Как узнать как именно взломали сайт, и как защитить?

Question

[lukoie]

Есть сайт на Джумле. В последнее время кто-то взламывает сайт. В основной файл темы добавляется в подвале ссылка на проституток рязани. А в корне появляются пхп файлы, как я понимаю это для рассылки спама.
В некоторых директориях были файлы для удаленного доступа.
Пароли сменил - на хостинг и на фтп. Вычистил от посторонних файлов и от внедренных скриптов, обновил Джумлу.
Но сегодня снова появилось то же.

Вопрос1: как узнать каким образом они взломали? Какую именно дыру использовали?
Вопрос2: есть ли адекватный плагин для защиты джумлы от взлома(и/или проверки установки джумлы на наличие всяких бекодоров и др. нечисти)? Или статья с описанием алгоритмов проверки и защиты(например права, уязвимости расширений и т.п.).
Заранее спасибо.

ЗЫЖ измененным файлам они возвращают их прежнюю дату! Только у новых файлов видно что дата такая, когда я ничего не делал с сайтом. А у индексного файла темы права выставлены 444, хотя я точно их не менял так.

Answer 1

[Natan]

Для начала сделайте бекап своего сайта, скачайте и проверьте антивирусом, мб что поймаете. Еще может у Вас есть какие-то косяки с правами на каталоги или файлы, благодаря которым их какой-то бот или редиска их правит, тут тоже нужно внимательно поискать.

@lukoie плагины есть, но все сразу ставить не советую. Пробуйте по одному, если после установки плагина защиты взлом повторится, этот плагин вырубаете и ставите другой.
Eyesite мониторит сайт и файлы и шлет уведомления о изменениях Вам.
JHacker Watch похож на Eyesite
Admin Tools может и мониторить и дает возможность удобно править разные настройки, связанные с защитой сайта. Но как-то подзаморочено и про версию плагина купить предлагают.
Marco's SQL Injection по названию понятно что :)
Securitycheck, здесь всё, от настроек, до фаервола и различных мониторов.

Если у Вас воруют пароли от FTP, то тут нужно прежде всего логи доступа поднимать и как посоветовал @alexclear проверять все машины, с которых имеется доступ к сайту, на наличие дырок.

Answer 2

[Alex Chistyakov]

Каким FTP-клиентом Вы пользуетесь? И какая операционная система у Вас на клиентской машине? Сколько человек имеют доступ по FTP? Вариант, который кажется мне наиболее вероятным - ни Joomla, ни сам хостинг никаких дыр не содержат, взломана машина, с которой есть FTP-доступ, и файлы заливаются с нее. Я такое видел много раз. Проверьте все клиентские машины, с которых есть доступ по FTP, каким-нибудь хорошим антивирусом, а лучше - несколькими.

Answer 3

[Сергей]

И не сохраняйте пароль в ФТП- клиенте

Answer 4

[olegsharapov91]

Насчёт плагинов выше Natan всё правильно сказал. А вот антивирус тут бесполезен, это же веб-безопасность. Тут надо сканеры уязвимостей использовать, можно гуглить по слову DAST.

Из хороших с триалом советую https://detectify.com, https://metascan.ru, https://acunetix.com. По результатам поймёшь, каким образом тебя взломали: дыры, sql-инъекции, xss, забытые порты какие-нибудь, легкие пароли и так далее.