и искать дырку.
Записан
*

romul_

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Re: Взломали сайт
« Ответ #8 : 17.11.2009, 12:13:09 »
Пока ничего в логах не смыслю

файл black.php удалил. мало ли кто будет пользоваться в корыстных целях. всё таки видел ФТП вообще без паролей

а как прописать то что вы написали? Права 0755

[вложение удалено Администратором]
Записан
*

AzaLeo

  • Захожу иногда
  • 76
  • 2 / 0
Re: Взломали сайт
« Ответ #9 : 17.11.2009, 18:13:56 »
Цитата: romul_ от 17.11.2009, 12:13:09
Пока ничего в логах не смыслю

91.187.103.30 - - [12/Nov/2009:12:52:54 +0300] "GET /index.php?option=com_user&view=reset&layout=confirm HTTP/1.0" 200 9051

По моему вот здесь и сбрасывали пароль админа. Только такое проходит в 1.5.3 версии (эксплоит можно загуглить). Когда именно обновляли с этой версии до последней? Или некорректно обновили. Могу посоветовать, предварительно сделав бэкап всех данных, убить все на сервере (кроме файла конфигурации), т.к. могли наплодить еще кучу таких бэкдоров и залить последнюю версию движка. Ну и потом по новой установить нужные компоненты.
А вообще, много слышал, что на хостинг джино сильно ругаются по поводу безопасности.

Цитата: voland от 17.11.2009, 11:44:50
Для начала надо удалить и выставить правильные права на папку images (если конечно туда не заливают пользователи).

Мне кажется, права тут ни при чем. Через дырку и заливают. По идее, никто туда извне не должен ничего заливать. А если юзеры размещают туда картинки при помощи движка, то должна быть проверка на уровне кода, какой файл заливается.
Записан
*

romul_

  • Осваиваюсь на форуме
  • 26
  • 0 / 0
Re: Взломали сайт
« Ответ #10 : 18.11.2009, 10:09:54 »
Обновлял как раз либо 12 либо 13 ноября, возможно после взлома. Вчера удалил этот файлик и всё окей. пока ещё не покушались на сайтик....
Записан
*

eva_braun

  • Новичок
  • 7
  • 0 / 0
Re: Взломали сайт
« Ответ #11 : 10.12.2009, 12:51:10 »
У меня такой вопрос, может ли сразу несколько атак быть на сайт? Очень интересны ваши размышления ^-^
Ситуация такая, с начало напал вирус который просто внедрялся в файлы, я его удалила и некоторое время было все хорошо, потом напал фишинг, причем защита была хорошая, снова удалила притом скажу я вам на нашем хостинге это сделать было очень трудно, и опять сайт робил хорошо некоторое время, пару дней назад хостер (как он обычно делает) выключил сайт не сказав за что, потом выяснилось, что за спам!
После последней атаки у меня стали закрадываться сомнения, так как сайт создан для фирмы у которой очень много конкурентов и есть враги, возможно ли, что кто то просто пытается убить сайт, потому как атаки в основном идут не на сайт, а на магазин расположенный на нем! Или это просто стечение обстоятельств?
Сейчас я сайт обновила до последней версии и магазин тоже, поставила все защиты какие можно и даже которые вроде как и не нужны, и жду.....

Пы.Сы. На том же хостинге есть прикрепленный домен с сайтом, вот его вообще никак не трогают!
Записан
*

Gazon

  • Захожу иногда
  • 138
  • 7 / 0
  • Образец морали куртуазной
Re: Взломали сайт
« Ответ #12 : 10.12.2009, 15:54:29 »
Мораль такова: обновляйте версию Joomla в день выхода новой версии. При взломе пишите версию Joomla на момент взлома.
Записан
*

fresh3

  • Захожу иногда
  • 79
  • 1 / 0
Re: Взломали сайт
« Ответ #13 : 15.12.2009, 19:09:18 »
у меня тоже хостинг jino. Взломали, меняют права доступа к файлу шаблона и вставляют скрипт с папандером. Хорошо, не меняют пароли к админке. На самом хостинге каким-то фигом появился новый пользователь с  правом входа в админку. (это где устанавливаешь права доступа к папке администратор)
скрипт удалила и в логах появляется это: sh: sysctl: команда не найдена. что это значит?
« Последнее редактирование: 15.12.2009, 22:19:27 от fresh3 »
Записан
*

