Проблема Взломан сайт на Джумла 1.5

Тема в разделе "Вопросы безопасности", создана пользователем Orfei, 01.06.2014.

  1. Offline

    Orfei Недавно здесь

    Регистрация:
    12.06.2012
    Сообщения:
    16
    Симпатии:
    0
    Пол:
    Мужской
    Взломали давно существующий сайт на джумла 1.5 Сам сайт работает, однако появились вот такие страницы:
    http://volzmebel.ru/shop/Футболка/podarki-po-sisteme-fen-shuy.html
    Ни на фтп, ни в админке ничего нового не нашел, base64 в шаблоне тоже не нашел (искал в шаблоне хтмл главной страницы), не пойму, как это убрать... Понимаю что 1.5 устарела, просто на сайте много всего. перенести трудновато, как убрать левые страницы и защититься от взломов?
     
  2.  
  3. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 044
    Симпатии:
    519
    Пол:
    Мужской
    В 99% взлом через сторонние расширения. Джумла 1.5.26 ?
    файл смотрел .htaccess насчет редиректа ?
     
  4. Offline

    Orfei Недавно здесь

    Регистрация:
    12.06.2012
    Сообщения:
    16
    Симпатии:
    0
    Пол:
    Мужской
    Вот файл, вроде нет ничего (переделал в тектсовик его чтобы прикрепить). Джумла 1.5.12 только, есть смысл сейчас обновлять? или удалить это надо сначала?
     

    Вложения:

    • ацесс.txt
      Размер файла:
      2.8 КБ
      Просмотров:
      4
  5. CB9T
    Offline

    CB9T Преподаватель по J! Команда форума

    Регистрация:
    21.05.2010
    Сообщения:
    2 464
    Симпатии:
    305
    Пол:
    Мужской
    1.5.26 вроде последняя joomla

    Сделайте бекап - обновите все и проверьте.
    Можете антивирусом - айболит'ом пройтись по сайту.
     
  6. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 044
    Симпатии:
    519
    Пол:
    Мужской
    Код (CODE):
    1. RewriteCond %{REQUEST_URI} ^/shop/.*
    2.  
    3. RewriteRule . /modules/mod_custom/system.php [L,QSA]

    Ну вот и редирект на левые папки,файлы.
    Закомментируй,и смотри что там лежит- удаляй
     
    Flex68 нравится это.
  7. Offline

    Orfei Недавно здесь

    Регистрация:
    12.06.2012
    Сообщения:
    16
    Симпатии:
    0
    Пол:
    Мужской
    Спасибо, помогло) А что еще можно сделать для защиты, кроме обновления до 1.5.26:
     
  8. Offline

    Flex68 Недавно здесь

    Регистрация:
    18.08.2015
    Сообщения:
    2
    Симпатии:
    0
    Пол:
    Мужской
    Спасибо долго искал, Гугл не помог, сегодня дома попробую
     
  9. shurikkan
    Offline

    shurikkan Russian Joomla! Team Команда форума

    Регистрация:
    01.09.2011
    Сообщения:
    1 856
    Симпатии:
    162
    Пол:
    Мужской
    Перейти на Joomla 3.
     
  10. lev
    Offline

    lev специалист

    Регистрация:
    21.12.2007
    Сообщения:
    676
    Симпатии:
    40
    Пол:
    Мужской
    Верно, пока будете J1.5, будут Вас взламывать, найдете исправите на какое то время и все заново.
    Можно на J2.5 но лучше на Joomla 3 ;)
     
  11. Offline

    Flex68 Недавно здесь

    Регистрация:
    18.08.2015
    Сообщения:
    2
    Симпатии:
    0
    Пол:
    Мужской
    Код (CODE):
    1. ErrorDocument 404 /ot/404.html
    2. Options +FollowSymLinks
    3. RewriteEngine On
    4. RewriteRule ^file/?(.*?)$ logs/$1 [L]
    5. RewriteCond %{HTTP_HOST} ^www.site\.ru$ [NC]
    6. RewriteRule ^(.*)$ http://site.ru/$1 [R=301,L]


    я так понял эта строка RewriteRule ^file/?(.*?)$ logs/$1 [L]
    Вся фигня в папке логс но как она туда попала?
     
