Взломали сайт Hackeado por HighTech Brazil HackTeam

12
lubnin
На сайте с 02.11.2011
Offline
10
#11

Плагин фаервол поставьте или плагин блокирующий айпи при многократной попытке логина.... на ВП точно полно... поройте плагины по защите..... Обычно на формы входа совершаются атаки чаще всего.

И да... СМЕНИТЕ ВСЕ ПАРОЛИ НА ХОСТЕ!!!! ВСЕ! Было подобное с ВП. Ломились через хостинг при сложных паролях пробивали фтп и сносили всё.

Блог Николая Лубнина (http://lubnin.net/)
webrock
На сайте с 05.04.2010
Offline
261
#12

Вы джумлаисты хоть раз своим разработчикам что-нить дали?

хотя бы пятак на хлеб? все любят халявку ...

идём сюда https://my.fsf.org/donate/

и в поле In the name of вписываем Joomla

Полный аудит сайтов. (/ru/forum/765361)
Z
На сайте с 18.01.2008
Offline
92
#13

всем спасибо, сайт восстановил, повторного взлома пока нет

pastushok777
На сайте с 11.04.2010
Offline
63
#14
nicy:
спасибо большое за советы.
Новую версию Джумлы поставить не могу, так как поменяются все ссылки, и сайт вероятней всего выпадет с поиска.

Не поменяются ссылки , куча инфы как правильно перенести сайты на новые версии , у меня сайты тоже взломали именно на 1.5

Hackeado por HighTech Brazil HackTeam

No\One - CrazyDuck - Otrasher

а на 2.5 целы ...

Leksusisus
На сайте с 12.02.2012
Offline
62
#15

школьники атакуют

L
На сайте с 20.03.2012
Offline
38
#16

Аналогичная проблема.

С периодичностью в несколько дней (4, 6, 9, 17 января) ломятся через компонент JCE.

JS-скрипты вроде не трогают (действительно школьники тренируются), несколько файлов распихивают по папкам images, tmp, cache. IP, кстати, разных стран, Чили, Португалия, Польша (видно сгенерированные). Еще index.html - подменяют. Попытки redirect прописать на http://spacelande.net/news.php?readmore=27

Деинсталлировала JCE, но он нехороший, все одно свои папки оставил, даже через ftp их не удалить.

Прошу хостера...

В скриптах, кто-нибуть shellы и чужие iframe обнаружил или что вредное?

---------- Добавлено 17.01.2013 в 11:27 ----------

pastushok777:
Не поменяются ссылки , куча инфы как правильно перенести сайты на новые версии , у меня сайты тоже взломали именно на 1.5

Hackeado por HighTech Brazil HackTeam
No\One - CrazyDuck - Otrasher


а на 2.5 целы ...

Вопрос: а шаблоны 1.5 после обновления joomla до 2.5 не глючат?

S
На сайте с 10.01.2011
Offline
61
#17

Опять взломали сайт. Прошерстил FTP

в корень и папки

tmp

images

cache

залили файлы

ck.htm

index.html с ссобщением о взломе

в корне заменили index.php

А также залили вот эти файлы

public_html/images/xxu.php

public_html/images/stories/muakero.php

public_html/images/stories/mua.gif

через которые судя по всему и получили доступ.

Есть подозрение, что файлы залили через Community Builder, используя возможность загрузить аватарку либо через JCE. Почистил все левые файлы, вернул index.php, убрал на сайте регистрацию вообще, обновил JCE, сменил пароли на ФТП. Посмотрим на результаты.

pastushok777
На сайте с 11.04.2010
Offline
63
#18
Lucentezza:
Аналогичная проблема.
С периодичностью в несколько дней (4, 6, 9, 17 января) ломятся через компонент JCE.
JS-скрипты вроде не трогают (действительно школьники тренируются), несколько файлов распихивают по папкам images, tmp, cache. IP, кстати, разных стран, Чили, Португалия, Польша (видно сгенерированные). Еще index.html - подменяют. Попытки redirect прописать на http://spacelande.net/news.php?readmore=27
Деинсталлировала JCE, но он нехороший, все одно свои папки оставил, даже через ftp их не удалить.
Прошу хостера...
В скриптах, кто-нибуть shellы и чужие iframe обнаружил или что вредное?

---------- Добавлено 17.01.2013 в 11:27 ----------



Вопрос: а шаблоны 1.5 после обновления joomla до 2.5 не глючат?

Шаблон надо переделывать для 2.5 руками ... компонентом обновления только движок обновится а шаблон надо уже самому переделывать ... или новый воообще сделать ...

В общем скорее всего взлом идет через компонент JCE , так что или удаляйте его или обновляйте и должно все Ок быть , при этом не забудьте почистить все от левых php файлов ... так же можете в основном файле .htacces ( который в корне сайта) добавить следующее :

<Filesmatch ".(php)$">

order deny,allow

deny from all

</Filesmatch>

<Filesmatch "^index.php">

order allow,deny

allow from all

</Filesmatch>

<Filesmatch "^index2.php">

order deny,allow

allow from all

</Filesmatch>

будет дополнительная защита от шеллов, естественно данный код не всем подойдет, если сложный сайт .. и на главной куча модулей и т.п. то может страница стать кривая... в общем

проверяйте после вставки кода все ..

далее можно отдельно сделать в каждую папку поместить отдельный .htacces с одной строкой :

<Files ~ ".(php)$"> Deny from all </Files>

особенно этот фаил рекомендую для папок типа images stories и подпапок в них .. короче с большими правами чмод ...

а в папку administrator отдельный .htacces с таким кодом :

<Filesmatch ".(php)$">

order deny,allow

deny from all

</Filesmatch>

<Files index.php>

order deny,allow

deny from all

allow from xxx.xxx.xxx.xxx

allow from xxx.xxx.xxx.xxx

allow from xxx.xxx.xxx.xxx

</Files>

<Files index2.php>

order deny,allow

deny from all

allow from xxx.xxx.xxx.xxx

allow from xxx.xxx.xxx.xxx

allow from xxx.xxx.xxx.xxx

</Files>

<Files index3.php>

order deny,allow

deny from all

allow from xxx.xxx.xxx.xxx

allow from xxx.xxx.xxx.xxx

allow from xxx.xxx.xxx.xxx

</Files>

где xxx.xxx.xxx.xxx - ваш ip адрес ... (если конечно он у вас статический а не динамический, который меняется постоянно )

в общем делам вашу джумлу непреступную ...

samimages
На сайте с 31.05.2009
Offline
396
#19

реферов нет?

типа http://ваш сайт/возможно путь/?http://чужой сайт/путь/путь/list.txt

бразильцы они нормальные посоны)))

Опыт как иммунитет — приобретается в муках! Приложения Android [не дорого] - ЛС Аудит семантики от 15К [долго] - ЛС
L
На сайте с 20.03.2012
Offline
38
#20

Динамический IP для .HTACCESS тоже м. прописать.

Узнаешь у провайдера IP в каком диапазоне тебе присваиваются и прописываешь (указать м. диапазон, несколько диапазонов или маску ).

У меня вот такой синтаксис работает:

allow from ххх.ххх.ххх.ххх - ххх.ххх.ххх.ххх

allow from ххх.ххх.ххх.ххх - ххх.ххх.ххх.ххх

allow from ххх.ххх.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий