Взломали сайт. Что делать?

Пришло письмо "Здравствуйте,

был сделан запрос на сброс пароля вашей учетной записи Профи. Для сброса вашего пароля, Вам необходимо подтвердить символ, для подтверждения прав на запрос.

Символ - 7d554ac599e5d9cb1f4f76bee6084b30.

Нажмите на ссылку ниже, для ввода символа и перехода к сбросу вашего пароля."
пришло уже не в 1 раз раньше игнорировала, но сегодня нажала и оказалось что это хакерская отака и теперь высвечивается одна картинка. Что делать?

Что за CMS? Что за версия?

Это джумла 1.5.15

nikerina, а сайт удалили? или просто эту картинку забабахали? надо все восстановить и никуда больше не нажимать ))

Я посмотрела вроде как все на месте, а что делать не знаю.

Это не хакерская атака, а тупо прислали письмо с ссылкой, которые кликать НЕЛЬЗЯ
в админку входит? если да, то смотрите конфиг, может сайт просто "закрыт на обслуживание" с заменой страницы "сайт на ремонте"

В админку джумлы не входит. та же страница.

Неужели кто-то до сих пор жмет всякие левые ссылки в письмах от добрых дядей?)) Эх, не переведутся лохи на землях русских

1) Посмотреть htaccess, возможно, там перенаправление на эту страницу.
2) Если ничего не помогает, а времени нет. тупо откатить бекап на дату, предшествующую проблеме.

И сменить пароли, в т.ч. на фтп, не забыть.
Но потом все равно желательно найти причину.

Crist,Полностью с вами согласна...знала же что в чем то здесь подвох. просто админы другие люди и подумала что это они мне так настойчиво письма шлют.

Цитата ("nikerina"):

Это джумла 1.5.15

Так ей походу уже пару лет, да? Без обновления можно возвращать все назад сколько угодно долго. Видимо есть какая-то уязвимость, которую массово эксплуатируют. Вероятнее всего атака была не конкретно на ваш сайт, а на все сайты подверженные этой уязвимости (все не обновленные). В результате везде вот такое чудо.
Это одна из прелестей распространенных CMS.


Цитата:

что делать?

Восстановить из бэкапа и обновиться.

Странно это как-то, очень странно. Вот посудите сами, приходит к Вам письмо со ссылкой, Вы на нее нажимаете, в результате ломается Ваш сайт. А если бы это письмо пришло ко мне и я бы нажал эту же ссылку, что тогда? Все равно бы Ваш сайт сломался? Или сломался бы мой? Если мой, то какой из...? Может быть Вы собщите URL вашего сайта (можно в приватных сообщениях), я гляну - просто, чтобы убедиться, что там действительно что-то сломано. Ну и уж если сломано, то тогда и решать, что делать дальше. С Вашего компьютера, по FTP на сайт пока лучше не заходить, пароли не вводить - это на всякий случай, если Вам какой-либо keylogger поставили.

Цитата ("Illarion_SA"):

Вы на нее нажимаете, в результате ломается Ваш сайт

Строго говоря, еще нельзя однозначно утверждать, что межу этими вещами есть причинно-следственная связь. Ведь сайт же не мониторился постоянно; после перехода по ссылке обнаружилась проблема, но неизвестно точно, что на не появилась еще до прихода письма. А генерация писем - это побочный эффект от процедуры взлома. Вот например, так

Кстати, не похоже? ссылка

Цитата ("Vlad_06"):

...Кстати, не похоже? ]http://joomla-support.ru/archive/index.php/t-20340.html

Спасибо, посмотрел ссылочку, в основном там, конечно, поток сознания, но кое-что интересное есть. Интересно было бы взглянуть на текст этого "письма счастья", только в исходном тексте и со всеми заголовками. Можно было-бы тогда установить вектор атаки. nikerina, может быть у Вас то письмишко сохранилось? Как-бы взглянуть на него в исходном виде (неразглашение всего на свете я Вам, разумеется, гарантирую).

Наймите админа чтобы разобрался что там куда сломалось и т.д.

Обычный deface, проверяйте файлы самой cms
см ссылка && ссылка

Illarion_SA письмо не содержало никаких ценных сведений

Здравствуйте,

был сделан запрос на сброс пароля вашей учетной записи Профи. Для сброса вашего пароля, Вам необходимо подтвердить символ, для подтверждения прав на запрос.

Символ - 7d554ac599e5d9cb1f4f76bee6084b30.

Нажмите на ссылку ниже, для ввода символа и перехода к сбросу вашего пароля.

http:/ /www.profu 5.ru/ index.php? option=com_user& view=reset& layout=confirm

Спасибо.

а потом еще и на английском языке)
7d554ac599e5d9cb1f4f76bee6084b30 - символы соотвественнно никуда вводить не пришлось.

Цитата ("nikerina"):

Illarion_SA письмо не содержало никаких ценных сведений...

Спасибо, что написали, собственно, интереснее было бы посмотреть на заголовки (полный набор) этого письма: откуда оно на самом деле было послано, с Вашего сайта или откуда-то еще. И какая на самом деле ссылка скрывалась за http:/ /www.profu 5.ru... Все равно, конечно, непонятно зачем заставлять Вас пройти по какой-то ссылке и почему хакер не может это сделать сам. Кстати, похоже, что на Ваш сайт загрузили новую версию индексной страницы: "SoSiCK K.S.A" по-прежнему с нами, но код HTML совершенно другой чем 08.05. Вы решили дать детишкам возможность порезвиться ?

Руки не доходят что-то сделать...да картинка уже 3 раз меняется)

Ну так посмотрите файл index.php в корне сайта, сравните его с оригиналом, что в инсталляторе джумлы.

В конце концов, сохраните эту картинку на свой ПК, потом сохраните файлы и папки CMS рядышком (лучше делать это с другого компа, ибо факт заражения Вашего компа мы еще не исключили). Скопируйте полное название картинки и через тотал коммандер сделайте поиск по движку, только имя файла вставляйте не в поле "искать файлы", а в поле "с текстом", предварительно поставив галочку. В результате Вы найдете php или html файл, в котором лежит вся эта фигня.

Каждую находку записывайте на бумажку, чтобы не упустить ее из виду, при поиске всех факторов.