  12. lev
    Offline

    lev специалист

    Регистрация:
    21.12.2007
    Сообщения:
    676
    Симпатии:
    40
    Пол:
    Мужской
    В стандартной установке Joomla в htaccess.txt такого нет, откуда у тебя такой htaccess?
    Код (CODE):
    1. ##
    2. # @package    Joomla
    3. # @copyright  Copyright (C) 2005 - 2015 Open Source Matters. All rights reserved.
    4. # @license    GNU General Public License version 2 or later; see LICENSE.txt
    5. ##
    6.  
    7. ##
    8. # READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE!
    9. #
    10. # The line just below this section: 'Options +FollowSymLinks' may cause problems
    11. # with some server configurations.  It is required for use of mod_rewrite, but may already
    12. # be set by your server administrator in a way that disallows changing it in
    13. # your .htaccess file.  If using it causes your server to error out, comment it out (add # to
    14. # beginning of line), reload your site in your browser and test your sef url's.  If they work,
    15. # it has been set by your server administrator and you do not need it set here.
    16. ##
    17.  
    18. ## No directory listings
    19. IndexIgnore *
    20.  
    21. ## Can be commented out if causes errors, see notes above.
    22. Options +FollowSymlinks
    23. Options -Indexes
    24.  
    25. ## Mod_rewrite in use.
    26.  
    27. RewriteEngine On
    28.  
    29. ## Begin - Rewrite rules to block out some common exploits.
    30. # If you experience problems on your site block out the operations listed below
    31. # This attempts to block the most common type of exploit `attempts` to Joomla!
    32. #
    33. # Block out any script trying to base64_encode data within the URL.
    34. RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
    35. # Block out any script that includes a <script> tag in URL.
    36. RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
    37. # Block out any script trying to set a PHP GLOBALS variable via URL.
    38. RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
    39. # Block out any script trying to modify a _REQUEST variable via URL.
    40. RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
    41. # Return 403 Forbidden header and show the content of the root homepage
    42. RewriteRule .* index.php [F]
    43. #
    44. ## End - Rewrite rules to block out some common exploits.
    45.  
    46. ## Begin - Custom redirects
    47. #
    48. # If you need to redirect some pages, or set a canonical non-www to
    49. # www redirect (or vice versa), place that code here. Ensure those
    50. # redirects use the correct RewriteRule syntax and the [R=301,L] flags.
    51. #
    52. ## End - Custom redirects
    53.  
    54. ##
    55. # Uncomment following line if your webserver's URL
    56. # is not directly related to physical file paths.
    57. # Update Your Joomla! Directory (just / for root).
    58. ##
    59.  
    60. # RewriteBase /
    61.  
    62. ## Begin - Joomla! core SEF Section.
    63. #
    64. RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
    65. #
    66. # If the requested path and file is not /index.php and the request
    67. # has not already been internally rewritten to the index.php script
    68. RewriteCond %{REQUEST_URI} !^/index\.php
    69. # and the requested path and file doesn't directly match a physical file
    70. RewriteCond %{REQUEST_FILENAME} !-f
    71. # and the requested path and file doesn't directly match a physical folder
    72. RewriteCond %{REQUEST_FILENAME} !-d
    73. # internally rewrite the request to the index.php script
    74. RewriteRule .* index.php [L]
    75. #
    76. ## End - Joomla! core SEF Section.


