Если уже взломали сайт на Joomla - как лечить?

Хоть все (форум, портал, я в блоге) и кричали о том что нужно обновиться и срочно, многие, к сожалению, вовремя этого не сделали. Надоело отвечать на joomlaforum.ru одно и тоже в каждой теме, поэтому решил расписать всё один раз в статье.

Под катом будет подробная инструкция, как нужно лечить сайт.

 Итак, начнем. Если вы еще не обновили до 3.4.8 (или хотя бы 3.4.6) или обновили, но слишком поздно - очень велика вероятность что вас взломали.

Немного практики взломов.

Обычно, после успешной атаки заливается shell, причем не один, а несколько, чаще даже десятки.

Распределяют их по разным папкам - могут и во временные, и в дебри движка, и в папки модулей и плагинов - часто на 3-4-5 уровень вложенности относительно корня, так, чтобы они были максимально незаметны.

Иногда также встраивают код шелла в различные файлы самого движка, модифицируя их.

После внедрения шеллов - к вашему сайту имеют доступ, бывает так, что доступ имеет не одна команда взломщиков, а сразу много - новоиспеченные хакеры не меняют параметров входа в шеллы и другие хакеры, сканируя сайты на предмет уже установленных шеллов могут получить к ним такой же доступ.

Что же такое шелл?

Не буду приводить примеры шеллов и уж тем более кода, но кратенько опишу что это такое.

Все наверно работали с сайтами через панель управления хостинга - ISPManager, Cpanel или другие, они позволяют делать очень многое.

Так вот — современный шелл позволяет делать почти всё тоже самое, только быстрее и удобнее.

Что обычно делают со взломанным сайтом?

А много чего могут сделать на самом деле, у кого насколько богата фантазия ))

Впрочем, сайты, хранящие номера банковских карт или счетов в банках обычно на Joomla не делают, поэтому пакостят чуть меньше.

Могут залить дорвей - внутри сайта будут странички, которые рекламируют что-то, например виагру или недвижку или еще что-то.

Далее - заражение скриптов, что позволяет крутить навязчивую рекламу, часто с вирусами.

В России довольно популярно было встраивание кода сапы или других ссылочных бирж, но это бывает когда сайт ненулевой по показателям, да и сдуваются ссылочные биржи после Минусинска.

Еще вариант - мобильный редирект, то есть сайт работает как ни в чём не бывало, но если на него зайдет посетитель с мобильника и\или с интернетом через сотовую сеть, то его перенаправит на сайт с вирусами под андроид или платными подписками.

Еще есть вариант что исламские или другие радикальные товарищи вывесят нехороший баннер.

А, чуть не забыл - классический вариант - это спам с сайта + использование сервера для дидос и других видов атак.

Чем грозит взломанный сайт

Чаще всего - санкциями в поисковиках, если обнаружить и вылечить быстренько (речь про часы, максимум 1-2 дня), то поисковик может и не заметить.

Если заметит - как минимум поставит в выдаче предупреждение и попасть на сайт будет затруднительно.

Но это еще полбеды, если сайт заражается часто или надолго, то можно схлопотать неслабое понижение позиций, а значит и посещаемости и процесс их восстановления займет от недель до месяцев.

Кроме того, если сайт достаточно известный - это репутационные риски - потеря доверия пользователей и плохие отзывы.

Все риски выше - это финансовые потери, как моментальные, так и долгосрочные, сколько именно - зависит от сайта.

Но есть (хоть и очень небольшой) риск попасть под уголовное преследование — за рассылку спама (хотя это пока вроде административка), как свидетель\соучастник атаки на банк или учреждение или даже за пропаганду запрещенных организаций или веществ.

Конечно, такой риск невелик, но это пока. В любом случае не стоит плевать на сайт с вирусами - не можете поддерживать сайт - удалите его, а домен разделегируйте. 

Как лечить сайт.

скоро допишу... сегодня\завтра