HACKED BY HATRK (Volcano Hacker) обращение к хакеру

В один прекрасный вместо своего сайта видите  жуткую картинку в черных тонах с арабскими символами и непривычной музыкой: HACKED BY HATRK или Volcano Hacker гласит надпись. Вот! Пришел тот час. Ваш сайт на CMS Joomla взломали!

Видя арабские символы сразу возникает вопрос - "Что нужно арабским хакерам на просторах СНГ?" При более глубоком анализе под ширмой ссылок на арабские ресурсы, возможно, мы видем хакеров из России! Иначе зачем арабам пользоваться irc ресурсами dalnet: irc.dalnet.ru по 6667 порту. Irc-сети могут использоваться для раздачи команд по бот-нету.

Чем они пользуются? В нашем случае было использовано ПО C99madShell v. 2.0 которое было подгружено на сайт используя уязвимости CMS Joomla 1.5.x (либо измененные файлы  шаблонов, которых пруд пруди на просторах интернета)

Краткая справка:

c99madshell - Web shell
Web shell - система управления сервером через веб интерфейс имеет следующие возможности:
Браузер и редактор файлов 
SQL клиент
командную строку
работа с буфером
Менеджер процессов
Базовая оценка безопасности сервера
Работа в SafeMode
совместим со всеми операционными системами
Защита паролем
множество других полезных функций

Выглядит так:

После атаки у Вас изменен администраторский пароль, администраторский e-mail, подменены файлы index.php, уставлен атипичный  chmod.

Первые действия после атаки хакеров:

1. Восстанавливаем работоспособность сайта путем восстанавливая из бэкапа.

2. Закрываем папки аля /administrator паролями. (Возможно сделать из панели управления хостингом)

3. Устанавливаем плагин jSecure Authentication (был взломан сайт без этого плагина)

4. Меняем пароли.

5. А теперь найти бы дырку в джумле! У каждого она может быть разной!

6. Никогда не сохраняем пароли в Total Commander, IE, Opera и т.п.