Поиск источника спама в Joomla

Question

Итак, я только начал работать с новым сайтом Joomla, и что-то, что мы добавили, начало захватывать различные части сайта и добавлять ссылки в разные места, которые нам не нужны.К сожалению, я не могу сейчас дать ссылку на живой сайт, но могу описать проблемы:

• В нижнем колонтитуле, где должно быть написано «Designed By:» иназвание места, из которого мы получили наш шаблон, оно оставляет «Designed By:», но удаляет имя автора шаблона и вместо этого вставляет две ссылки (не давая угонщикам больше хитов, но вот их текст),"online album" и "check whois"

• Когда мы наводим курсор на имя сайта, для альтернативного текста устанавливается значение «Forex Trading Home», что, безусловно, не то, что должно быть.

• Наконец, когда вы наводите курсор мыши на элемент «Домой» в главном меню, после небольшой задержки появляется выпадающий список со ссылкой на «хостинг реселлера cpanel».

Теперь я хотел бы избавиться от этих рекламных объявлений, но я понятия не имею, откуда они берутся.Если вы, ребята, знаете какие-то часто угоняемые файлы, в которых я могу искать, или хорошие приемы отладки, чтобы найти их (я пробовал FirePHP, но не добился большого успеха), я был бы очень благодарен.К сожалению, так как несколько человек работали над сайтом одновременно, мы не совсем уверены, какие расширения могли вызвать его (если это на самом деле проблема) - но все они казались нормальными и пришли из основного Joomlaсайт расширения.

---

РЕДАКТИРОВАТЬ:

Вот список известных мне модулей, которые были установлены до того, как мы заметили, что начинаются проблемы со спамом:

• EasyTemplate .

  • EasyTemplate - MultiPlugin

• mod_picasaslideshow

• Содержимое - встраивание альбома Picasa

Кроме этого, все остальное было установлено после возникновения проблем или былотема, которая с тех пор была удалена (и, следовательно, я не знаю, что это больше).Тема, которая сейчас обсуждается, я подробно рассмотрел, но это версия The Martial Arts Theme с множеством измененных изображений (и одним изменением в php с .gif на .png)

---

РЕДАКТИРОВАТЬ РЕДАКТИРОВАТЬ: Итак, по-прежнему выглядит, но, кажется, старая версия picasa2gallery (у нас была новая версия, но мы ее удалили), имела уязвимость LFI.Возможно, это был источник.В любом случае, я думаю, что я сделаю полную очистку, и просто начну сначала, на самом деле.

Answer 1

Итак, получается, что правильным ответом было «ничего из вышеперечисленного», не то, чтобы я заметил, что до тех пор, пока не сотру все, чтобы убрать взлом.

Как только я восстановил тему и ничего больше, я заметил, что спам-ссылки "взломать" вернулись, слишком быстро, чтобы быть даже автоматическим сценарием.

Именно тогда я обнаружил, что в каталоге images был файл .gif, в котором содержался «плохой» PHP-код для включения спам-ссылок. По иронии судьбы, код, который они использовали, чтобы сделать его, был особенно плох, поэтому, по крайней мере, я долго смеялся над этим долгим испытанием.

Мораль истории: не получайте темы от ThemZa, и, если вы это сделаете, будьте готовы копаться в них для кучи, если вам нравится их внешний вид.

Answer 2

Ваша полная установка Joomla, похоже, взломана, следуйте инструкциям, что вы должны сделать сейчас (переустановка и защита)

Answer 3

Если вы не можете точно идентифицировать и исправить отверстие, через которое они прорвались, вероятно, переустановка, которую рекомендует Тобиас П., является единственным безопасным способом. Если у кого-то есть доступ к файлам на этом уровне, у вас большая проблема. Вам нужно будет определить, каким образом они приходят. У этого может быть множество причин:

• Кто-то использует дыру в безопасности Joomla (или одну в плагине)

• Кто-то получил доступ к учетной записи FTP через шпионаж на клиентском компьютере

• Кто-то использует слабость в серверном программном обеспечении

Скорее всего, это кто-то, кто использует дыру в Joomla, и нет причин для паники. Но вы определенно должны это выяснить или сделать переустановку. Может быть, вы найдете более конкретную помощь на форумах Joomla или с вашим провайдером.

Пока вы это делаете, лучше всего также смените все пароли FTP, просто чтобы убедиться.

Хорошее чтение в Google: Мой сайт взломан - что теперь?

Answer 4

Проверьте журналы доступа к серверу. Скорее всего, вы увидите доступ к определенному компоненту (ищите com_ * в URI), который является чрезмерным или просто неуместным.

Когда это произошло с моими сайтами, это был особый компонент, который угонщики ищут в Google (т.е. com_virtuemart был последним преступником), а затем они пытаются использовать этот компонент в надежде, что это ошибочная версия.