1. Приветствуем Вас на нашем закрытом форуме для складчиков сайта cmsheaven.org. Если Вы частный вебмастер, фрилансер, владелец малого или среднего бизнеса, представитель студии по разработке сайтов - будем рады видеть Вас в наших рядах экономных людей.
    Регистрация на форуме возможна только после вступления в складчину

Проверь корень сайта на наличие файла lol.html

Тема в разделе "Обсуждаем Joomla, шаблоны и расширения к ней", создана пользователем Coresolo, 16 янв 2016.

  1. Coresolo

    Coresolo Модератор

    Регистрация:
    10 окт 2014
    Сообщения:
    112
    Симпатии:
    74
    Сегодня вместо того чтобы лечь спать, нашел на одном своем сайте левый фаил lol.html в самом корне.
    Кто-то решил посмеяться и ломануть мой сайт. Он еще и контакты оставил (мой твитер @s3n4t00r), собака переодетая. Особо не вникал в содержание файла, снес его почти сразу же, успел увидеть внутри только ссылку во фрейме на ютьюб ролик.
    Подозреваю, что сломали через EasyBlog, но не уверен на 100%.
    Проверьте на своих сайтах, может не один я такой "везунчик" сегодня.
    После находки этого lol.html нашел еще очень много дряни в папке images/easyblog_shared/ по удалял всю еЁ и там. Ни чего не сломалось, все обошлось легким испугом. Просканировал сайт RSFirewall-ом, сменил пароли, отписался здесь и лег спать.
    #1
  2. artempmr

    artempmr Опытный складчик

    Регистрация:
    14 сен 2015
    Сообщения:
    46
    Симпатии:
    10
    Недели 2 назад произошло:
    Мне пришлось файлов 30 вычищать по всему домену, были созданы какие-то доп. файлы, которые по названию совпадают с оригиналом или логически могут быть размещены в данной папке). Поэтому не стоит качать модули с левых сайтов)) файл в корне вроде также lol.html назывался.

    [​IMG]
    #2
    Coresolo нравится это.
  3. Gryzly

    Gryzly Матерый складчик

    Регистрация:
    27 окт 2014
    Сообщения:
    232
    Симпатии:
    26
    была дыра в безопасности joomla. нужно обновится до последней версии.
    и вообще нужно проверить айболитом (revisuim.com) или манулом (manul яндексовый).
    Покажет все подозрительные файлы.
    Т.к. новые файлы это не самая проблема. проблема в том, что в файлы существующие джумлы внедрен код.
    Это почти 100%

    Скан firewallом не все может выловить, скорей даже мало чего.

    В частности файл defines.php в папке по-моему includes посмотрите визуально, на наличие когда вредоносного.
    Последнее редактирование: 16 янв 2016
    #3
    Coresolo нравится это.
  4. Дэн

    Дэн Матерый складчик

    Регистрация:
    25 июн 2015
    Сообщения:
    270
    Симпатии:
    63
    Coresolo, я давно заметил что через EasyBlog часто ломают сайты. Каких бы версий и обновлений оно не было. Вообще не рекомендую его ставить.
    #4
    Coresolo нравится это.
  5. Coresolo

    Coresolo Модератор

    Регистрация:
    10 окт 2014
    Сообщения:
    112
    Симпатии:
    74
    В том то и дело, что за всю свою практику не разу не качал левых компонентов.

    Обновлял всегда и все до последних версий. В этот раз просто сайт стоял около месяца без обнов, когда в Джумле уже заплаток наделали вплоть до последней версии, а у меня версия Джумлы 3.4.5 все еще стояла и EasyBlog тоже на пару версий не был обновлен.
    Файл defines.php проверил, не изменен.
    Вообще похоже на какую-то саморекламу этого арабского хакера. Во всех внедренных файлах его контакты на твитер, страничку в фейсбуке, помоему даже имеил его там был. Видео ролик вставил во фрейме по ширине и высоте равный нулю. То ли просто для фоновых арабских напевов, для создания пущего впечатления, то ли для доп накрутки просмотров на сам этот ролик. Файлы с названиями test.php, 123.php и прочие наталкивают на мысль, что человек сам не знает, что ему надо от этого взлома, хотя скорее всего я и ошибаюсь.

    Я EasyBlog много где использую, отказаться от него уже очень сложно. За все время только один взлом был, да и то по причине того, что заказчица сайта сама указала логин и пароль после перехода по ссылке в фишинговом письме =))
    #5
  6. artempmr

    artempmr Опытный складчик

    Регистрация:
    14 сен 2015
    Сообщения:
    46
    Симпатии:
    10
    Если они так охотно оставляют свои данные и не вырубают сайты, возможно, они хотят, чтобы им написали: "Красавчик, взломай ещё ... сайт". А также, они получили с моего аккаунта довольно неплохое кол-во исходящих писем, спам и прочую фигню) Хостеру пришлось отключить меня от почты до устранения причины этого цирка)
    #6