Gazon

  • Захожу иногда
  • 138
  • 7 / 0
  • Образец морали куртуазной
Re: Взломали сайт
« Ответ #14 : 15.12.2009, 23:47:32 »
fresh3, а версия Joomla какая?
Записан
*

fresh3

  • Захожу иногда
  • 79
  • 1 / 0
Re: Взломали сайт
« Ответ #15 : 16.12.2009, 10:11:35 »
версия 1.5.14
скорей всего это по фтп. Я так думаю, поймала трояна, который своровал пароли от фтп. Посадили вирус, самое интересное, я думала, что посторонние коды удалила, но они сделали, что с моего IP не видно попандеров, которые они поставили. А я думаю, что все хорошо!
Восстанавливаю резервную копию, сканирую комп на вирусы (уже нашел!), все фтп-аккаунты удалила, пароли поменяла.
Что еще предпринять?
« Последнее редактирование: 16.12.2009, 11:17:39 от fresh3 »
Записан
*

Yamamura

  • Захожу иногда
  • 99
  • 3 / 0
Re: Взломали сайт
« Ответ #16 : 22.01.2010, 20:36:56 »
Тоже тут отпишусь. Сегодня взломали сайт, подменили своим index.php со следующим содержанием:
Код
<html>
<head><title>hacked by arianom</title></head>

<body bgcolor=#000000>
<style>
#theDiv {
 POSITION : relative;  Z-INDEX : 8; VISIBILITY : visible; ALIGN : center;
 }
</style>
</HEAD>
<BODY BGCOLOR="#33FF00" TEXT="#66FF00" onload="doWave(0)">
<div ID="theDiv" align="center"></div>
<SCRIPT LANGUAGE="JavaScript">
function nextSize(i,incMethod,textLength)
{
if (incMethod == 1) { return (22*Math.abs(Math.sin(i/(textLength/3.14))) );
}
if (incMethod == 2) { return (255*Math.abs(Math.cos(i/(textLength/3.14))));
}
return(0)
}
function sizeCycle(text,method,dis)
{
var output = "";
for (i = 0; i < text.length; i++) {
size = parseInt(nextSize(i +dis,method,text.length));
output += "<font style='font-size: "+ size +"pt'>" +text.substring(i,i+1)+ "</font>";
}
if (document.all)
theDiv.innerHTML = output;
else if (document.getElementById){
rng = document.createRange();
el = document.getElementById('theDiv');
rng.setStartBefore(el);
htmlFrag = rng.createContextualFragment(output);
while (el.hasChildNodes()) el.removeChild(el.lastChild);
el.appendChild(htmlFrag);}
else if (document.layers){
document.theDiv.document.write("<font face='Arial'point-size=11>"+output+"</font>");
document.theDiv.document.close();}
}
function doWave(n) {
var theText = 'Arianom was ***ed your system';

sizeCycle(theText,1,n);
if (n > theText.length) {
n=0
}
setTimeout("doWave(" + (n+1) + ")", 50);
}

</script>
<P>

<center><img src="http://www.wsfinstructor.or.kr//bbs/img/kill-nine.jpg"></center>
<center><h1><script language="JavaScript1.2"> 

var message="Welcome All kill-9 Crew"
var neonbasecolor="gray"
var neontextcolor="#00ff00"
var neontextcolor2="#00ff00"
var flashspeed=100						// speed of flashing in milliseconds
var flashingletters=3						// number of letters flashing in neontextcolor
var flashingletters2=1						// number of letters flashing in neontextcolor2 (0 to disable)
var flashpause=0						// the pause between flash-cycles in milliseconds

///No need to edit below this line/////

var n=0
if (document.all||document.getElementById){
document.write('<font color="'+neonbasecolor+'">')
for (m=0;m<message.length;m++)
document.write('<span id="neonlight'+m+'">'+message.charAt(m)+'</span>')
document.write('</font>')
}
else
document.write(message)

function crossref(number){
var crossobj=document.all? eval("document.all.neonlight"+number) : document.getElementById("neonlight"+number)
return crossobj
}

function neon(){

//Change all letters to base color
if (n==0){
for (m=0;m<message.length;m++)
crossref(m).style.color=neonbasecolor
}

