[Help] Взломали сайт

[konishoa]

Привет всем. Думал такого быть никогда не может. Но взломали сайт. =(((
В общем в админке Джумлы, любая кнопка ведёт на сайт

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

Вопрос: ЧТО ДЕЛАТЬ? Я в панике =) но держу еще всё под контролем.
Создал тикет к хостеру...

 

[CrashX]

1 слей текущий сайт
2 залей бекап где все работало, без базы
3 ищи в логах кто откуда и что делал и смотри в исходники текущего сайта

 

[mr-graffity]

1. Посмотри логи откуда залезли.
2. Обнови весь софт у себя на хосте
3. Проверь се учетные записи на своем сайте
4. Проверь на наличие залитых шеллов на твой хост
5. Проверь свой комп на котором работаешь на наличие ботов, т.к. оч часто пароли утекаю через грабберы форм браузера, например при помоще бота zeus и т.д
6. смени все пароли на доступ к твоему хосту и пароли на доступ учеткам на сайте
7. Смени пароль на доступ к регистратору домена, и проверь все ли там там нормально настроено, не приклеили ли домен к другому ns серверу.
8. На паследок смени пароли от почтовых аккаунтов, т.к. через них можно восстановить пароли на доступ к чему угодно.

Все пункты выполнишь будет тебе счастье и спокойствие!

 

[konishoa]

Спасибо за советы. Теперь вопрос:
1.Где смотреть логи?
2.Предполагаю, что люди сделали какой-то sql запрос, который поменял мой адрес на этот

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

посмотрел только что этот сайт - он реально безсмысленный дорвей, правда никуда не ведёт. Второй сайт, который на этом же хостинге ломанули аналогично =(. Бекапов у меня нет. Но может не всё так печально: если в базе взять и поменять обратно их адрес на мой, то всё будет как и раньше, а потом сделать движения описанные вами выше? Это сработает?
АПДЕЙТ
Всё понял, ребята, извините, что побеспокоил =) Оказывается есть такой компонент jsitemaper я его использую для построения карты сайта, сейчас он реально не работает и создаёт проблему, описанную выше. Тему можно снесни, а в теме jsitemaperа я еще отпишусь. Спасибо за советы. Они не были лишними! Сегодня же сделаю бекап =)))

 

[CrashX]

проблема не в базе а в админке скорее всего, хотя это ж жумла...
если двиг стандартный без модулей то залей такюже версию админки предварительно скопировав старую.

после смени везде пасы, на сайт, базу, панель и тп

 

[vounce]

смотри в база кто заходил заново ставь сайт бэкапы делай

 

[valrom]

Создай файл .htaccess, пропиши там доступ по IP и закинь в папку administrator. Просто, но быстро пока

 

[mr-graffity]

Спасибо за советы. Теперь вопрос:
1.Где смотреть логи?
2.Предполагаю, что люди сделали какой-то sql запрос, который поменял мой адрес на этот *** скрытое содержание *** посмотрел только что этот сайт - он реально безсмысленный дорвей, правда никуда не ведёт. Второй сайт, который на этом же хостинге ломанули аналогично =(. Бекапов у меня нет. Но может не всё так печально: если в базе взять и поменять обратно их адрес на мой, то всё будет как и раньше, а потом сделать движения описанные вами выше? Это сработает?
АПДЕЙТ
Всё понял, ребята, извините, что побеспокоил =) Оказывается есть такой компонент jsitemaper я его использую для построения карты сайта, сейчас он реально не работает и создаёт проблему, описанную выше. Тему можно снесни, а в теме jsitemaperа я еще отпишусь. Спасибо за советы. Они не были лишними! Сегодня же сделаю бекап =)))

Кстати по поводу бэкапов, твой хостер наверняка за тебя бэкапит твой сайт, в админ панели хостинга псмотри, у вот например бэкапится каждый день на спайсвебе

 

[bork75]

О какой версии joomla идёт речь?
Судя по сайту, на который ведут ссылки, возможно, это был не взлом,
а какой-нибудь подправленный модуль или плагин от этих ребят.
Скачай весь сайт на рабочий стол и через total commander поищи эти ссылки в файлах.