Хоть все (форум, портал, я в блоге) и кричали о том что нужно обновиться и срочно, многие, к сожалению, вовремя этого не сделали. Надоело отвечать на joomlaforum.ru одно и тоже в каждой теме, поэтому решил расписать всё один раз в статье.

Под катом будет подробная инструкция, как нужно лечить сайт.

 Итак, начнем. Если вы еще не обновили до 3.4.8 (или хотя бы 3.4.6) или обновили, но слишком поздно - очень велика вероятность что вас взломали.

Немного практики взломов.

Обычно, после успешной атаки заливается shell, причем не один, а несколько, чаще даже десятки.

Распределяют их по разным папкам - могут и во временные, и в дебри движка, и в папки модулей и плагинов - часто на 3-4-5 уровень вложенности относительно корня, так, чтобы они были максимально незаметны.

Иногда также встраивают код шелла в различные файлы самого движка, модифицируя их.

После внедрения шеллов - к вашему сайту имеют доступ, бывает так, что доступ имеет не одна команда взломщиков, а сразу много - новоиспеченные хакеры не меняют параметров входа в шеллы и другие хакеры, сканируя сайты на предмет уже установленных шеллов могут получить к ним такой же доступ.

Что же такое шелл?

Не буду приводить примеры шеллов и уж тем более кода, но кратенько опишу что это такое.

Все наверно работали с сайтами через панель управления хостинга - ISPManager, Cpanel или другие, они позволяют делать очень многое.

Так вот — современный шелл позволяет делать почти всё тоже самое, только быстрее и удобнее.

Что обычно делают со взломанным сайтом?

А много чего могут сделать на самом деле, у кого насколько богата фантазия ))

Впрочем, сайты, хранящие номера банковских карт или счетов в банках обычно на Joomla не делают, поэтому пакостят чуть меньше.

Могут залить дорвей - внутри сайта будут странички, которые рекламируют что-то, например виагру или недвижку или еще что-то.

Далее - заражение скриптов, что позволяет крутить навязчивую рекламу, часто с вирусами.

В России довольно популярно было встраивание кода сапы или других ссылочных бирж, но это бывает когда сайт ненулевой по показателям, да и сдуваются ссылочные биржи после Минусинска.

Еще вариант - мобильный редирект, то есть сайт работает как ни в чём не бывало, но если на него зайдет посетитель с мобильника и\или с интернетом через сотовую сеть, то его перенаправит на сайт с вирусами под андроид или платными подписками.

Еще есть вариант что исламские или другие радикальные товарищи вывесят нехороший баннер.

А, чуть не забыл - классический вариант - это спам с сайта + использование сервера для дидос и других видов атак.

Чем грозит взломанный сайт

Чаще всего - санкциями в поисковиках, если обнаружить и вылечить быстренько (речь про часы, максимум 1-2 дня), то поисковик может и не заметить.

Если заметит - как минимум поставит в выдаче предупреждение и попасть на сайт будет затруднительно.

Но это еще полбеды, если сайт заражается часто или надолго, то можно схлопотать неслабое понижение позиций, а значит и посещаемости и процесс их восстановления займет от недель до месяцев.

Кроме того, если сайт достаточно известный - это репутационные риски - потеря доверия пользователей и плохие отзывы.

Все риски выше - это финансовые потери, как моментальные, так и долгосрочные, сколько именно - зависит от сайта.

 

Но есть (хоть и очень небольшой) риск попасть под уголовное преследование — за рассылку спама (хотя это пока вроде административка), как свидетель\соучастник атаки на банк или учреждение или даже за пропаганду запрещенных организаций или веществ.

Конечно, такой риск невелик, но это пока. В любом случае не стоит плевать на сайт с вирусами - не можете поддерживать сайт - удалите его, а домен разделегируйте. 

Как лечить сайт.

скоро допишу... сегодня\завтра

 

Комментарии   

Administrator
0 #7 Administrator 25.03.2016 02:08
Цитирую Михаил:
Ок жду. у меня почти 120 сайтов из них 90 на джумле разных версий ) так что мне это важно поэтому и жду информации.

В любом случае это будет инструкция, постараюсь конечно максимально полно, но инструкция как выявлять, не дающая гарантий :-)
Впрочем сильно увеличивающая шансы, да )
Михаил
0 #6 Михаил 25.03.2016 01:37
Ок жду. у меня почти 120 сайтов из них 90 на джумле разных версий ) так что мне это важно поэтому и жду информации.
Administrator
0 #5 Administrator 24.03.2016 23:21
Цитирую Михаил:
Короче, я обновил php пропатчил сайты и почистился от вирусов ай болитом на этом моя процедура защиты была закончена.

Да, это важная часть. Проблема в том что айболит видит не всё.
То есть это мера необходимая, но не всегда достаточная.
Насчет статьи брался - но довольно тяжело формализировать немало тонкостей, впрочем все таки в ближайщее время напиш, пусть хоть частично
Михаил
0 #4 Михаил 24.03.2016 01:32
Короче, я обновил php пропатчил сайты и почистился от вирусов ай болитом на этом моя процедура защиты была закончена.
Михаил
+1 #3 Михаил 11.03.2016 19:46
Прошло еще почти полтора месяца а так и не дописали (
Михаил
+1 #2 Михаил 02.02.2016 07:35
Действительно так и не дописали ) уже пол месяца прошло ) сижу жду заветных исцеляющих сайты слов )
admin1
0 #1 admin1 16.01.2016 10:57
самое интересное так и не описали))

Добавить комментарий


Защитный код
Обновить

Последние комментарии

  • Hi, I do think this is a great blog. I stumbledupon it ;) I'm going to return once again since I book ...

    Подробнее...

     
  • В любом случае это будет инструкция, постараюсь конечно максимально полно, но инструкция как выявлять ...

    Подробнее...

     
  • Ок жду. у меня почти 120 сайтов из них 90 на джумле разных версий ) так что мне это важно поэтому ...

    Подробнее...

     
  • Да, это важная часть. Проблема в том что айболит видит не всё. То есть это мера необходимая, но ...

    Подробнее...

     
  • Короче, я обновил php пропатчил сайты и почистился от вирусов ай болитом на этом моя процедура защиты ...

    Подробнее...

Вы смотрели