У меня уже второй раз за месяц взломали сайт, помогите пожалуйста разобраться где дыра и как ее закрыть. Были заменены шаблоны сайта и еще какие-то файлы (так и не понял какие), потому что вместо сайта вываливался скрипт для управления файлами на сервере. Так же был изменен пароль администратора в БД (это больше всего и пугает), но это только то, что я заметил, может быть что-то еще есть. После первого взлома я сделал, как рекомендует cms - выключил register global, safe mode и зпретил запись на configuration.php и все равно опять взломали Версия Joomla 1.0.11.1 RE-stable Установлено: SOBI 2 RC2.5.8a RE Alphacontent 2.5.8 AdsManager 2.1.9 RE Symplyfaq 2.11 rus Akokomment v.2 Fireboard 1.9 Letterman 1.2.3 RE EX копия взломанного сайта: http://webfile.ru/1876936 (так же прилагается дамп базы с измененным паролем администратора) Логи: http://webfile.ru/1876861 (правда логи от первого взлома, но ломал один и тот же урод, ломал одинаково, так что думаю подойдут. От второго взлома логов пока нет) Помогите пожалуйста разобраться как защитить сайт. Заранее спасибо! Прошу прощения если создал тему не в той ветке форума. Добавлено через 16 минут Нашел еще: вместо russian.php в папке language лежит тот самый скрипт для управления файлами на сервере. Но как он смог заменить russian.php на свой файл?.. Выкладываю этот файл: http://webfile.ru/1877025 Добавлено через 4 часа 50 минут Все, разобрались, хакнули через компонент symplefaq обычной sql инъекцией: через гугл нашли, что на сайте установлен этот компонент: 78.186.70.73 - - [03/Apr/2008:16:44:24 +0400] "GET /index.php?option=com_simplefaq&Itemid=12 HTTP/1.1" 200 20536 "http://www.google.com.tr/search?q=index.php%3Foption%3Dcom_simplefaq+inurl%3Ait&hl=tr" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" и сама инъекция: 78.186.70.73 - - [03/Apr/2008:16:44:40 +0400] "GET /index.php?option=com_simplefaq%20&task=answer&Itemid=9999&catid%20=9999&aid=-1/**/union/**/select/**/0,username,password,0,0,0,%200,0,%200,0,0,0,0,0,0,0,0,0,0,0/**/from/**/jos_users/* HTTP/1.1" 200 17308 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" узнали пароль Лечиться следующим образом: http://joomlaportal.ru/content/view/1386/70/ А вот кратко о дыре: http://www.xakep.ru/post/39826/default.asp
Ответ: уже 2 раз взломали сайт, помогите я вот не очень понимаю зачем первым сообщением делать крик аля *помогите, взломали, что делать?*, не воспользовавшись поиском и не почитав документацию.
Ответ: уже 2 раз взломали сайт, помогите Действительно, лучше сказать: Народ, у меня тут посещаемый портал, его ломанули 2й раз за месяц, да и хрен с ним, давайте лучше пива выпьем Автору респект за подробное описание инжы и лечения
Ответ: уже 2 раз взломали сайт, помогите Есть компонент дэфендер который можно настроить на пресечение сиквел и пхп инжекций ;-)
Ответ: уже 2 раз взломали сайт, помогите А че удивительного, компонент наверно тоже такой же древний, как и сайт. Уже давно версия джумлы 1.0.15, а сайт двух годичной давности, и компонент наверно того же времени, по крайней мере по гуглю видал SimpleFaq 2.40 версию. Ну и там же говорится про SQL-инекции для этой версии и ниже.
Ответ: уже 2 раз взломали сайт, помогите вывод: с регулярностью проверять сторонние компоненты на уязвимости посредством поисковика
Ответ: уже 2 раз взломали сайт, помогите В 1.0.15 большого толку от узнавания хэша пароля нет. Я могу щас тысячу и один сайт найти и вытащить этот passwd. Но пароля я не узнаю. Он должен быть ОЧЕНЬ простым, что бы перебираться за часок.
Ответ: уже 2 раз взломали сайт, помогите Так, случайно нашёл, мож кому интересно будет - ссылка сдохла Вроде там даже где то видео лежит, как легко сломать джумлу, но где не знаю, я туда попал по одному топику на другом форуме, разговор шёл про видео, а попал чисто на форум. Думаю сей сайт, и ему подобные, будет полезны с той стороны, что там хацкеры находят уязвимости, которые можно исправить, тем кто это умеет.
Народ есть такая проблема, один пользователь каким то образом меняет настройки своего аккаунта, к примеру может скрываться на форуме на форуме эта отключена изначально, или менять редактор для себя в joomla 13 не могу найти где и как подмагите кто сталкивался стоит j13 stable форум FB 2.0 нашел вот такую уезвимость com_conten в инете но не понял что она именно делает index.php?option=com_content&task=blogcategory&id=60&Itemid=99999%20union%20select%201,concat_ws(0x3a,username,password),3,4,5%20from%20jos_users/*
Здравствуйте! Сохраняете ли пароли от админки в автозаполнении браузера? Проверяли наличие вирусов? Рекомендую написать запрос тут для проверки сайта. Также возможен взлом не только через уязвимости, но и через троян где то на компьютере. Какой установлен антивирус? Лицензия? Скачайте Cure IT и проведите полную проверку компьютера. Если Cure IT найдет что либо рекомендуется прочитать эти правила и написать запрос.
Я даже пытался писать на эту тему, но так и не дописал. Все равно никто не читает, считая свой случай единственным и уникальным создает новый топик на форуме. Недавно случайно нашел способ кражи паролей от фтп. Как известно между вами и вашим сайтом бывает не один десяток провайдеров. Спутники как канал связи широко применяются. Пакеты легко перехватываются, кому интересно можно погуглить на тему "спутниковая рыбалка" Пакетов будет очень много и для этого существует специальный софт, например выбрать только фильмы. Ради интереса вбил фильтр фтп команд, часа через три упали первые пароли. Кто то может этим активно пользоваться
Обновить FB до Kunena ( www.kunena.com), а движок до последней стабильной версии. У Вас Joomla 1.0.13? Так и пишите. А то Ваши сокращения непонятны.