//cycle through and change individual letters to neon color
crossref(n).style.color=neontextcolor

if (n>flashingletters-1) crossref(n-flashingletters).style.color=neontextcolor2 
if (n>(flashingletters+flashingletters2)-1) crossref(n-flashingletters-flashingletters2).style.color=neonbasecolor


if (n<message.length-1)
n++
else{
n=0
clearInterval(flashing)
setTimeout("beginneon()",flashpause)
return
}
}

function beginneon(){
if (document.all||document.getElementById)
flashing=setInterval("neon()",flashspeed)
}
beginneon()


</script></h1>

<font color=#66FF00 face=courier size=4>Sorry Admin <br>Your System Was Exploited<br>Please Remove Your Error Site<br><br><br><br>Thanks to:<br>All kill-9 crew and IndonesianCoder<br>kaMtiEz, Tukulesto, Ronz<br>Pathloader, Abah_benu, Contrex, Tiwol<br><br>http://kill-nine.co.nr<br><br></font></center>
</body>
</html>

Что делает сей код?

Перезалил index.php на свой
Записан
*

Dee79

  • Захожу иногда
  • 89
  • 0 / 0
Re: Взломали сайт
« Ответ #17 : 26.01.2010, 11:50:43 »
Взломали один из сайтов, накидали порнухи изменили пароли, что самое обидное взломали почту на гугле. Как вернуть пароль администратора? Спасибо!
Записан
*

Robinson

  • Захожу иногда
  • 442
  • 72 / 1
Re: Взломали сайт
« Ответ #18 : 26.01.2010, 13:44:48 »
Цитата: Dee79 от 26.01.2010, 11:50:43
Взломали один из сайтов, накидали порнухи изменили пароли, что самое обидное взломали почту на гугле. Как вернуть пароль администратора? Спасибо!
FAQ http://joomlaforum.ru/index.php/topic,54062.0.html
Записан
*

yuri-design

  • Давно я тут
  • 652
  • 76 / 5
Re: Взломали сайт
« Ответ #19 : 26.01.2010, 21:07:44 »
« Последнее редактирование: 02.10.2011, 11:21:13 от yuri-design »
Записан
*

Pupsogen

  • Захожу иногда
  • 72
  • 1 / 0
  • Любитель пива)
Re: Взломали сайт
« Ответ #20 : 29.04.2010, 11:25:06 »
Цитата: voland от 17.11.2009, 11:44:50
Для начала надо удалить и выставить правильные права на папку images (если конечно туда не заливают пользователи).
Какие нужно выставить права?
Сейчас выставлено так:

Записан
*

GDV

  • Завсегдатай
  • 1898
  • 201 / 5
Re: Взломали сайт
« Ответ #21 : 29.04.2010, 12:05:38 »
На файл configuration.php выставите 444. С этими правами уже ничего не сделают.
Именно в этом файле прописан пароль и логин а так же название и пароль базы мускула
Записан
Убедительная просьба не писать в ЛС. Для решения Ваших проблем есть форум.
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

При открытии сайта с режима инкогнито перекидывает на вирусный сайт

Автор 62411

 Ответов: 6
Просмотров: 3153 		Последний ответ 31.03.2024, 16:14:32
от SeBun
Netflix! - Клиент поймал фишинг на старый сайт. Где порылись собаки?

Автор Alex_gs

 Ответов: 9
Просмотров: 2261 		Последний ответ 05.11.2021, 21:47:31
от wishlight
Взломали сайт. Как в некоторых случаях делаю я

Автор cntrl

 Ответов: 0
Просмотров: 1139 		Последний ответ 29.08.2020, 00:25:24
от cntrl
Безопасный вход на сайт Joomla и админка

Автор jm

 Ответов: 9
Просмотров: 2288 		Последний ответ 19.07.2020, 23:57:17
от wishlight
[Руководство] Как защитить сайт на версии 1.5 (не поддерживается разработчиками)

Автор flyingspook

 Ответов: 13
Просмотров: 7863 		Последний ответ 08.01.2020, 12:52:55
от winstrool