Проверка безопасности - взлом или повреждение? Как проверить сайт джумла на вирусы


Антивирус и поиск вирусов на Joomla

Опубликовано в Лечение веб-сайтов, Проверка веб-сайтов   10 Апреля, 2014

Сайты на Joomla — почти лидеры рейтинга заражаемости, занимая второе место в списке. Большой объем зараженных сайтов на этой CMS управления связан не только с открытостью кода, но с плохо написанными (или заранее содержащими вредоносный код или угрозы) установленными компонентами. Если ваш проект на Джумла подцепил вирус и попал в бан поисковых систем — вы не одиноки. Более 5% сети сегодня заражены, а это более 35 млн. по итогам 2013 года. 20% (7 млн.) из них — сайты на Joomla. Но не стоит отчаиваться и пытаться найти уцелевшую копию сайта, не нужно изучать принципы работы вредоносных программ в попытках их самостоятельного удаления. Вам не нужны дорогие специалисты. Теперь есть сервис Вирусдай. Для того, чтобы проверить антивирусом Вирусдай ресурс на Joomla — синхронизируйте свой ресурс с сервисом. Поиск и лечение будут произведены автоматически.

Частые вирусы Joomla

Сайты на бесплатных системах управления, таких, как Joomla всех версий, особенно Joomla 1.5, 1.7 особенно подвержены заражению.

Самыми частыми гостями бывают Дефейсы, вредоносные редиректы и спам-агенты.

Дефейсы — заменяют индексный файл вашего сайта index.php на новый, содержащий, часто, контент с политическими призывами вида Освободите Косово и т.п. и содержащий ссылки на фишинговые сайты (на которых у посетителя постараются техническими способами взять максимум данных и подсадить ему самому Вредоносное Программное Обеспечение).

Вредоносные редиректоры — добавляют условный или безусловный редирект, прописывая его в файле .htaccess в корне проекта так, чтобы посетители вашего сайта перенаправлялись (редиректились) на другие ресурсы, часто, содержащие вредоносное ПО.

Наибольшее распространение получили условные редиректы: мобильные и поисковые, перенаправляющие на другие ресурсы не всех пользователей, а только пользователей мобильных устройств или пользователей, нашедших web-сайт в поисковой системе и попытавшийся перейти на него по ссылке в поисковой выдаче.

Спам-агенты — позволяют злоумышленникам использовать ваш почтовый сервер для отправки (от вашего же часто имени) спама, часто содержащего вредоносное ПО.

Как вирусы проникают на сайт

Для того, чтобы получить доступ к вашему сайту, злоумышленникам не обязательно знать пароль от вашей системы управления, FTP или панели управления сервером. Часто, взлом осуществляется не людьми, а ботами (самостоятельными программами), выискивающими заранее известные уязвимые места CMS. Основная часть взломов производится через дополнительно установленные компоненты, часто уже специально содержащие лазейки или просто написанные с уязвимостями в коде. Снизить вероятность заражения — используйте только проверенные компоненты для своих систем управления.

Как искать вирусы

Для лечения веб-сайтов на Joomla и на других системах управления мы рекомендуем использовать облачный антивирус Вирусдай. Зарегистрируйтесь сейчас.

virusdie.ru

Как проверить сайт на вирусы?

altВирусы часто маскируются на сайтах. Притом даже владельцу может быть неизвестно, что его ресурс небезопасен. Чтобы не допускать этого, следует постоянно проверять сайт на вирусы.

Для начала следует зайти на сайт с разных поисковых систем. У них автоматически определяется опасный контент. Красным шрифтом под ссылкой чаще всего находится оповещение о том, что контент является небезопасным. Некоторые системы уведомляют web-мастера о вирусах на панели.

АнтивирусыСамый простой способ найти вирусы воспользоваться антивирусом. Можно найти множество сервисов, которые бесплатно проверяют сайты. К примеру, на сайте антивируса Dr.WEB есть специальный раздел. Также есть платные ресурсы, которые проверяют с помощью разных антивирусов одновременно.

Можно сделать проверку самостоятельно. Скачать данные сайта с хостинга и сделать полную проверку домашним антивирусом. Некоторые антивирусы проверяют код страницы, сопоставляя с базой данных. Поэтому для проверки чужого ресурса можно просто указать ссылку на него.

Большинство хостингов предоставляют платные услуги для проверки сайтов. Она выполняется автоматически и владельцу сайта не придется об этом беспокоиться. А при возникновении проблем достаточно обратиться в службу технической поддержки, которая быстро устранит проблему.

