Как отчистить сайт от: Trojan.PHP.Agent.jj? - Безопасность сайтов на Joomla

Кто сталкивался или может кто знает, что этот код представляет для сайта? Я понимаю, что дела мои хреновы, вопрос в том можно ли вылечить это? И если да то как эффективнее? 


Версия Joomla 3.2.3
Версия JoomShopping 4.4.1
Я понимаю, что нужно все это обновить.

В вебмастере яндекса и Google все хорошо (то есть они этого кода не видят).
Два онлайн сервиса по поиску вирусов тоже говорят, что все хорошо.
Нашел все это хозяйство Каспер как только я скачал файлы с хостинга на локальный. (Название объекта: Trojan.PHP.Agent.jj)

Всяких там левых и не понятных расширений на сайте не установлено.

а зачем еще другие расширения? хватит и Joomla 3.2.3

Я понимаю, что нужно все это обновить.

ну раз понимаете - обновляйтесь. меняйте доступы. проверяйте Айболитом. и т.п.

Сталкивался, вылечить можно, было бы желание.

Всё удалить, откатить на версию, где вирусов не было. Потом обновиться до последних версий и сменить пароли ftp и сайта.

Обновить ядро Joomla и почистить ai-bolit.

В вебмастере яндекса и Google все хорошо (то есть они этого кода не видят).
Два онлайн сервиса по поиску вирусов тоже говорят, что все хорошо.
Нашел все это хозяйство Каспер как только я скачал файлы с хостинга на локальный. (Название объекта: Trojan.PHP.Agent.jj)

Интересно, а как вам веб-сервисы должны были спалить, этот код когда он интерпретируемый, в исходниках прописан?
В вашей версии вроде в contenthistory бага идет, в ядре, вот через нее вполне и могли получить доступ к CMS

Интересно, а как вам веб-сервисы должны были спалить, этот код когда он интерпретируемый, в исходниках прописан?
В вашей версии вроде в contenthistory бага идет, в ядре, вот через нее вполне и могли получить доступ к CMS

Да, скорее всего ты прав потому, что именно в этом каталоге я нашел с помощью ай-болита несколько "грязных" файлов, название файлов "абра-кадабра".

а зачем еще другие расширения? хватит и Joomla 3.2.3
ну раз понимаете - обновляйтесь. меняйте доступы. проверяйте Айболитом. и т.п.

Спасибо за Ай-Болит, не знал о таком скрипте. Нашел им около 90 зараженных файлов. Хакерский код записывался в самую верхнюю строчку файла и прятался далеко вправо, сразу и не заметишь пока горизонтальный скрол не прокрутишь. В общем ручками по одному файлу до глубокой ночи вычищал. Спасибо конечно и касперу, что обнаружил этот вирус, но минус в том, что каспер просто удалял вирус вместе с файлами, после чего сайт уже не работал, по этому только руками можно видимо. Кстати esetnod32 не видел этого вируса, странно. В конце отчистки еще раз просканировал сайт каспером, все гуд, заражений не найдено. Теперь можно и обновиться. Спасибо всем за помощь.

P.S. Может ли вирус прятаться в базе данных sql?

может быть например создан еще один суперадминистратор.

В конце отчистки еще раз просканировал сайт каспером, все гуд, заражений не найдено. Теперь можно и обновиться.

Не факт. Вы вычистили внедренный код, причем известный антивирусу. Но не вычистили шелл, через который этот код был залит. Сделайте поиск по файлам конструкции eval(base64 - возможно найдете еще исполняемый код. Так же посмотрите дату изменения файлов. Ведь достаточно небольшого изменения, например, в код, принимающий данные от формы, и все, сайт может быть использован как угодно.

Почитайте соседние ветки, советов по лечению море.

P.S. Может ли вирус прятаться в базе данных sql?

Да может, в зависимости от того какие компоненты, модули установлены если интерпретация какого либо кода через эти расширения, JS-бегдор, который может при авторизованном админе залить шелл или дописать бегдор в шаблон, али отправить на гейт ваши какие либо данные...

у яндекса есть манул, стоит попробовать

у яндекса есть манул, стоит попробовать

А что скажите на это? http://www.securitylab.ru/blog/company/revisium/137587.php
Обратите внимание, цитирую:

В результате совместной работы команды безопасного поиска Яндекса и специалистов компании “ Ревизиум ” разработан антивирус для сайта “ Манул ”.

совместно со специалистами "Ревизиум", где многоуважаемый Григорий Земсков и является автором ai-bolit'a и создателем Ревизиум.

так что же вы все токи выберете? Тех кто занимается изначально ПС или тех, кто изначально занимается ИБ?

