Восстановление сайта после вируса iframe - Безопасность сайтов на Joomla

Здравствуйте.
Обращаюсь за помощью к специалистам. Все сайты на хостинге оказались зараженными вирусом с кодом iframe, сам код получилось удалить из всех скриптовых файлов, но не работает панель управления, вообще, т.е. при обращении к ней - белый чистый лист бумаги... Не знаю куда копать... Сам сайт работает. Все пароли изменены, конечно. Но как-то нужно восстановить админ-панель. Спасибо за советы.

пере залейте файлы папкb administrator

Ник у вас заепца.... Боку но пико смотрели? Минус точно мой. А по ходу если не было модификаций, то проще все файлы перелить.

админку восстановила перезалила файлы и все. Спасибо. удалила все iframe, никаких shell не обнаружено, в том числе и этих нет - eval(base64, ничего подозрительного, сайт работает, админка работает, установила через админ - антивирус компонент, сканировала сайт и компонентом и онлайн, ничего никто не нашел. НО через какое-то время снова появляются эти iframe. ОТКУДА они берутся... Весь день сижу над этим, работа стоит..., хостер молчит... Все сайты заражены у него. Пароли давно изменила везде. Пользуюь SSH. Но похоже это тоже небезопасно. Кто что знает об этом? как shell найти? дата изменения не помогает.

шелл не обязательно на вашем акаунте, может на других  акках сидит... меняйте в таком случае хостинг

То есть, действительно, может быть проблема в хостере? Они категорически это отрицают.
А в базе данных может сидеть? вдруг в базе сидит... базы не смотрела, нигде не советуют вроде бы...

А в базе данных может сидеть? вдруг в базе сидит... базы не смотрела, нигде не советуют вроде бы...

не думаю
но думаю что вы просто не дочистили, просто не нашли shell

Так вот и я об этом... Но как его найти, если даже при сравнении файлов с оригин. Joomla нет изменений... Все что в поисковиках нашла, на все эти shell проверила, их нет. Но в основном пишут про eval(Base64 и т.д. , больше не нашла, какие еще шел бывают. А этого шела точно нет нигде. На самом компе Eset естественно, ничего не находит, хотя вдруг у меня где-то сидит. ... Хотя, в eset я тоже сомневаюсь, но чем еще проверять... антивирусы ничего не найдут. Механизм не понятен в этом случае. Если изменены все пароли, то с компа все равно доступа быть не должно

shell - утилита на подобии файлового менеджера, для удаленного подключение и удобной работы с файлами, это не вирус "черный вход", возможность пользования как из браузера так и с командной строки, ваши пароли если его залили не помеха(не требуется ему ftp и админка) это своего рода панель так которой вы пользуетесь на хостинге, там есть доступ как к файлам так и к БД, вы читаете про вирусный код и про код редиректов, shell ни какого отношения не имеет к ним, эту утилиту только могут закодировать в base64, но такое редко профи его кодируют по другому, shell также может находиться на другом сервере а у вас использоваться короткий код подключения к нему

большое спасибо за подробный ответ, но как же его найти? ведь не у меня же одной такая проблема, как-то люди с ней справляются... Эта оболочка может таким образом и к другим хостерам пароли подобрать, даже если я уйду к другим... Как его найти, хотя бы в каком направлении...? Везде пишут только про base64 (кодировку) и про ифреймы... Но как удаляют оболочку нигде нет информации... Самое интересное, что в большинстве случаев, так и написано - удалите ифреймы, поменяйте пароли и будет вам счастье...., судя по комментариям - люди радуются, благодарят, значит, помогает )... А у меня этот шел засел куда-то... и что же? поменять все компьютеры, на всякий случай - телефоны и планшет, потом пару раз хостера с переносом и чисткой сайтов, но и это еще не панацея, потому что вдруг у третьего хостера тоже на параллельном аккаунте шел сидит ) В общем, голова кругом идет... Весь день прошел вот так..... Спасибо большое...

Везде пишут только про base64 (кодировку) и про ифреймы...

это вредный код
почитайте темы в разделе безопасности и в подписи

это вредный код
почитайте темы в разделе безопасности и в подписи

В том и дело, что это первое с чего я начала. Именного его и нет ни на одном моем сайте. Но они все заражены ифреймом при этом. Поэтому и встает вопрос - где оболочка, откуда происходит копирование ифреймов.
И редиректов тоже нет. А ифреймы появляются с регулярностью.

скачать файлы сайта на комп и прогнать несколькими антивирусами для поиска шелл. Пока не избавитесь от Shell то никакие смены паролей вам не помогут от повторного  появления  фреймов

Спасибо. На одном из сайтов, действительно, оказался PHP/WebShell.NAH. Как я понимаю, это и есть этот самый пресловутый Shell? Т.е. оболочка... И это же и есть вирус? Или где-то еще может что-то сидеть. В корне сайта был залит файл с измененным именем (LICESNE.php,  буквы переставили), в нем эсет и обнаружил вирус. Но на других сайтах такого файла нет, есть только ифремы. Достаточно ли просто удалить этот файл и ифреймы со сменой паролей? Спасибо

 

И это же и есть вирус?

нет это шел для работы с файлами, через который вам записывают вредный код в файлы вашего/ваших сайтов

Но на других сайтах такого файла нет, есть только ифремы.

они и есть вирусный код, самого вируса у вас нет на сайте, в ифремы вписывается ссылка на сайт который содержит вирус, вы его распространяете, через зараженный сайт он распространяется, у вас находится iframe вставленный в *.js файл, или дописывается код в файл *.php

хочется 

тему блокирую остальное обсуждение в
http://joomlaforum.ru/index.php/topic,246899.0.html