Не лишнем будет воспользоваться сервисом http://analizsaita.com/. Он оможет выявить уязвимые места на сайте, а также удалить вирусы.

Другие методыПользователи могут помочь с выявлением проблемы. Оставив комментарий, они значительно помогут владельцу. Особенно если сайт с большим количеством посетителей, вирус не останется незамеченным. А при поиске информации о другом ресурсе лучше всего почитать отзывы в блогах.

Существуют специальные скрипты, которые следят за деятельностью файлов и при подозрительных действиях присылают уведомления на почту.

Google имеет специальный сервис «Безопасный просмотр», с помощью которого любой пользователь имеет доступ к информации о сайтах: является ли сайт зараженным или находится в списке подозреваемых.

< Предыдущая Следующая >
 

joomlan.ru

Поиск вирусов на сайте Джумла, проверка Joomla сайта на вирусы

Статьи

Главная » Новости

Опубликовано: 27.04.2018

видео Поиск вирусов на сайте Джумла, проверка Joomla сайта на вирусыКак проверить шаблон сайта на вирусы и скрытые ссылки

Сайты на Joomla занимают второе, «почетное» место в рейтинге заражаемости среди всех систем управления контентом. Такая заражаемость в первую очередь связана не с открытостью кода системы, а из-за плохо написанных или уже содержащих вредоносный код компонентов, плагинов, расширений. Так что если ваш вирус в один «прекрасный момент» подцепил вирус, то знайте – вы не одиноки. Если верить статистике 2013 года, то более 5% всех сайтов в сети заражены вирусами, а примерно 1/5 из них работает на Джумла.

OSE antivirus. Как проверить сайт на Joomla на вирусы

Впрочем, отчаиваться не стоит, выход можно найти из любой ситуации. Далее в материале рассмотрим плагины и скрипты, способные вылечить ваш сайт Joomla от вредоносного ПО различного рода.

Antivirus Website Protection: эффективная защита от вирусов на сайт Joomla

Этот плагин выполняет лечение/удаление вредоносных вирусов и всех подозрительных объектов. Плагин Joomla способен обнаруживать руткиты, троянских коней, червей, рекламу, программы-шпионы и т.п. Антивирус сканирует не только файлы шаблонов, но также анализирует все файлы вашего веб-сайта, включая даже те, которые не входят в часть ядра Joomla.

Как найти все исходящие ссылки с сайта

Antivirus Website Protection в первую очередь необходим тем, кто очень часто загружает темы и расширения из торрентов/подозрительных веб-сайтов; тем, кто хочет просто скачать, а не платить за продукт.

Вы будете действительно удивлены, каким функционалом обладает Antivirus Website Protection.

Ключевые достоинства плагина: детальный анализ каждого файла на вашем сайте Joomla; каждодневное обновление вирусной базы данных; есть возможность выполнить эвристический анализ; все тревоги и уведомления отображаются в административной панели или приходят на электронную почту; антивирус обнаруживает внушительный список опасных и потенциально опасных объектов; есть возможность просмотра отчетов в режиме онлайн.

А теперь давайте рассмотрим основной список объектов, которые может обнаружить антивирус:

Новости

Где купить адаптер для фотоаппарата

Я профессионально занимаюсь фотографией, поэтому имею свою студию. Регулярно пополняю запасы видеокамер. И недавно мне понадобился специальный адаптер, который я не мог нигде найти. Я был очень рад,

