Вообщем имею сайт на Джумле. Перевел его на эту CMS месяц назад. Шаблоны естественно бесплатные.
Шаблоны скачал с джумла-мастер.орг и естественно пришлось удалять их рекламные вставки.
С пару дней назад сайт был заблокирован хостером по причине ДДОС атаки на него. После его разблокировали т.к. активности ДДОС атак не наблюдалось.
Сегодня его опять заблокировали (и еще один сайт на таком же шаблоне - где тестил этот шаблон перед пенеросом на основной сайт).
Вот что написал хостингДомены ххх.ru и ххх1.ru заблокированы так как они заражены вредоносными скриптами, к сайтам создаются специфические запросы, которые блокируют работу сервера:
5 S a1089_1 16947 24679 0 80 0 - 2805054 poll_s 21:33 ? 00:00:02 httpd.itk: handling www.ххх.ru "POST /images/plugin.php HTTP/1.0" 200
5 S a1089_1 16947 24679 0 80 0 - 2805054 poll_s 21:33 ? 00:00:02 httpd.itk: handling www.ххх.ru "POST /images/plugin.php HTTP/1.0" 200
5 S a1089_1 16947 24679 0 80 0 - 2805054 poll_s 21:33 ? 00:00:02 httpd.itk: handling www.ххх.ru "POST /images/plugin.php HTTP/1.0" 200
5 S a1089_2 30746 30370 0 80 0 - 2804946 poll_s 21:35 ? 00:00:02 httpd.itk: handling www.ххх1.ru "POST /images/plugin.php HTTP/1.0" 200
5 S a1089_2 30746 30370 0 80 0 - 2804946 poll_s 21:35 ? 00:00:02 httpd.itk: handling www.ххх1.ru "POST /images/plugin.php HTTP/1.0" 200
5 S a1089_2 30746 30370 0 80 0 - 2804946 poll_s 21:35 ? 00:00:02 httpd.itk: handling www.ххх1.ru "POST /images/plugin.php HTTP/1.0" 200
Проверка clamAV выявила:
/home/httpd/vhosts/ххх1.ru/httpdocs/templates/beez3/index.php: PHP.Shell-38 FOUND
/home/httpd/vhosts/ххх1.ru/httpdocs/cache/gif.php: PHP.Shell-38 FOUND
Вам нужно проверить ваши сайты на предмет взлома, устранить вредоносные скрипты и сами уязвимости в коде, через которые мог быть произведен взлом.
Проверьте все файлы которые были созданы за последние несколько дней.
Подскажите что делать и как вернуть сайту работоспособность.
- 02.08.2013 08:27Дипломник
- Регистрация: 17.07.2012
- Сообщений: 114
- Репутация: 0
- 0
- 02.08.2013 09:23
Сделайть бэкап сайта. - отложить подальше.
Далее:
Загрузить поверх joomla новую - вышли фиксы сегодня.
Далее с помощью антивирусов (есть разные анализаторы) - советую Айболит скрипт - найти все, что лишнее.
Удалить. Поставьте сложные пароли и лучше .httpwd на админку.
Все еще раз проверить и загрузить обратно на сайт.
P.S. Сами виноваты, что скачиваете варез и удивляетесь вирусам.
Последний раз редактировалось CB9TOIIIA; 02.08.2013 в 09:25.
- 1
Спасибо сказали:
kovesh1960(02.08.2013), - 02.08.2013 11:24Дипломник
- Регистрация: 17.07.2012
- Сообщений: 114
- Репутация: 0
А есть ресурсы откуда можно без опаски качать бесплатные темы, чтоб на 100% без лишнего вредоносного кода?
И еще, чуть в сторону от темы. Пользуюсь темой LeoNews (бесплатной конечно) и хочу если не убрать, то хотя бы поставить в ноуфолоу их копирайт, чтоб вес не забирал. Есть у кого опыт?- 0
02.08.2013 11:36kovesh1960, совсем не обязательно что вирус с шаблоном скачали, а судя по логам – то скорее всего что точно нет.
Вирусные файлы в папке /images/, а такое характерно для заливки шеллов (чаще через текстовые редакторы). Сам несколько месяцев с такой проблемой умчался.
Вопрос решил чисткой (просканировать хостер помог), отключением редактора и ограничением на ФТП по ИП- 2
Спасибо сказали:
3s777(02.08.2013), kovesh1960(02.08.2013),- 02.08.2013 11:46
kovesh1960, бесплатные и платные на офф сайтах 100% все окей.
Код HTML:Все верно - шелки/home/httpd/vhosts/ххх1.ru/httpdocs/templates/beez3/index.php: PHP.Shell-38 FOUND /home/httpd/vhosts/ххх1.ru/httpdocs/cache/gif.php: PHP.Shell-38 FOUND
- 0
- 02.08.2013 12:26вот-вот была та же проблема несколько месяцев назад и не только у меня. Проблема была массовая. В текстовом редакторе JCE была уязвимость через которую взломщик загружал картинку, которая вовсе не картинка, а вирус, который дальше делал что ему нужно. Даже сами создатели JCE признали свою вину и написали про это на своем сайте. После обновления редактора взломов больше не наблюдаю.
Сообщение от genjnat 
- 0
- 02.08.2013 12:31Бесплатные темы нужно качать с оф.сайтов. Лучше использовать коммерческие шаблоны опять же с сайтов разработчиков. Сообщение от kovesh1960
- 0
- 02.08.2013 12:49
скорее всего взломали через расширения установленные на сайте, проверяйте и следите за уязвимостью, вот тут постоянно обновляемый список уязвимостей _http://docs.joomla.org/Vulnerable_Extensions_List - советую всем иногда проверять его в отношении своих сайтов дабы избежать подобного. Часто как упомянуто выше, вирусы и прочую гадость змаливают в image, поэтому можно в папку добавить файл ..htaccess. Следи за версиями расширений и обновляйте их вовремя, и будет вам счастье...
- 1
Спасибо сказали:
kovesh1960(02.08.2013), - 02.08.2013 13:39Дипломник
- Регистрация: 17.07.2012
- Сообщений: 114
- Репутация: 0
+ буду еще делать ежемесячные бэкапы на всякий случай.
Большое спасибо за ответы.- 0
Тэги топика:
Похожие темы
| Темы | Раздел | Ответов | Последний пост |
|---|---|---|---|
блокировка сайтов web of trast и как его убрать с сайта | Дайджест блогосферы | 0 | 13.05.2013 21:11 |
Блокировка AdSense | PPC и контекстная реклама | 29 | 07.04.2013 13:41 |
Блокировка AdSense | Вопросы от новичков | 23 | 25.02.2013 23:00 |
Блокировка домена | Хостинг и Серверы | 1 | 03.03.2011 19:47 |
Блокировка домена регистратором | Хостинг и Серверы | 15 | 20.09.2009 07:35 |
addurl adsense facebook google instagram proxy seo telegram vkontakte zennoposter аккаунт база блог быть видео витрина вконтакт вопрос гемблинг гугл данный деть домен есть запрос кейс контент купить можно новый нужный парсер партнёрка партнёрская программа плагин пользователь понедельник порно программа продажа работа работать сайт сервис сеть скрипт софт ссылка стать статья стоимость страница тариф текст тема трафик форум хотеть цена яндекс
Тем:
77,541Сообщений:
762,292Пользователей:
30,079Сейчас на сайте:
0 пользователей и 332 гостей
