Форум русской поддержки Joomla!® CMS
10.12.2016, 05:12:20 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Как удалить вредоносный js код из кода страницы?

 (Прочитано 722 раз)
0 Пользователей и 1 Гость смотрят эту тему.
dontmast
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 3



« : 18.09.2015, 12:11:27 »

Добрый день!

Ситуация следующая - на главной странице сайта, сразу же после открывающего тэга <body> имеется вредоносный зашифрованный js-код:



Это троян Trojan-Downloader.JS.Iframe, на который ругается Касперский (и другие "правильно-параноидальные" антивирусы). Сайт мне передали на пару дней с задачей - "исправить!".

ВОПРОС: подскажите, люди добрые, как это убрать из html-кода, в какую сторону копать (доступа по ssh нету, есть только доступ в админку)? Не силён в терминологии Joomla, может быть это какой модуль, который генерит и вставляет этот код на главную? Заранее спасибо!

p.s. Код js, на всякий случай:
Показать текстовый блок
« Последнее редактирование: 18.09.2015, 12:17:36 от dontmast » Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #1 : 18.09.2015, 12:19:34 »

С доступом только в админку вы не исправите положение.
Записан
dontmast
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 3



« Ответ #2 : 18.09.2015, 12:23:07 »

С доступом только в админку вы не исправите положение.
Если появится ssh-доступ и если банально грепать по фрагменту js-кода - это может помочь? А какие php-файлы участвуют в сборе главной страницы? Только index.php?
Записан
umbabaraumba
Практически профи
*******

Репутация: +153/-1
Offline Offline

Пол: Мужской
Сообщений: 2558

если помог можете поставить +


« Ответ #3 : 18.09.2015, 12:24:34 »

Это где-то в коде, без ftp вы это не исправите .
Модулями такие штуки не делают, потому что будет легко убрать, для проверки можете попробовать отключить все плагины и модули, но маловероятно что это поможет .
Записан
dontmast
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 3



« Ответ #4 : 22.09.2015, 12:41:21 »

Для тех, у кого возникнет такая же проблема: "разжился" ssh доступом и обнаружил, что "заражены" все index.php файлы из директории template.
Код:
$ grep 1Aqapkrv . -ro
./templates/atomic/index.php:1Aqapkrv
./templates/atomic/index.php:1Aqapkrv
./templates/beez5/index.php:1Aqapkrv
./templates/beez5/index.php:1Aqapkrv
./templates/beez_20/index.php:1Aqapkrv
./templates/beez_20/index.php:1Aqapkrv
« Последнее редактирование: 22.09.2015, 19:13:06 от dontmast » Записан
Lemady
Осваиваюсь на форуме
***

Репутация: +3/-0
Offline Offline

Пол: Женский
Сообщений: 60



« Ответ #5 : 22.09.2015, 12:58:31 »

Обычно присасываются к index.php, начните смотреть в нем. Прогоните по поиску base64, eval... Вообще тут лучше к специалисту обратиться, я думаю...
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2289



« Ответ #6 : 22.09.2015, 13:01:52 »

Вообще тут лучше к специалисту обратиться, я думаю...
Верно, но я бы порекомендовал сначала вот эту статью изучить. Вдруг поможет...
Записан
homerS
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 13


« Ответ #7 : 22.09.2015, 14:27:22 »

я удалил этот фрагмент из index.php в шаблоне
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2289



« Ответ #8 : 22.09.2015, 14:32:53 »

я удалил этот фрагмент из index.php в шаблоне
Может потом опять появиться. Проверьте сайт антивирусами, я давал ссылку выше на статью. Так же обновите минимум до Joomla 2.5.28 - последний релиз и пройдитесь по всем своим расширениям, которые ставили, обновите их, удалите ненужные. Смените пароли. Проверьте ваш .htaccess. Проверьте права на папки. Это минимум, что вы можете сделать.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet