Положили сайт

[omen98]

короче вот такая печаль беда появилась на нашем сайте. http://petrovich-sat.com/.
главный вопрос и чо с этим делать?

[Electric]

Нанять специалиста, чтобы сделал вам нормальный сайт, но теперь уже поздно..

[[TEQUILA]]

Восстановить бэкап, закрыть дыру. Вот что делать

[bsnox]

Попросить хостера вернуть бекап, поменять все пароли, у тебя вроде джумла была? обновить на последнюю версию :)

[omen98]

спасибо за советы, связались с хостером. ща все будет.

ПыСы. Косяк - иди в жопу

[FreemanNow]

это типа реклама сайта такая? )

[[TEQUILA]]

На джумлу нападают постоянно, боты брутфорсят пароли, пытаются внедрить скрипты... Задолбали уже порядком :)

[BaNaN]

положить danneo.initapi.php обратно в папку /home/cp531509/public_html/petrovich-sat.com/base/

[BaNaN]

На джумлу нападают постоянно, боты брутфорсят пароли, пытаются внедрить скрипты... Задолбали уже порядком :)

Вывод: все фри ЦМС лесом )))

[omen98]

это типа реклама сайта такая? )

проходим мимо, не задерживаемся, идем лесом.

положить danneo.initapi.php обратно в папку /home/cp531509/public_html/petrovich-sat.com/base/

Спасибо, щас прийдет человек у которого доступ к почте с которой писать запрос на бэкап

[FreemanNow]

это типа реклама сайта такая? )

проходим мимо, не задерживаемся, идем лесом.

значит в точку))

Афигенная тема - "Посмотрите !!! мне на стол нас%;ли, что мне с этим теперь делать?"
И конструктивные ответы типа - "убрать дерьмо и помыть стол")))

[Electric]

Да не реклама это :fool:

[Walking Past]

вроде джумла была? обновить на последнюю версию :)

Ему обновляться нужно не до последней, а до 1.5.26. С последними (2.5 и 3.0) он не совместим по структуре БД (соответственно там только миграция, которая не всегда возможна без бубна).

На джумлу нападают постоянно, боты брутфорсят пароли, пытаются внедрить скрипты... Задолбали уже порядком :)

Нападают на всех, даже статичные html-сайты регулярно "роняют" и дефейсят. Но при этом есть куча примеров сайтов, стабильно работающих на Joomla по 8 лет (именно столько лет этому движку).

[bender]

это типа реклама сайта такая? )

проходим мимо, не задерживаемся, идем лесом.

все верно. Человек совета попросил. Тем более омена все тыщу лет знают в железном потоке в теме про тарелки, но тут появился самый умный и заподозрил рекламу.

[Fist007]

Обращайся, помогу с хостингом, с сайтом (подскажу кодера толкового).

[Dms]

bender, дык у Омена в подписи реклама ))) Но админу пох)

[FreemanNow]

все верно. Человек совета попросил. Тем более омена все тыщу лет знают в железном потоке в теме про тарелки, но тут появился самый умный и заподозрил рекламу.

А, ну тогда, конечно, надо помочь человеку дельным советом типа вот этого:

Восстановить бэкап, закрыть дыру. Вот что делать

а то, ведь, он сам ни за что до такого не додумается

[bender]

а то, ведь, он сам ни за что до такого не додумается

ну это только ты "талантлив во всем". А омен после первого же совета сказал "спасибо" и понял в каком направлении надо копать.

[bender]

bender, дык у Омена в подписи реклама ))) Но админу пох)

да и пох. Омен уже на этом форуме хз сколько и всем помогает в плане настроек тарелог и подобных вопросах.

PS лично с ним не знаком ваще.

[Dms]

bender, ты не поверишь, но я с тобой полностью согласен.
ЗЫ. Лично с ним не знаком ваще.

[omen98]

Спасибо всем за помощь. реально при открытии хрен знает каких талибов была паника и про то что существуют бэкапы я вспомнил после того как здесь это написали... Администрирование сайтов это как бы вообще не моё... я тарелочки люблю.
В итоге получили, вот об чом: есть групка людей, непонятно какой наклонности, но смысл в том что они против того, чтобы шейхи и правительства государств делали состояния на недрах земли. Чтобы привлечь к себе внимание они решили замутить кибератаку. И я так понял что сегодняшний день это так - тренировка. Грозятся 20 июня устроить опу. По сути был подобран пароль от админки и подменены index страницы в корне и в папке админки. помогла замена 3х файлов(выслеживалось по дате изменения) Мож что еще насували - не узрел - я в этом как в жаренных апельсинах.



