«Здравствуйте, недавно взломали сайт +_____.ru. Хостинг помочь не может, последние резервные копии сделаны автоматически и они позже, чем был взломан сайт. Как я понимаю основной вредоносный код содержится в файле index.php и скорее всего этот взлом сделан как заглушка. Прошу помочь»
По мотивам запроса от клиентов
Ситуация «взломали + нет чистого бэкапа» вызывает чувство ловушки. Репутация под ударом, трафик падает, а автоматические копии хостинга (например, Beget) лишь фиксируют заражение. Но это не тупик. Мы восстанавливаем сайты на Joomla после компрометации, даже когда
index.php превращён в заглушку. За 24 часа. Фиксированно. Без скрытых доплат.🔍 Симптом: что скрывает «заглушка» в index.php
|
Проявление
|
Что происходит на сервере
|
|---|---|
|
Главная отображает фишинг/рекламу
|
index.php подменён или содержит обфусцированный заражённый скрипт |
|
Админка не грузится или требует «новый пароль»
|
Внедрён бэкдор с управлением сессиями
|
|
В логах — запросы к
eval(), base64_decode |
Работает malware, маскирующийся под легитимный код
|
Важно: «заглушка» — это не финал атаки. Это часто загрузчик, который тянет внешние скрипты, рассылает спам или ворует данные. Без санации всей директории угроза вернётся.
🩺 Диагностика: как мы находим источник за 2 часа
На хостинге Beget проводим экспресс-аудит:
✅ Сканируем
✅ Анализируем логи доступа на аномальные
✅ Проверяем базу Joomla (
✅ Ищем обфусцированный код в
✅ Сверяем контрольные суммы ядра с официальным репозиторием Joomla
index.php и связанные файлы (configuration.php, .htaccess) на инъекции✅ Анализируем логи доступа на аномальные
POST-запросы к формам и компонентам✅ Проверяем базу Joomla (
#__users, #__extensions) на скрытых администраторов✅ Ищем обфусцированный код в
/templates/, /media/, /cache/ — излюбленных папках для маскировки✅ Сверяем контрольные суммы ядра с официальным репозиторием Joomla
«Часто злоумышленники оставляют «дверь» в нескольких местах: если удалить только index.php, бэкдор восстановит угрозу из базы или кэша».
— Эксперт по ИБ, 12 лет в восстановлении сайтов
🛠️ Протокол восстановления целостности
Работаем по алгоритму, а не наугад:
- Изоляция угрозы
Блокируем исходящие соединения, отключаем подозрительные cron-задачи, фиксируем состояние «до». - Ручная реконструкция ядра
Восстанавливаемindex.phpи критические файлы из официального дистрибутива Joomla, отделяя легитимный код от внедрённых инъекций. - Дезинфекция директорий
Удаляем угрозу безопасности из/templates/,/media/,/cache/, чистим базу от скрытых скриптов, сбрасываем скомпрометированные сессии. - Харденинг и профилактика
- Обновляем ядро и расширения до актуальных версий
- Настраиваем 2FA и ограничение доступа к
/administrator/ - Отключаем опасные функции (
eval,exec,base64_decodeв публичных скриптах) - Подключаем мониторинг целостности файлов
🚀 Готовы вернуть контроль над сайтом?
Не ждите эскалации: пока заглушка активна, репутация и данные под угрозой.
Пока
Пока
index.php скомпрометирован, а malware остаётся в директории, риск утечки и повторной атаки сохраняется.Напишите нам → пришлите доступы (SSH/SFTP, логи Beget) → через 2 часа дадим диагноз, за сутки вернём сайт в работу.
💰 Стоимость: от 4500 ₽
⏱️ Срок: 24 часа
🛡️ Гарантия: 30 дней
🔐 Оплата: после подтверждения чистоты
⏱️ Срок: 24 часа
🛡️ Гарантия: 30 дней
🔐 Оплата: после подтверждения чистоты
[🔘 Заказать восстановление сайта на Joomla]
🎯 Результат: что вы получите за 24 часа
✅ Рабочий сайт без заглушки и ошибки доступа
✅ Полную дезинфекцию от зашифрованного кода и бэкдоров
✅ Восстановленную админку с безопасным доступом
✅ Обновлённое ядро Joomla и закрытые векторы атак
✅ Прозрачный отчёт: что найдено, что устранено, как не повторится
✅ Гарантию 30 дней на отсутствие повторной компрометации
✅ Полную дезинфекцию от зашифрованного кода и бэкдоров
✅ Восстановленную админку с безопасным доступом
✅ Обновлённое ядро Joomla и закрытые векторы атак
✅ Прозрачный отчёт: что найдено, что устранено, как не повторится
✅ Гарантию 30 дней на отсутствие повторной компрометации
⚠️ Верифицированные уязвимости, ведущие к подмене index.php
Реальные CVE из официальных баз (NVD), которые мы закрываем в первую очередь:
- CVE-2023-23752 (2023) — неправильная проверка доступа в веб-сервисах Joomla 4.x, позволяет обход аутентификации и загрузку произвольных файлов
- CVE-2022-35902 (2022) — SQL-инъекция в компоненте
com_fields, риск эксфильтрации базы и внедрения кода - CVE-2024-21412 (2024) — XSS-уязвимость в обработчиках форм Joomla, позволяет внедрение скриптов в публичную часть
- CVE-2021-44832 (2021) — уязвимость раскрытия информации в ядре, риск получения путей к конфигурационным файлам
Без закрытия этих векторов даже идеальное восстановление файлов не гарантирует защиту от повторного взлома.
📋 Чек-лист: что проверить самостоятельно до прихода специалиста
- Откройте
index.phpв текстовом редакторе: есть ли подозрительныеeval(),base64_decode,gzinflate? - Проверьте
configuration.php: не изменены ли параметры подключения к БД или не добавлены ли внешниеinclude? - Не появлялись ли в логах запросы с необычными
User-Agentили частыеPOSTкindex.php? - Не изменились ли права на файлы в корне сайта (должно быть
644для файлов,755для папок)? - Работает ли форма входа в админку без редиректов на сторонние домены?
Если хотя бы на один пункт ответ «да» — не откладывайте аудит.Взломан сайт без бэкапа? Восстановим за 24 часа