В один прекрасный вместо своего сайта видите жуткую картинку в черных тонах с арабскими символами и непривычной музыкой: HACKED BY HATRK или Volcano Hacker гласит надпись. Вот! Пришел тот час. Ваш сайт на CMS Joomla взломали!
Видя арабские символы сразу возникает вопрос - "Что нужно арабским хакерам на просторах СНГ?" При более глубоком анализе под ширмой ссылок на арабские ресурсы, возможно, мы видем хакеров из России! Иначе зачем арабам пользоваться irc ресурсами dalnet: irc.dalnet.ru по 6667 порту. Irc-сети могут использоваться для раздачи команд по бот-нету.
Чем они пользуются? В нашем случае было использовано ПО C99madShell v. 2.0 которое было подгружено на сайт используя уязвимости CMS Joomla 1.5.x (либо измененные файлы шаблонов, которых пруд пруди на просторах интернета)
Краткая справка:
c99madshell - Web shell
Web shell - система управления сервером через веб интерфейс имеет следующие возможности:
Браузер и редактор файлов
SQL клиент
командную строку
работа с буфером
Менеджер процессов
Базовая оценка безопасности сервера
Работа в SafeMode
совместим со всеми операционными системами
Защита паролем
множество других полезных функций
Выглядит так:
После атаки у Вас изменен администраторский пароль, администраторский e-mail, подменены файлы index.php, уставлен атипичный chmod.
Первые действия после атаки хакеров:
1. Восстанавливаем работоспособность сайта путем восстанавливая из бэкапа.
2. Закрываем папки аля /administrator паролями. (Возможно сделать из панели управления хостингом)
3. Устанавливаем плагин jSecure Authentication (был взломан сайт без этого плагина)
4. Меняем пароли.
5. А теперь найти бы дырку в джумле! У каждого она может быть разной!
6. Никогда не сохраняем пароли в Total Commander, IE, Opera и т.п.