HACKED BY XYZ

Здравствуйте уважаемые гуру.
У меня есть 2 сайта на Joomla, лежат на Бест-Хостере.
С июля прошлого года, когда я боролся со спамом и почистил все от вирусов,
работали без проблем. А за последние 3 дня пришло 3 сообщения по почте
Что-то про SSL на английском. Вот перевод основной части последнего из них:

[veteranzgr.ru] almazsoft.veteranzgr.ru: Обновление сертификата AutoSSL
может привести к сокращению охвата на 2018-05-24 в 00:00:00 UTC
"cPanel on veteranzgr.ru"
Кому: mai45@mail.ru

almazsoft.veteranzgr.ru: Обновление сертификата AutoSSL может привести
к снижению покрытия с 2018-05-21 в 00:00:00 UTC

Поставщик AutoSSL «cPanel» не смог обновить сертификат SSL без снижения
охвата из-за следующих проблем:
 webdisk.almazsoft.ru [Last AutoSSL Run at "2018-02-25 в 01:00:12 UTC"]
Система запросила временный файл на странице
«http://webdisk.almazsoft.ru/.well-known/pki-validation/6C9D9B7CC5CAEE2294DCBBA337822193.txt»,
но веб-сервер ответил со следующей ошибкой: 404 (не найдено).
Может существовать DNS (система имен доменов) или
неправильная конфигурация веб-сервера.
 almazsoft.ru [Last AutoSSL Run at "2018-02-26 в 01:00:33 UTC"]
Содержимое «HACKED BY XYZ» файла DCV (проверка контроля домена),
доступ к которому осуществляется по адресу
«http://almazsoft.ru/.well-known/pki-validation/11A1EA318C657B38C22B555BC47D5A2B.txt»,
не соответствует ожидаемому значению.
Домен «almazsoft.ru» разрешил IP-адрес «91.219.193.53»,
который не существует на этом сервере.

Для наиболее текущего состояния перейдите к интерфейсу «SSL / TLS Status».
Вы также можете исключить домены от будущих попыток возобновления,
которые прекратят будущие уведомления.
Вы можете исправить эти проблемы в течение 3 дней с даты истечения
срока действия сертификата (2018-05-24 в 00:00:00 UTC)
или предпринять другие действия. Если вы этого не сделаете,
этот сертификат будет автоматически обновляться без этих доменов.
В следующий раз, когда поставщик «cPanel» AutoSSL попытается
обновить сертификат SSL, система попытается добавить в этот сертификат
следующие домены:
cpanel.almazsoft.ru
webmail.almazsoft.ru
Сертификат, установленный на этом веб-сайте, содержит следующие свойства:
Срок действия:
2018-05-24 в 00:00:00 UTC
Имена домена:
almazsoft.ru
almazsoft.veteranzgr.ru
mail.almazsoft.ru
webdisk.almazsoft.ru
www.almazsoft.ru
www.almazsoft.veteranzgr.ru
Сертификационный центр cPanel, Inc.
Система сформировала это уведомление в 2018-02-26 в 01:00:33 UTC.
Вы можете отключить тип Решения «AutoSSL :: CertificateRenewalCoverage»
в интерфейсе cPanel:

Я извиняюсь за длинный текст, но без него, думаю, проблему не понять.
Пишу в техподдержку (лишнее убрал)
Не открывается мой сайт almazsoft.ru (изменить)
Выдается пустой экран с текстом "«HACKED BY XYZ"
Как мне восстановить сайт?

Ответ: Евгений 25-02-2018 10:05:27
Приветствую, Борис!
Чтобы в дальнейшем выполнение вредоносных скриптов не повторялось
от Вас необходимо:
- произвести полный аудит выполнения кода (скриптов)
всего аккаунта на наличие основных типов уязвимостей и устранить их
› SQL инъекции
› PHP инъекции
› CRLF инъекции
› Инъекции в LDAP
› Remote File Include (RFI) - включение удаленного файла
› Local File Include (LFI) - включение локального файла
› XSS - межсайтовый скриптинг
› CSRF - подделка межсайтовых запросов
› File Upload - возможность загрузки произвольных файлов на сервер
› Обход авторизации административной панели сайта
› Information Leakage - утечки информации
› Прочие ошибки выполнения скриптов

- обновить все CMS и модули, удалить/отключить не используемые
- защитить административные части CMS доп. плагинами,
сменить адреса на не стандартные
- проверить аккаунт cPanel на вирусы встроенным антивирусом
- сменить пароль от cPanel на более сложный
- проверить локальные машины, с которых идет работа с аккаунтом на вирусы.