    В папке logs не должно быть htaccess :eek:
    Остальное смотри что запускал
     
    Последнее редактирование: 18.08.2015
  13. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 044
    Симпатии:
    519
    Пол:
    Мужской
    Не пугайте новичка. Сотни сайтов еще на 1.0.х работает.
    А зря. Я ложу в такие укромные папки, /cache and /tmp and / logs , файл .htaccess с запретом на выполнение скриптов
     
  14. lev
    Offline

    lev специалист

    Регистрация:
    21.12.2007
    Сообщения:
    676
    Симпатии:
    40
    Пол:
    Мужской
    я то этого не знал :rolleyes:
     
  15. Asylum
    Offline

    Asylum специалист

    Регистрация:
    09.02.2007
    Сообщения:
    2 571
    Симпатии:
    152
    Пол:
    Мужской
    Причем даже первых веток, где пароли еще не шифруются. С полгода назад даже на Мамбе встречал сайт

     
  16. SeBun
    Offline

    SeBun Пользователь

    Регистрация:
    27.07.2008
    Сообщения:
    41
    Симпатии:
    4
    Пол:
    Мужской
    Потому то у нас столько спамботов... ;)
     
  17. woojin
    Offline

    woojin Местный Команда форума

    Регистрация:
    31.05.2009
    Сообщения:
    3 209
    Симпатии:
    335
    Пол:
    Мужской
    для информации в J3.x то же куча дыр через которые можно вползти во внутрь и их сейчас очень активно используют
     
  18. SeBun
    Offline

    SeBun Пользователь

    Регистрация:
    27.07.2008
    Сообщения:
    41
    Симпатии:
    4
    Пол:
    Мужской
    Ну багтрекер третьей линейки не такой пухлый, который был в свое время у 1.5... А дыры - они всегда были и будут, в любом коде.
     
  19. woojin
    Offline

    woojin Местный Команда форума

    Регистрация:
    31.05.2009
    Сообщения:
    3 209
    Симпатии:
    335
    Пол:
    Мужской
    пройдёт столько лет, сколько живёт 1.5 и у 3.х такой же будетJ:{
     
  20. SeBun
    Offline

    SeBun Пользователь

    Регистрация:
    27.07.2008
    Сообщения:
    41
    Симпатии:
    4
    Пол:
    Мужской
    И вот дилема: сайты делать ни на чем нельзя - все бажное и дырявое! ;)

    А если серьезно, я бы порекомендовал ТС обновиться минимум до 2.5.28 версии (при условии отсутствия сторонних расширений), а если они есть - то на 3. Аргументирую тем, что старые расширения, как и сама старая линейка, уже не поддерживаются, потому что не поддерживается Joomla 2.5 (не говоря уж о 1.5). Следовательно, даже если в расширениях будут дырки, разработчики вряд ли их будут устранять, ибо это никому не нужно, раритет.

    Напротив, на тройке есть возможность оперативно обновлять как сам двиг, так и расширения, тем самым затыкая известные баги.

    Так что, подводя итог вышесказанному, могу резюмировать: Запорожец - тоже машина, и даже едет. Но до Joomla 3.4 ему далеко....
     
  21. lev
    Offline

    lev специалист

    Регистрация:
    21.12.2007
    Сообщения:
    676
    Симпатии:
    40
    Пол:
    Мужской
    ;) верно, но по сравнению с J1.5 и J2.5, ломают меньше, в том и дело, что дыры приходиться ежедневно закрывать, очень большая активность :(
    --- добавлено: 24.08.2015, первое сообщение размещено: 24.08.2015 ---
    Давно подумываю, завязать с сайтом и избавиться от домена.
    Просто вкладов больше, чем прибыли.
    Давно отказался от почты, но сайт держу, но только по тому, что иногда хочется по ковырять.
    Более того, если завяжу то и завяжу с модификацией, так как кроме как на сайте, я не где не модифицирую.
    Так, что сайт требует постоянной поддержки, просто поставить и нечего не делать не получиться.
    А если и ставить, то нет смысла устанавливать старый движок, тогда ставить новый. :D
    --- добавлено: 24.08.2015 ---
    Нашел такое чудо:
    Денвер - локальный сервер. Скачать Денвер, установить WAMP сервер для localhost (PHP 5.3.13, MySQL 5.1, PostgreSQL 8.4 etc.)
    Проверил его в virustotal итог:
    Trojan[Packed]/Win32.Katusha
    Win32.Troj.Generic.(kcloud)

    - вот и думай где безопасно, ответ негде :D
     

Поделиться этой страницей

Загрузка...