Новости дня Наш сайт, Краснодарик.ру, публикует новости краснодарского края, рассказывает об изменениях , происходящих в обществе, экономике и политике. Мы освещаем последние новости культуры, спорта, новейших достижений Вторые блюда. Простые вкусные домашние рецепты вторых блюд с фото Admin Средний рейтинг: (5 / 5) Пошаговый рецепт приготовления блинные корзиночки с лососем и яйцом своими руками. Готовим Дома Подробнее Admin Средний рейтинг: (5 / 5) Пошаговый рецепт приготовления Медовый месяц Уже всё готово для свадьбы и теперь Вы решаете как и где провести медовый месяц? А может Вы уже давно женаты, но иногда так хочется погрузиться в атмосферу романтики, подарить друг другу ещё один медовый Вещество, используемое в течение десятилетий в химии по факту не существует. По данным новых исследований, проведенных учеными из Университета Западной Австралии и Университета Мердока, вещество, которое на протяжении десятилетий считалось важным компонентом принятых расчетов в Об агентстве   Уважаемые туристы сети туристических агентств ООО «Глобал-Тур» и посетители сайта!        Рады приветствовать Вас на нашем официальном сайте компании и надеемся, Вкусные бутерброды на праздничный стол с фото Бутерброды, как закуска, незаменимы в повседневном рационе. Они также идеально смотрятся в меню праздничном. Главное - подобрать рецепты оригинальные и по-настоящему красивые. Простые бутерброды на каждый Свадебное путешествие в августе на любой вкус и кошелек Психологи говорят, что ездить в путешествие в вашим возлюбленным необходимо не только сразу после свадьбы, но и каждый год. Ведь совместные поездки делают отношения ещё крепче. При этом важно искать новые Фаршированные гнезда Еда на завтрак должна быть питательной и сбалансированной. Очень важно, чтобы в ней присутствовали белки и углеводы.   Времени по утрам для приготовления полноценного завтрака вечно не хватает. Кухни Предположим, кроме упомянутых 3 пунктов, у вас есть микроволновка, соковыжималка, кофеварка и комбайн, и все это вы ежедневно и часто используете. А теперь возьмите листок бумаги и расположите все эти

tandemxxi.com.ua

Восемь Бит - Интернет бюро

Введение

Часто можно увидеть в сети: сайт работал нормально и вдруг начал работать, как дворник с похмелья, хостер пишет гневные письма, поисковики обходят сайт стороной, а браузеры блокируют предупреждением «Имеется информация, что этот сайт атакует компьютеры!»

Откуда же берутся вирусы?

Самая распространённая на сегодня причина — это использование quickstart (quickstart это установочный архив, позволяющий в несколько минут развернуть точную копию сайта, со всеми расширениями), как правило, скачанного с варезных ресурсов; квикстарта, купленного у разработчика, разумеется, можно не бояться. Очень удобно, не нужно мучатся с дизайном, установкой расширений, настройкой сайта. Правда, зачастую вместе с сайтом можно получить набор скриптов, дающих контроль над вашим ресурсом, таких как рассылка спама, «раздача» вирусов или размещение невидимых ссылок на сторонние ресурсы (черный SEO).

Для чего варезные ресурсы включают backdoor (от англ. back door — «чёрный ход») в архив? Как правило, варезные ресурсы живут за счет отчислений за каждое скачивание от файлообменников, а те, в свою очередь, показом рекламы и платными подписками, позволяющими увеличить скорость загрузки, которая для простых пользователей обычно ограничена. Но многим этого кажется мало, тем более когда есть возможность управлять сотнями и даже тысячами сайтов. Если уж хотите использовать quickstart, то купите его у разработчика, тем более его стоимость в среднем составляет 30-50 долларов, что, в общем, недорого даже при нынешнем курсе.

На второе место можно поставить взлом CMS через уязвимости, причем с защищённостью движков все в порядке, причина банальна – пользователи не устанавливают обновления. Кто-то боится, что после обновления «слетит» сайт, кому-то просто лень, или студия разработала сайт и передала его заказчику. Заказчик поручил вести сайт одному из сотрудников, и тот исправно наполняет его по инструкции, а обновление в его функции не входит…

Так одной из возможных причин утечки «Панамского архива» специалисты называют устаревшие CMS - Drupal, содержавший на момент взлома не менее 25 уязвимостей, и WordPress 4.1 с уязвимым плагином.

Ищем черный ход

Можно встретить рекомендации, что вылечить сайт можно, если загрузить копию сайта себе на компьютер и проверить обычным антивирусом. К сожалению, этот метод малоэффективен.

Во-первых, антивирус ищет вредоносы именно для ПК, сколько бы Вы не размещали на своем компьютере backdoor на php, заразить его (ПК) не удастся.

Во-вторых, это может быть короткий кусочек кода (обычно зашифрованный), который подгружает вредоносные скрипты с другого ресурса, а раз так, то искать его у себя бесполезно.

Можно пойти разными путями.

Первый вариант

Поскольку сайт содержит несколько тысяч файлов, то поиск измененных или «лишних» может занять довольно много времени, а результат неутешительным – после лечения на ресурсе через некоторое время снова появляются «левые» ссылки.

Ставим чистую Joomla (или другую CMS), устанавливаем шаблон, все компоненты, модули, плагины, что стояли на вашем сайте. Переносим все изображения со старого сайта, директория images, предварительно проверив, чтобы в ней не оставалось никаких файлов, кроме изображений, в том числе и во внутренних директориях. В случае если у вас установлен компонент K2, то изображения будут находиться в директории media/k2/items/cache/.