- рекомендуем использовать многофункциональный сканер https://revisium.com/ai/ в параноидальном режиме (php ai-bolit.php --mode=2), а также после чистки веб сканер https://rescan.pro/?utm=aibolit
- в случае необходимости обратиться для этого к сторонним специалистам

Ответ стандартный. Именно такой давали полгода назад для борьбы со спамом.
Для меня, поскольку я не спец в сайтостроении,
все это практически птичья грамота.
Поэтому я решил просто восстановиться с копии, сделанной
полгода назад после успешной борьбы со спамом.
Тем более, что изменений сайтов почти не было.

Я: Вчера обновил корневой каталог сайта с проверенной чистой копии. Заработало. Заменил пароли на более сложные.
Однако утром опять получил такое же уведомление.
Мне сложно понять, в чем тут дело. Я не специалист в этих вопросах.

Я так понял, что этот XYZ сразу же после моего обновления
заменил (возможно следил за сайтом в автоматическом режиме)
какой-то сертификат на «HACKED BY XYZ»
Получается, что все мои действия бесполезны,
ведь сертификаты на CPanel устанавливаете вы.
Вы специалисты в этих вещах.
Объясните мне пожалуйста, как решить эту проблему?
Чем она мне грозит?
(А похоже, грозит.
Вчера не смог внести изменения в одну из страниц сайта в админке.
Открываю ее, а админка пишет Ошибка 404. Страница не найдена.
Прошу не ограничиваться двумя словами в ответе.
Уточнение.
В админке сайта не открывается ни одна страница для внесения изменений.
Ошибка HTTP 500
Странно... Веб-сайт не может отобразить эту страницу
На этом сайте, возможно, проводятся работы по обслуживанию или возникла ошибка программирования.

Ответ: Владимир 26-02-2018 10:25:01
Версию php надо выбрать в Multiphp Manager в cpanel нужную для сайта.
И нужен детальный аудит, а не копия старая.

Я:Копия старая сделана как раз после детального аудита.
Зачем вдруг выбирать версию php, если раньше все работало?
Утром у меня хотя бы открывались и админки и сами сайты
almazsoft.ru и veteranzgr.ru, а сейчас вообще все перестало открываться.
Что творится с вашим хостингом?

Владимир 26-02-2018 10:55:41
На сервере есть некоторые проблемы, мы занимаемся решением,
но к Вашему взлому они не имеют отношения.

Я: А мне то как быть?

Ответ: Владимир 26-02-2018 11:47:26
Работает над решением проблемы, но сайты уже должны открываться.
P.S. проводите аудит в любом случае.

Сайты действительно стали открываться, но страницы в админке не открываются:
Ошибка HTTP 500
Странно... Веб-сайт не может отобразить эту страницу
На этом сайте, возможно, проводятся работы по обслуживанию
или возникла ошибка программирования

Уважаемые гуру. Можете посоветовать, как мне восстановить файлы?
Если я снова восстановлюсь с той же копии, то сайт опять сразу же хакнут.
проводите аудит в любом случае - Зачем, если копия чистая?
Зачем выбирать версию php, если раньше все работало?
Почему админки не работают?

Смотрите также

Ответы

Значит копии не были чистыми, где-то осталась дырка (в плагинах или самой Joomla, если версия древняя), по другому не объяснить.

Вариантов не так много. Можно искать дыру, через которую ломают ваш сайт. Можно переустановить Joomla на последнюю версию и перенести весь контент, если сайт не очень большой (в плане плагинов, модификаций кода и т.п)

Найми админа, раз сам не фурычишь. Если скрипт не самописный, то надо обновлять, иначе так и будут ломать.

Если сайт не большой не пользуйся этими конструкторами, сделай на adobe muse и забудь о всяких инъекциях, вон мне тоже такое приходило, и ваообще пофигу у меня странице на html )))

Добрый вечер.

Вам нужно просканировать сайты антивирусом от Revisium - Ai-bolit - он Вам покажет где есть проблемы. Так же можете заказать услугу платного лечения сайта:

https://well-web.net/clean-site

С уважением,
Well-Web.net

joomla тут непричом, меняй хостера, джумлу обнявляи и php уже нада исползовать от 7.х...
удачи. какие плагини там? обновляий или провер по базам и удаляи. постав RSfirewall!

Отправить комментарий

Если вы укажете номера тикетов или имя пользователя, отзыв будет выглядеть убедительнее, а провайдеру будет проще разобраться с вашей проблемой

Подробнее о форматировании

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.
5 + 7 17 + 8 плюс 3 0