у яндекса есть манул, стоит попробовать

Попробуйте может вам и понравиться.

А что скажите на это? http://www.securitylab.ru/blog/company/revisium/137587.php
Обратите внимание, цитирую:
совместно со специалистами "Ревизиум", где многоуважаемый Григорий Земсков и является автором ai-bolit'a и создателем Ревизиум.

так что же вы все токи выберете? Тех кто занимается изначально ПС или тех, кто изначально занимается ИБ?

Выберу лучшее и то что более понятнее в использовании. А кто с кем работает и тд. это не важно. Это как и масса антивирусных программ, которые каждый из пользователей использует свою.
У нас сделано в сканере для кодеров все и не скрываем, работать надо понимая код, сам использую то что ни кому не дам и не продам. Есть намного лучше решение чем айболит для пользователей и понятней в использовании для тех кто не в теме, но к сожалению проект так же как и мы свернули не получив должной отдачи, разработчики пошли сразу неправильным путем созданием платного сервиса, и как всегда ни средств ни времени у них не было, но он есть и создан, на сегодняшний день он один из лучших то что предлагалось за все время, к сожалению не развивается и заморожен, конечно со своими минусами, но через год-два про него вообще ни кто не вспомнит.
Каждый использует ПО которое ему ближе.
P.S.Кстати загнуться может каждый проект без должного вливания в него.

Есть намного лучше решение чем айболит для пользователей и понятней в использовании для тех кто не в теме, но к сожалению проект так же как и мы свернули не получив должной отдачи, разработчики пошли сразу неправильным путем созданием платного сервиса, и как всегда ни средств ни времени у них не было, но он есть и создан, на сегодняшний день он один из лучших то что предлагалось за все время, к сожалению не развивается и заморожен, конечно со своими минусами, но через год-два про него вообще ни кто не вспомнит.

Можно ссылку для ознакомления?

Можно ссылку для ознакомления?

Без проблем, он для всех известен участников форума, там немного и написано про него.
http://joomlaforum.ru/index.php/topic,274086.0.html

По существу идея хорошая и очень рабочая, минус только в том что он большого размера, он как дополнительная CMS устанавливается потому что рассчитан на подключение к платному сервису.
Если его выполнить как отдельный сканер и доработать он ни чем не уступает всем известным разработкам, изначально идея с платным сервисом была как и писал автору утопающей.
Плохо что автор "сдулся", и ни кто его не обеспечил нормальной поддержкой по бюджету и прочему для развития расширения.

Без проблем, он для всех известен участников форума, там немного и написано про него.
http://joomlaforum.ru/index.php/topic,274086.0.html

По существу идея хорошая и очень рабочая, минус только в том что он большого размера, он как дополнительная CMS устанавливается потому что рассчитан на подключение к платному сервису.
Если его выполнить как отдельный сканер и доработать он ни чем не уступает всем известным разработкам, изначально идея с платным сервисом была как и писал автору утопающей.
Плохо что автор "сдулся", и ни кто его не обеспечил нормальной поддержкой по бюджету и прочему для развития расширения.

В целом по продукту, сугубо личное мнение, спору нет что дорабатывать и дорабатывать, больше подойдет как вести сайты клиентов по безопасности, т.е как менеджер сайтов на которых нужно провести какие то профилактические меры, чистку, патчи, еще что то... естественно с системой тикетов, ну не как основной продукт для конкретного сайта...

да да, извиняюсь, что базу вашу попользовал и нулед сделал для пробы

сегодня скрипт от securi лицуху слил, который на сайт загружается, надо? в рамках интереса

честно говоря, не очень мне этот securi, сайт клиента ломали, он взял лицуху securi, она только лечит и наводит мелкие профилактические детали, по большому счету сайт один хер дрявый остается, и если бегдор с неизвестной ему сигнатурой, то начинается аншлаг)))

... и если бегдор с неизвестной ему сигнатурой, то начинается аншлаг)))

А это как нам известно всем в кругах тех кто работает ни один сканер не найдет, и у каждого свои методы чистки и до чистки таких вариаций.
Из за этого и пишу всегда что чистить необходимо тем кто умеет и понимает с чем он работает. Можно и без сканеров все вычистить но проблема во времени будет. Но по большому счету особенно последние два года показали, как вам известно и о чем не раз разговаривали это свои короткие или обсуфицированные коды для заливки, которые сканера если и будут находить, то это либо будет ложно очень много срабатываний, либо поздно, ну и базы сигнатур будут расти неимоверно как и базы исключений, т.е. получится большие файлы, а сканер должен быть удобным и минимальным.