Внимание! Не лишним будет проверить наличие изображений с явно рандомным названием, как i2495mg.gif, обычно в таких изображениях прячется исполняемый код.

Подключаем старую базу. Вредоносные скрипты практически никогда ничего не пишут в базу, и даже если это не так, то скрипты для доступа к базе сейчас отсутствуют, также по названию таблиц можно определить, к чему они относятся, и вручную удалить лишние.

Подключаем базу со старого сайта

Экспортируем базу. Заходим на хостинге в phpmyadmin, выбираем в столбце слева нужную базу и переходим во вкладку «Экспорт». Нажимаем «Выделить все», можно поставить сжатие zip, и в самом низу страницы нажимаем «Ок». Сохраняем базу на свой ПК. Заходим в phpmyadmin, создаем новую базу, переходим в нее, открываем вкладку импорт и указываем путь к скачанному дампу. Теперь осталось подправить configuration.php, который находится в корне каталога, открываем его любым редактором. Например, Notepad .

public $db = 'base';         - вместо base указываем свое имя базы;

public $user = 'root';   - если вы не меняли имя пользователя на локальном сервере, то оставляем как есть;

public $password = '';    - на локальном сервере обычно стоит пустой пароль, тоже оставляем.

Сохраняем изменения, проверяем работу сайта.

Второй вариант

Если у вас достаточно опыта, то можно включить просмотр исходного кода и посмотреть, присутствует ли «чужие» ссылки, далее посмотреть, например через firebug, откуда они берутся. Как правило, они зашифрованы и, как правило, алгоритмом base64.

Если опыта не хватает, то можно воспользоваться онлайн-сервисом, самый простой вариант – в кабинете вебмастера Яндекс или Гугл либо веб-сканер https://rescan.pro/. Я больше склоняюсь к ручному просмотру кода страницы, хотя, конечно, стоит признать, что всевозможные скрипты и сканеры заметно ускоряют работу.

Пример по поиску «левых»​ ссылок

Для примера я взял квикстарт с одного из варезных ресурсов. Нажимаем Ctrl F5 для просмотра исходного кода, даже при беглом просмотре сразу находим:

Переключаем в административной панели шаблон сайта на стандартный, ссылки исчезли, значит, код прописан в варезном шаблоне, там и будем искать.

Открываем Notepad , нажимаем Ctrl F, переходим во вкладку «Найти в файлах», указываем директорию шаблона, а в строке поиска искомое, в данном случае "sa_wqngs". Нажимаем «Найти все». Поиск находит два совпадения.

Удаляем строки, обновляем страницу, строки с ссылками не исчезли, а поскольку я раньше не нашел прямых ссылок, значит, код зашифрован.

Запускаем новый поиск, теперь по «base64» и видим в коде шаблона:

Удаляем строки 174, 184, 186 (код комментировать не буду, кто хочет, может найти описание в сети). Снова обновляем страницу с исходным кодом, ссылки исчезли. Также проходим все результаты поиска с «base64», к слову, подобных вставок в шаблоне нашлось с десяток. Тут хорошо помогает сортировка по времени, так если большинство файлов шаблона датированы, предположим, 1 мая 2014 года, то файлы, изменённые, скажем, восемь месяцев спустя по меньшей мере подозрительны. 

Для чего обновлять сайт?

В наше время «злобные хакеры» не ломают сайты вручную, если, конечно, это не крупный портал или база конфиденциальной информации. Взломы давно поставлены на конвейер. Для этого написаны боты (скрипты), которые перебирают в сети все сайты на популярных CMS, после чего пытаются применить библиотеку уязвимостей, удачное внедрение отправляется в отчет. Соответственно, как только появляется новая уязвимость, она сразу же добавляется в библиотеку.

Вроде бы элементарно, все современные CMS прямо в административной панели сообщают – вышли новые версии и нужно обновить, но очень часто приходится встречать сайты, которые не обновлялись больше года. 

Используем сканер 

Конечно, вручную не всегда удается найти некоторые «сюрпризы», так, возможно, вы вовремя не обновили систему или расширения, и на сайт был установлен backdoor... Сейчас существует множество сканеров, один из них AI-Bolit. К тому же он бесплатен для некоммерческого использования. 

