Форум русской поддержки Joomla!® CMS
03.12.2016, 17:48:15 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Сайт взломан, не могу найти вредоносный код

 (Прочитано 1130 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Larisa
Давно я тут
****

Репутация: +40/-26
Offline Offline

Пол: Женский
Сообщений: 261


je te promets...


« : 23.01.2015, 12:18:56 »

Добрый день, помогите пожалуйста, кто сталкивался - сайт взломали (в configuration прописаны имя БД, пользователя и пароль) и понаставили порно-ссылок в футер.
Joomla! 1.7.3 Stable
В phpMyAdmin нашла левых пользователей в таблице _users, удалила.
В футере все удалила перед </body>, оставила без скриптов чистый HTML, однако на сайте (в коде) отображаются ссылки.
Скорее всего в БД подцепляется код, но не могу понять в какой таблице его искать.
Спасибо.
Записан
yandex_hb
Давно я тут
****

Репутация: +21/-1
Offline Offline

Пол: Мужской
Сообщений: 348



« Ответ #1 : 23.01.2015, 12:29:11 »

во всех таблицах
Записан
Larisa
Давно я тут
****

Репутация: +40/-26
Offline Offline

Пол: Женский
Сообщений: 261


je te promets...


« Ответ #2 : 23.01.2015, 12:42:30 »

во всех таблицах
Спасибо, знать бы еще, что искать)) Там такой код:
Цитировать
<div id=ln775><a href="http://ponatur.net/" target="_blank">читайте</a>  пустилась танцевать трах фото;<a href="http://ubzan.net" target="_blank">читайте тут</a>  интим фото пожелаю;<a href="http://www.stelmarket.ru/katalog/far/ventili_rz.htm" target="_blank">вентиль запорный</a>;Эротический массаж <a href="http://bagira-massaj.ru/" target="_blank">http://bagira-massaj.ru</a>. Эротический массаж без интима.;<a href="http://tulul.net/" target="_blank">здесь</a>  эро фото еще так<script type="text/javascript">
<!--
var _acic={dataProvider:10};(function(){var e=document.createElement("script");e.type="text/javascript";e.async=true;e.src="//www2.acint.net/aci.js";var t=document.getElementsByTagName("script")[0];t.parentNode.insertBefore(e,t)})()
//-->
</script> Магазин детских товаров <a href="http://wland.com.ua/catalog/baby-strollers/" target="_blank">детские коляски</a>, кроватки и другие товары для детей. .  <a href="http://www.wcax.com/story/27428492/the-language-of-desire-review-control-your-man-make-him-yours-pdf-ebook-secret-revealed" target="_blank">full story here</a> .  <a href="http://www.wfla.com/story/27736079/obsession-phrases-a-revolutionary-program-that-helps-women-in-the-love-department" target="_blank">obsession phrases</a> </div><script type='text/javascript'>document.getElementById('ln775').style.display='none';</script>
я по ID искала, какую-то таблицу удалила - не помогло
Записан
friend111
Осваиваюсь на форуме
***

Репутация: +5/-0
Offline Offline

Сообщений: 63


« Ответ #3 : 23.01.2015, 13:02:01 »

Попробуйте перезаписать базу данных из сохраненного бекапа( проверив его сначала дома на денвере), если он конечно есть.
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2650


step by step


« Ответ #4 : 23.01.2015, 15:03:56 »

Обновиться до хотя бы Joomla 2.5
Найти подключение яваскрипта и удалить
Код:
<script type='text/javascript'>document.getElementById('ln775').style.display='none';</script>
Начни с самого простого- index.php в корне сайта
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #5 : 23.01.2015, 20:06:07 »

@Larisa
Обновляйте сайт до актуальной версии 3.*.*
Кроме ссылок вам надо всю заразу найти и дырочки залатать.
Записан
voland
Профи
********

Репутация: +487/-86
Online Online

Пол: Мужской
Сообщений: 8694


любит наш народ всякое гавно...


« Ответ #6 : 14.02.2015, 02:35:07 »

Joomla! 1.7.3 Stable
Да ну?
Вывесить табличку "взломайте меня медленно" было бы менее эффективно ))

ЗЫ. Какие люди )
Записан
Larisa
Давно я тут
****

Репутация: +40/-26
Offline Offline

Пол: Женский
Сообщений: 261


je te promets...


« Ответ #7 : 16.03.2015, 09:25:31 »

Обновиться до хотя бы Joomla 2.5
Найти подключение яваскрипта и удалить
Код:
<script type='text/javascript'>document.getElementById('ln775').style.display='none';</script>
Начни с самого простого- index.php в корне сайта

не нашла там..
Записан
Taatshi
Support Team
*****

Репутация: +430/-3
Offline Offline

Пол: Женский
Сообщений: 4712

Мама, я снова верстал во сне...


« Ответ #8 : 16.03.2015, 11:44:19 »

Larisa, не факт вообще, что данный код прописан в таблице.

1) Смотреть, не установлены ли левые расширения, которых раньше не было. Это сейчас модно.
2) Качать на компьютер полный бэкап и прогонять скриптами на предмет поиска шеллов и  бэкдоров. Удалять найденное. Я пользуюсь скриптом айболит - очень мощная вещь.
3) Обновлять все расширения до актуальных версий.
4) Ставить защиту от дальнейших взломов.

Но, на фоне версии движка, данные рекомендации звучат немного наивно. Хотя и сейчас есть сайты, работающие на 1.5 - но там явно приложили руку профи.
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2271



« Ответ #9 : 16.03.2015, 12:10:15 »

не нашла там..
И не найдете наверное. Если они получили доступ к файлам, то, с большей долей вероятности можно утверждать, что этот скрипт закодирован. Конечно, вычислить его можно в любом случае, начав поиск с переменной, содержимое которой выводится в конкретном месте документа. Но попробуйте сделать поиск строки base64, чаще всего все зловреды именно там сидят. Ну и совет от Taatshi. Главное - подумайте о миграции сайта на Joomla 3.3 (последнюю версию я бы не рекомендовал из за некоторых сложностей с ней).
Записан
Larisa
Давно я тут
****

Репутация: +40/-26
Offline Offline

Пол: Женский
Сообщений: 261


je te promets...


« Ответ #10 : 03.04.2015, 10:05:41 »

...Но попробуйте сделать поиск строки base64, чаще всего все зловреды именно там сидят. ...
Спасибо за совет, но знать бы еще как это делать)
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2271



« Ответ #11 : 03.04.2015, 14:43:30 »

Спасибо за совет, но знать бы еще как это делать)
Простой пример: берете Notepad++, открываете и делаете поиск в файлах строки base64, в качестве директории указываете путь к папке сайта.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #12 : 03.04.2015, 18:00:36 »

Но попробуйте сделать поиск строки base64, чаще всего все зловреды именно там сидят.
Эта сигнатура давно уже перекриптовывается при использование. редко встречается ее использование в открытом ввиде, в шелах
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2271



« Ответ #13 : 06.04.2015, 16:26:15 »

Эта сигнатура давно уже перекриптовывается при использование. редко встречается ее использование в открытом ввиде, в шелах
Я и написал: "чаще всего"... И в подавляющем большинстве случаев именно в таком простом виде и располагают свои скрипты...
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #14 : 06.04.2015, 19:24:47 »

"чаще всего"... И в подавляющем большинстве случаев именно в таком простом виде и располагают свои скрипты...
В таком виде работают дилетанты...
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2271



« Ответ #15 : 06.04.2015, 19:51:20 »

В таком виде работают дилетанты...
Уж кому, как не вам, знать, что таких большинство )) Но давайте не будем оффтопить... Человек задал вопрос, я ответил. Если мой совет не поможет - это ваш будущий клиент )
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet