Вообщем имею сайт на Джумле. Перевел его на эту CMS месяц назад. Шаблоны естественно бесплатные.
Шаблоны скачал с джумла-мастер.орг и естественно пришлось удалять их рекламные вставки.
С пару дней назад сайт был заблокирован хостером по причине ДДОС атаки на него. После его разблокировали т.к. активности ДДОС атак не наблюдалось.
Сегодня его опять заблокировали (и еще один сайт на таком же шаблоне - где тестил этот шаблон перед пенеросом на основной сайт).
Вот что написал хостингДомены ххх.ru и ххх1.ru заблокированы так как они заражены вредоносными скриптами, к сайтам создаются специфические запросы, которые блокируют работу сервера:
5 S a1089_1 16947 24679 0 80 0 - 2805054 poll_s 21:33 ? 00:00:02 httpd.itk: handling www.ххх.ru "POST /images/plugin.php HTTP/1.0" 200
5 S a1089_1 16947 24679 0 80 0 - 2805054 poll_s 21:33 ? 00:00:02 httpd.itk: handling www.ххх.ru "POST /images/plugin.php HTTP/1.0" 200
5 S a1089_1 16947 24679 0 80 0 - 2805054 poll_s 21:33 ? 00:00:02 httpd.itk: handling www.ххх.ru "POST /images/plugin.php HTTP/1.0" 200
5 S a1089_2 30746 30370 0 80 0 - 2804946 poll_s 21:35 ? 00:00:02 httpd.itk: handling www.ххх1.ru "POST /images/plugin.php HTTP/1.0" 200
5 S a1089_2 30746 30370 0 80 0 - 2804946 poll_s 21:35 ? 00:00:02 httpd.itk: handling www.ххх1.ru "POST /images/plugin.php HTTP/1.0" 200
5 S a1089_2 30746 30370 0 80 0 - 2804946 poll_s 21:35 ? 00:00:02 httpd.itk: handling www.ххх1.ru "POST /images/plugin.php HTTP/1.0" 200
Проверка clamAV выявила:
/home/httpd/vhosts/ххх1.ru/httpdocs/templates/beez3/index.php: PHP.Shell-38 FOUND
/home/httpd/vhosts/ххх1.ru/httpdocs/cache/gif.php: PHP.Shell-38 FOUND
Вам нужно проверить ваши сайты на предмет взлома, устранить вредоносные скрипты и сами уязвимости в коде, через которые мог быть произведен взлом.
Проверьте все файлы которые были созданы за последние несколько дней.
Подскажите что делать и как вернуть сайту работоспособность.
- 02.08.2013 09:27Дипломник
- Регистрация: 17.07.2012
- Сообщений: 114
- Репутация: 0
- 0
- 02.08.2013 10:23
Сделайть бэкап сайта. - отложить подальше.
Далее:
Загрузить поверх joomla новую - вышли фиксы сегодня.
Далее с помощью антивирусов (есть разные анализаторы) - советую Айболит скрипт - найти все, что лишнее.
Удалить. Поставьте сложные пароли и лучше .httpwd на админку.
Все еще раз проверить и загрузить обратно на сайт.
P.S. Сами виноваты, что скачиваете варез и удивляетесь вирусам.
Последний раз редактировалось CB9TOIIIA; 02.08.2013 в 10:25.
- 1
Спасибо сказали:
kovesh1960(02.08.2013), - 02.08.2013 12:24Дипломник
- Регистрация: 17.07.2012
- Сообщений: 114
- Репутация: 0
А есть ресурсы откуда можно без опаски качать бесплатные темы, чтоб на 100% без лишнего вредоносного кода?
И еще, чуть в сторону от темы. Пользуюсь темой LeoNews (бесплатной конечно) и хочу если не убрать, то хотя бы поставить в ноуфолоу их копирайт, чтоб вес не забирал. Есть у кого опыт?- 0
02.08.2013 12:36kovesh1960, совсем не обязательно что вирус с шаблоном скачали, а судя по логам – то скорее всего что точно нет.
Вирусные файлы в папке /images/, а такое характерно для заливки шеллов (чаще через текстовые редакторы). Сам несколько месяцев с такой проблемой умчался.
Вопрос решил чисткой (просканировать хостер помог), отключением редактора и ограничением на ФТП по ИП- 2
Спасибо сказали:
3s777(02.08.2013), kovesh1960(02.08.2013),- 02.08.2013 12:46
kovesh1960, бесплатные и платные на офф сайтах 100% все окей.
Код HTML:Все верно - шелки/home/httpd/vhosts/ххх1.ru/httpdocs/templates/beez3/index.php: PHP.Shell-38 FOUND /home/httpd/vhosts/ххх1.ru/httpdocs/cache/gif.php: PHP.Shell-38 FOUND
- 0
- 02.08.2013 13:26вот-вот была та же проблема несколько месяцев назад и не только у меня. Проблема была массовая. В текстовом редакторе JCE была уязвимость через которую взломщик загружал картинку, которая вовсе не картинка, а вирус, который дальше делал что ему нужно. Даже сами создатели JCE признали свою вину и написали про это на своем сайте. После обновления редактора взломов больше не наблюдаю.
Сообщение от genjnat 
- 0
- 02.08.2013 13:31Бесплатные темы нужно качать с оф.сайтов. Лучше использовать коммерческие шаблоны опять же с сайтов разработчиков. Сообщение от kovesh1960
- 0
- 02.08.2013 13:49
скорее всего взломали через расширения установленные на сайте, проверяйте и следите за уязвимостью, вот тут постоянно обновляемый список уязвимостей _http://docs.joomla.org/Vulnerable_Extensions_List - советую всем иногда проверять его в отношении своих сайтов дабы избежать подобного. Часто как упомянуто выше, вирусы и прочую гадость змаливают в image, поэтому можно в папку добавить файл ..htaccess. Следи за версиями расширений и обновляйте их вовремя, и будет вам счастье...
- 1
Спасибо сказали:
kovesh1960(02.08.2013), - 02.08.2013 14:39Дипломник
- Регистрация: 17.07.2012
- Сообщений: 114
- Репутация: 0
+ буду еще делать ежемесячные бэкапы на всякий случай.
Большое спасибо за ответы.- 0
Тэги топика:
Похожие темы
| Темы | Раздел | Ответов | Последний пост |
|---|---|---|---|
блокировка сайтов web of trast и как его убрать с сайта | Дайджест блогосферы | 0 | 13.05.2013 22:11 |
Блокировка AdSense | PPC и контекстная реклама | 29 | 07.04.2013 14:41 |
Блокировка AdSense | Вопросы от новичков | 23 | 25.02.2013 23:00 |
Блокировка домена | Хостинг и Серверы | 1 | 03.03.2011 19:47 |
Блокировка домена регистратором | Хостинг и Серверы | 15 | 20.09.2009 08:35 |
---------- addurl adsense avito cpa html proxy radikal wordpress yandex youtube zennoposter аккаунт баннер блог быть вконтакт год гугл деть добавить думать есть кейс ключ конечный контент магазин место может накрутка нужный отзыв оффера парсер партнёрка партнёрская программа первый программа продажа продвижение прокси просто работа работать регистрация рубль сайт сервис система скрипт сообщение ссылка стать страница трафик хороший хостинг цена шаблоны
Тем:
77,588Сообщений:
763,105Пользователей:
30,080Сейчас на сайте:
0 пользователей и 159 гостей