Используем его для «экспериментального» сайта, где я искал «лишние» ссылки. Как им пользоваться, хорошо документировано на официальном ресурсе, поэтому не буду дублировать информацию.

По результатам экспресс-проверки я получил сообщение о двух уязвимостях. Первая сообщала об устаревшей версии движка, это, в общем, я и так знал.

Вторая говорила об уязвимости в administrator/components/com_k2/lib/elfinder/elFinder.class.php - AFU : elFinder. Возможно, причина в том, что компонент тоже устарел.

На всякий случай я скачал последнюю версию компонента с официального сайта и сравнил версию, на который жаловался сканер, со свежескачанной. Для этого удобно использовать плагин для Notepad , Compare. Как и предполагалось, отличие состояло только в версиях.

Сидим в засаде 

На этом проверку можно было бы и завершить, но на всякий случай я решил почувствовать себя параноиком. Один из верных способов - посмотреть, какие пакеты ваш сайт засылает в сеть. Ставим Wireshark, он также хорошо задокументирован на сайте разработчика. Переходим по страницам сайта, действительно, сайт обращается к сети, но тут ничего страшного. Идет подгрузка шрифтов с Google Fonts, видео с YouTube… 

Занавес 

Этот материал, конечно, не подробная инструкция по «лечению» сайтов, а лишь небольшое руководство к действию. Дорогу осилит идущий...

Конечно, неплохо поставить элементарные средства защиты, но об этом уже в следующей части.

www.xn----btbbmrvmyo0h.xn--p1ai

Проверка безопасности - взлом или повреждение?

Список действий Онлайн

Переведите сайт в режим оффлайн (рекомендуется метод htaccess)

Запустите ассистент записей форума и утилиту безопасности

В архиве содержатся более подробные инструкции. Вам потребуется распаковать архив и загрузить файл fpa-en.php в корень сервера Joomla.

Сканируйте все машины через FTP, суперадмина Joomla и доступ Joomla на вредоносный софт, вирусы, трояны, шпионов и т.д.

Убедитесь, что у вас последняя версия Joomla. Оповестите вашего хостера и попросите помощи для чистки сайта, убедитесь, что нет никаких скрытых путей на сайт.

Просмотрите список уязвимых расширений, чтобы узнать пользуетесь ли вы какими либо из них. Существует файл log, он расскажет о том какие расширения были подвергнуты атаке. Вот пример того, что нужно искать:

//administrator/components/com_extension/admin.extension.php?mosConfig.absolute.path=http:

 

или

../../../../../../../../../../../../../../../../proc/self/environ

 

  • Ознакомьтесь с Чек-листом Безопасности, чтобы убедиться, что вы прошли все шаги (некоторые необязательны).
  • Смените все пароли и, если возможно, логины для контрольной панели домена, mysql, FTP, Joomla Super Admin, пароль администратора Joomla; меняйте их чаще.
  • Используйте в пароле не менее 12ти цифр и букв, не используйте фразы.
  • Замените все файлы и шаблоны копиями. Проверьте и/или замените все .pdf файлы, изображения. Проверьте журнал сервера на запросы IP к подозрительным файлам, попытки публикации не форматных значений.
  • Используйте соответствующие права для файлов и каталогов. Не должны встречаться такие как 777[1], идеальными будут 644 для файлов и 755 для папок.
  • Отключите анонимный FTP.

 

chmod и cron

Если у вас есть доступ к SSH (secure shell) вы можете исправить файлы и папки с помощью chmod. Если у вас нет доступа к командной оболочке, меняйте настройки, запустив временный режим cron. Скопируйте команды в cron, подождите около 2х минут перед сохранением. При использовании этих методов рекомендуется использовать полный физический путь к public_html.

Для использования с файлами найдите:

 

find /home/xxxxxx/domains/xxxxxxx.com/public_html -type f -exec chmod 644 {} \;

 

с папками:

 

find /home/xxxxxx/domains/xxxxxxx.com/public_html -type d -exec chmod 755 {} \;

 

Для проверки последних изменений в файловой системе за последний день можете использовать эти команды SSH или cron. 

 

find /home/xxxxxx/domains/xxxxxxx.com/public_html -type f -ctime -1 -exec ls -ls {} \;

 

Обратите внимание на то, что файлы могут быть расположены в public_html, httpdocs,www, или других местах и физический путь к ним будет отличаться от пути в примерах. Отрегулируйте его в соответствии с расположением файлов.