ЗЫ: По поводу подписи - она сразу исчезнет при первой просьбе администратора или модераторов данного раздела. Пока она никому вроде как не мешает.

[Walking Past]

был подобран пароль от админки и подменены index страницы в корне и в папке админки.

Если уверен, что был применён именно такой способ взлома, советую ограничить доступ к админке по IP (через .htaccess). И есть немалые шансы, что это было только начало - в большинстве случаев после получения административного доступа на хост заливается пачка шеллов, поэтому простое восстановление из бэкапов (с перезаписью старых файлов) и смена паролей проблемы не решает - продолжают лазить через шелл. В этом случае после закрытия дыры можно порекомендовать (один из... но самый быстрый и надёжный вариант) полный снос на хосте всего и вся "под ноль" и потом восстановить заново из чистых бэкапов (если они есть).

[BaNaN]

Пароль не небось был как в старом фильме "Хакеры" - GOD =)

Небось инъекциями они выловили из базы MD5 hash пароля админа, который по-любому не сложный а потом http://www.md5.rednoize.com/ и делов.

Вывод: делайте пароли которые хотя бы отвечают политики безопасности AD в WinSRV по умолчанию

[omen98]

Пароль не небось был как в старом фильме "Хакеры" - GOD =)

Небось инъекциями они выловили из базы MD5 hash пароля админа, который по-любому не сложный а потом http://www.md5.rednoize.com/ и делов.

Вывод: делайте пароли которые хотя бы отвечают политики безопасности AD в WinSRV по умолчанию

парол был 7буквов+4 цифери. -на том сайте что вы указали хэш не обращается для него
Сейчас 14значный с разными регистрами цифробуквами и знаками. Сам с 5 раза набираю

Если уверен, что был применён именно такой способ взлома, советую ограничить доступ к админке по IP (через .htaccess). И есть немалые шансы, что это было только начало - в большинстве случаев после получения административного доступа на хост заливается пачка шеллов, поэтому простое восстановление из бэкапов (с перезаписью старых файлов) и смена паролей проблемы не решает - продолжают лазить через шелл. В этом случае после закрытия дыры можно порекомендовать (один из... но самый быстрый и надёжный вариант) полный снос на хосте всего и вся "под ноль" и потом восстановить заново из чистых бэкапов (если они есть).

First007 предложил переезд на его хост, за что ему огромное спасибо. Скорее всего будем переезжать.
А как понять чистый бэкам или нет? я так понимаю сайты ломаются, ломаются незаметно для владельца, собираются пароли, логины, а потом бац - в один день и все ложат, так? Или они прям в одну ночь так резво подобрали все пароли? Бэкап за 14 число есть

[Walking Past]

А как понять чистый бэкам или нет?

Наверняка это может знать только разработчик. Если есть полная копия всех файлов и БД на момент запуска сайта, вероятно она будет "чистая" от всякой пакости.

я так понимаю сайты ломаются, ломаются незаметно для владельца, собираются пароли, логины, а потом бац - в один день и все ложат, так?

Брутфорс (подбор пароля "грубой силой") это вариант возможный, но один из самых редких. Атака "по словарю" (т.е. перебираются самые употребительные пароли - 12345, love etc. а потом и все слова из словаря) шансов на взлом даёт больше, но тоже в жизни встречается нечасто. В ходу методы "социальной инженерии", когда админа "разводят" и он сам сдаёт пароль. Могут взломать почту, а затем, используя механизмы восстановления пароля, получить админскую почту и с ней доступ к сайту. Но это всё бывает относительно нечасто. Самые частые варианты - php-инклудинг (дыра в скрипте, позволяющая "вставить" кусок "вражеского кода"), SQL-инъекция (как выше написано, позволяет получить хеш пароля и потом вскрыть его на локальной машине, или вообще напрямую заменить хеш админского пароля на нужный хакеру), кража FTP-пароля трояном (для тех, кто ленится набирать пароль каждый раз и сохраняет в FTP-клиентах) и использование на сайте вареза. Варезные коммерческие модули, компоненты и шаблоны, которые "добрячки" раздают всем желающим, во многих случаях сразу же имеют встроенный backdoor (тогда, отвечая на первый вопрос, "чистый бекап" отсутствует изначально - сайт никогда "чистым" не был). Описанное здесь - лишь верхушка айсберга, т.к. сломать могли вообще другой сайт на том же (или даже другом) аккаунте shared-хостинга или вообще ОС сервера и (при низком уровне безопасности) гадить оттуда. В частности, относительно недавно были проблемы с безопасностью SSH на CentOS и RHEL.