 

Права 777

Если сервер на котором вы находитесь требует прав 777, чтобы Joomla работала корректно, попросите перенести сайт на другой, с обновлёнными apache, php и т.д. на вашем хостинге, либо на другом.

Чтобы защитить директории используйте этот код в файле .htaccess в открытой папке.

 

# secure directory by disabling script execution

AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi

Options -ExecCGI

 

особенно в папках с изображениями

  • Убедитесь, что файл htaccess находится в каталоге, который не запускает никаких скриптов и не удалит никакие расширения. Настоятельно рекомендуется проводить проверки с вашим хостинг провайдером.

 

Безопасный маршрут
  • сохраняйте ваши изображения, configuration.php файл отдельно, а не всей папкой, т.к. в ней могут содержаться нежелательные файлы
  • проведите уборку в папке, где установлена Joomla!
  • загрузите новый чистый пакет установки Joomla
  • перезагрузите ваши файлы configuration.php и изображений
  • перезагрузите или переустановите установленные расширения, шаблоны (а лучше использовать шаблоны по умолчанию)

Чтобы сделать это понадобится 15 минут. Чтобы узнать взломан ваш сайт или повреждён html код понадобятся часы, а может и больше.

 

Локальная безопасность
  • Не храните пароль или логин в FTP программах
  • Используйте менеджеры паролей, например keepass
  • Сканируйте все машины через FTP, суперадмина Joomla и доступ Joomla на вредоносный софт, вирусы, трояны, шпионов и т.д.
  • Помните о возможности отката изменений в системе WIndows

 

Другие советы
  • Не используйте стандартный префикс jos_table и избегайте использования пакетов установки в один клик, если это возможно
  • Установите joomla sequrity newsfeed (http://feeds.joomla.org/JoomlaSecurityNews?format=xml) главным модулем в административной панели.
  • Там где это возможно используйте sFTP вместо FTP
  • Никогда не включайте и не позволяйте использование анонимного FTP
  • Используйте сервер с правильно установленным mod_security
  • Проверьте нет ли добавленных суб-доменов и добавочных директорий
  • Проверьте наличие cgi скриптов
  • Проверьте cron на активность не заданную администратором
  • Установите запрет на любые IP, которые числятся в бане на сайте, но не занесены в бан на прокси-версии
  • Проверьте сайт на устранение прошлых атак, были ли все обезврежены
  • Попробуйте удалить “Добро пожаловать на главную страницу”, чтобы снизить возможность атак из поисковых систем
  • Полностью удалите (а не снимайте чек бокс “использовать”) неиспользуемые или уязвимые расширения

 

Вредоносный код или незнакомые ссылки на сайте

Убедитесь, что исходный файл шаблона не содержит неизвестного кода или вредоносного JavaScript или проверьте не был ли шаблон скачан с непроверенного сайта

iFrames

В последнем iFrame вредоносный код был обнаружен только в файлах с наиболее распространёнными именами (index.html, index.php и т.п.)

 

Проверьте себя
  • Никогда никаких прав 777
  • Несовместимые версии
  • Пересмотрите разрешения прямого доступа и логи ошибок

 

Когда ваш хост провайдер использует PHP как модуль Apache, он выполняется как пользователь/группа веб сервера, отображаемая обычно как “nobody”, “httpd” или “apache”. В соответствии с этим режимом, файлам и каталогам, которые будут прописаны в php скриптах понадобятся права 777 (чтения/создания/удаления в группах/пользователях/на всём сайте). Такое развитие событий абсолютно недопустимо для безопасности сайта. Права 777 не только допускают веб сервер переписывать файлы, но и позволяют редактировать, добавлять и удалять файлы любому пользователю. Если ваш провайдер не в силах этого изменить, настоятельно рекомендуем сменить хостинг!

 

Журналы

Убедитесь, что в вашей админке присутствуют журналы чистого доступа.

Журналы чистого доступа могут показать кто прошёл на ваш сайт без введения адресов, перехода по ссылкам и любых других видимых способах перехода. Это может быть очень удобно, если хотите быстро посмотреть кто зашёл на сайт. Многие пользователи забывают, что журналы включает пользователь аккаунта на хостинге, но изначально они выключены.

 

Несовместимые версии

Этот документ подходит для всех версий Joomla. Чтобы восстановить ваш сайт используйте версию совместимую с нынешней. Некоторые версии требуют миграции и переход на другую выведет ваш сайт из строя. Например не переписывайте сайт на 1.5.х.х версией 2.5.х.х. Неподготовленная переустановка просто напросто выведет сайт из строя если не сразу, то со временем.

joomla.ru

Подробное описание как найти вирус на сайте и очистить сайт Joomla от вирусов

Если вы не имеете ни малейшего представления как выглядит вирус на сайте, как найти вирус и как удалить вирус и вам необходимо быстро очистить от вирусов сайт Joomla то эта статья именно для вас. Я уже писала в своих статьях, что если у вас вирус на сайте, на то, чтобы очистить сайт от вирусов поисковики дают всего лишь 2-3 дня. После этого ваш сайт выпадает из поисковой выдачи и восстановить позиции сайта в дальнейшем будет достаточно трудно.

Достаточно часто вижу в интернете следующие рекомендации: "чтобы очистить сайт Joomla от вирусов залейте поверх сайта чистый движок Joomla, той же версии что и сайт, без папки инсталляции." При этом уверяют, что этот метод поможет на все 100%. Уверяю вас, не поможет, даже на 1%. Объясняю почему:

1. Во время работы с сайтом вы наверняка устанавливали различные расширения Joomla (модули, плагины, компоненты). Когда вы зальете движок джумла поверх сайта в надежде очистить сайт Joomla от вирусов, то перезапишутся только те файлы, которые были в дистрибутиве Joomla.

Все расширения, которые вы устанавливали останутся в том же виде. Именно там может находиться вирус. Чаще всего вирус проникает на сайт именно через уязвимости в расширениях сторонних разработчиков. А если вы скачивали расширения где попало, то вы сами могли занести вирус на сайт.

2. Злоумышленники могли забросить на сайт какие-то свои файлы. Они тоже останутся в неизменном виде и никуда не денутся с сайта.

3. Шаблон вы наверняка поменяли. Он у вас тоже не перезапишется. Не исключена вероятность, что вредоносный код будет именно в шаблоне. Хотя следует отметить, что попадание вируса на сайт через шаблон более характерно для сайтов на Wordpress. На сайт Joomla вирусы чаще всего попадают через уязвимости в плагинах.

Надеюсь, я вас убедила, что не стоит тратить время и заливать поверх сайта чистый движок Joomla.

А теперь о том, что нужно делать, чтобы очистить сайт Joomla от вирусов. Притом делать нужно будет строго в том порядке, который у меня описан ниже. Шаг вправо, шаг влево,... нет не попытка побега, а вероятность, что ваш сайт тут же будет заражен снова.

1. Включаете на своем компьютере антивирус и очищаете свой компьютер от вирусов. Вирус у вас в компьютере наверняка сидит, а возможно и не один. В подавляющем большинстве случаев вирус на сайт попадает именно с зараженного компьютера.

2. Меняете все пароли доступа к сайту. (Читайте как поменять пароль администратора Joomla).

3. Делаете резервную копию сайта.

4. Все сносите и устанавливаете чистый движок Joomla, притом той же самой версии, которая у вас была установлена на последний момент. Если у вас была версия Joomla 2.5.9 и вы ее не обновляли до 2.5.14, то устанавливаете Joomla 2.5.9. (Читайте как загрузить сайт на хостинг быстро)

При установке движка Joomla необходимо учесть такую особенность, как префиксы. Если в Joomla 1.5 по умолчанию установлен префикс "Jos_", то в Joomla 1.7 и Joomla 2.5 префиксы разные и генерируются автоматически. Делается это для большей безопасности Joomla.

Поэтому если у вас Joomla 1.7 или 2.5, то при установке движка Joomla необходимо указать с какими именно префиксами сайт должен работать. Для этого при установке в поле "Префикс таблиц" сразу указать префикс своей базы данных.

Впрочем если вы сразу не прописали префиксы с которыми сайт должен работать, то в дальнейшем вы сможете изменить их в файле конфигурации, там есть строка:

"$dbprefix ="

5. После того, как вы установили движок Joomla, идете в phpMyAdmin, в свою базу данных, удаляете оттуда все таблицы, которые создала Joomla и загружаете туда свою последнюю базу данных из резервной копии.

Если вы все сделали правильно, то сайт у вас заработал, все материалы отображаются корректно. Но!!! Все расширения и шаблон, которые вы устанавливали ранее нужно устанавливать заново. Брать из резервной копии ничего нельзя, там может быть вирус. Идете на сайт extensions.joomla.org и скачиваете все расширения оттуда. Это официальный сайт Joomla.

На этом проблемы не закончились. Хотя все материалы на сайте нормально отображаются, но при попытке создать материал или откорректировать уже имеющийся получаем грозное предупреждение:

Лечится следующим образом: В файле editor.php находим строку:if ($temp = $plugin->onDisplay($editor, $this->asset, $this->author)) Заменяем на следующую:if (method_exists($plugin,'onDisplay') && $temp = $plugin->onDisplay($editor, $this->asset, $this->author))

Путь к файлу: libraries/joomla/html/editor.php

Если и после этого вы не можете создавать и редактировать материалы, то скачиваете и устанавливаете JCE редактор, после этого точно все заработает.

6. Заходите на сайт http://2ip.ru/site-virus-scaner/ и проверяете свой сайт на вирусы. Если проверка покажет, что есть подозрение на вирус, то начинаете проверять коды кнопок социальных сетей, коды рекламных баннеров, которые вы устанавливали на своем сайте.

Начинаете с кнопок социальных сетей. Именно в них обычно запрятаны перенаправления на другие сайты либо обфусицированный код. Если у вас установлены кнопки социальных сетей от odnaknopka.ru, то именно с нее и начинайте.

Оптимальным вариантом будет если вы снова скопируете коды с тех сайтов, с которых вы их устанавливали, так как при визуальной проверке не всегда можно заметить подмену. После каждой замены снова проверяйте сайт на вирусы, пока сервис 2ip.ru не покажет, что ваш сайт полностью чист.

В общей сложности на то чтобы очистить свой сайт Joomla от вирусов уйдет не более одного дня. Во всяком случае так было у меня. Я экспериментировала с Joomla 1.5 и с Joomla 2.5. Притом у меня перед глазами не было такой четкой инструкции, что и как нужно делать. При возникновении проблем приходилось еще искать информацию в интернете.

А что можно сделать тем, у кого сайт не на Joomla, а на Wordpress? Не секрет, что движок Wordpress наиболее популярен среди пользователей рунета. С уверенностью могу сказать, что аналогично можно очистить от вирусов не только сайт Joomla, но и Wordpress тоже.

Но там уже будут свои подводные камни. Какие именно я не знаю. Сайтов на Wordpress у меня сейчас нет. Поэтому в данном случае Google вам в помощь. Чистых вам сайтов.

Автор: Tatjana Rodionovskaja

inoption.info

Удаление вирусов с сайта на Joomla

Подробности Создано: 17 апреля 2015 Технологии взлома постоянно меняются, поэтому становится все более сложным обнаружить "левые" файлы в папке Joomla и удалить их, пока они не натворили бед. По моему опыту варианты взлома были такие:
  1. Изменена index.php сайтаВ этом случае надо просто из бекапа закачать старую страницу index.php и все станет на свои места.
  2. На сайте появились "лишние" зараженные файлы, но неизвестно гдеЕсли у вас на компьютере стоит хороший антивирус, то стоит скачать сайт целиком на компьютер, а антивирус уже покажет какие файлы заражены, затем по пути указанному антивирусом пути к ним - найти их на хостинге и удалить.
  3. На сайте появилась новая директория, которой нет в виде физической папки, в которой чужие странички, показываемые по iframeНадо посмотреть изменения в .htaccess, там скорее всего будет строка RewriteRule, где и будет указана замена файла (путь к нему, по которому надо пройти и удалить его) на виртуальную папку. Вражескую строку в .htaccess надо тоже удалить.
  4. Рассылка почты с сервера сайта в огромных количествахпока решение не найдено
  5. Подмена контента рекламы SAPE на контент 18+, тогда как в файлах sape такой рекламы и ссылок нетпока решение не найдено, но показ рекламы на той странице отключен
Как можно себя обезопасить?
  • Проверить на вирусы компьютер (полная проверка).
  • Поменять пароли на FTP, доступ к хостингу и админ панели сайта.
  • Сделать резервную копию сайта.
  • Бесплатно проверить сайт на вирусы можно на сайтах: http://antivirus-alarm.ru/proverka/, http://2ip.ru/site-virus-scaner/, https://sitecheck.sucuri.net
  • Если проверка покажет, что вирусы на сайте есть, то точное их расположение поможет найти программка AiBolit - http://www.revisium.com/ai/
  • Затем лишние файлы надо удалить из файловой системы на ФТП, а зараженные заменить верными из бекапа.
  • Обновление Джумлы и перезапись до очистки сайта от вирусов не поможет, если только не создать сайт в отдельной папке, все в него перенести, а старый сайт удалить.

miladyad.ru