На счет скрипта в зря так считаете, он совершенно рабочий и для чистки отдельных сайтов, как и писал у них не верный подход был изначально вот и загнулась идея, если вспомнить 2013г. то практически все сканеры в паблике не дотягивали до того функционала, что сделал разработчик Scripto Guard но изначально неправильный подход погубил все задуманное, сервис без много миллионных вложений и в одиночку не запустить вот и накрылось у них все. И еще привязка лишнего мусора, по доработкам там мало что требуется он выполнен и в рабочем состоянии все доработки которые потребуются это только в процессе дополнение и улучшение. Ну и как и писал его надо уменьшить до минимума и желательно в один файл все запихать. И не помню про работу через ssh у него, если нет, то просто доработать.

На счет БД верно, сначала появляется код (зловред) и только после того, как спалится, попадает в базы, а до этого может жить не определенное количество времени, ну и естественно многое зависит от аккуратности использования такого зловреда...

Добрый день, тоже столкнулся с этим вирусом: нашёл по всему сайту файлы .php с кодами типа
поудалял эти страницы, а там где код встал поверх нужных страниц просто его убрал, почистил БД, проверил сайт ещё раз каспером и айболитом - мне показало что сайт чистый. Обновил Joomla c 3.4.5 до 3.4.8. Убрал все следы Joomla (отображение модулей, генератор и даже style="joomla.сss", спрятал админку через плагин), добавил файл .ftpaccess и в .htaccess строки:

RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

Прошли сутки смотрю  в БД опять редиректы типа:

sgrzaiq/Hy-hy-jawani-li-dobi-mp3.php
wcvlxeb/Cara-memikat-hati-lelaki-dalam-diam.php
gwbekak/Wajah-wajah-baru-pamain-si-entong.php
wcvlxeb/Rajini-murugan-keerthi-suresh-entry-theme-f.php
sgrzaiq/Kode-voucher-gratis-im3.php
rejewrc/Destiny-world-library-zee-world-full-story.php
wcvlxeb/Ling-bada-karne-ke-desi-nuskhe.php

Подcкажите что я пропускаю, откуда оно снова вылазит?
P.S. комп на вирусы проверил, пароль к FTP поменял, префикс базы данных тоже....

проверил сайт ещё раз каспером и айболитом - мне показало что сайт чистый

Показало? Или показалось? Я думаю, постом выше flyingspook достаточно доходчиво объяснил, что если не знаете, что искать, лучше не лезть. Вы удаляете результат работы зловреда, а не сам зловред. А сканеры его не видят, потому что он еще не успел попасть к ним в базу.

показалось как оказывается. Я искал внутри файлов через тотал по запросу "{eval", сейчас проверил ещё раз то что чистил вчера пропустил 10 файлов "{ eval" (с пробелом), посмотрим получиться что-то или нет. Бэкаппы сервера у меня тоже заражены видать вирус давненько, а последний не заражённый бэкап содержит на 100+ статей меньше чем сейчас на сайте, так что откатывать бы очень не хотелось

показалось как оказывается. Я искал внутри файлов через тотал по запросу "{eval", сейчас проверил ещё раз то что чистил вчера пропустил 10 файлов "{ eval" (с пробелом), посмотрим получиться что-то или нет. Бэкаппы сервера у меня тоже заражены видать вирус давненько, а последний не заражённый бэкап содержит на 100+ статей меньше чем сейчас на сайте, так что откатывать бы очень не хотелось

Поиск по eval это мизер, берите сканеры проверяйте сайт на файлы которые могут содержать код для доступа и просматривайте их содержимое. Есть много разновидностей даже те который вам не один сканер не покажет их только глазами увидеть можно такие как $_POST[1] и подобные могут встречаться как в расширениях так и в коде для заливки шелов. Надо понимать что делаете и с чем работаете.

бред какой-то с этим вирусом, откатил на 4 месяца, почистил БД, залил, смотрю в БД снова следы этого говнеца, но я сомневаюсь что вирус незаметный для меня, Google сич и Яндекс вебмастера жил 4 месяца, а тут так активно начал себя проявлять. Единственный плагин, который я ставил после отката был KSecure (с оф сайта). Это может быть дело в этом плагине или Joomla 3.4.8 настолько дырявая? (Хостинг у меня nic.ru...)

бред какой-то с этим вирусом, откатил на 4 месяца, почистил БД, залил, смотрю в БД снова следы этого говнеца, но я сомневаюсь что вирус незаметный для меня, Google сич и Яндекс вебмастера жил 4 месяца, а тут так активно начал себя проявлять. Единственный плагин, который я ставил после отката был KSecure (с оф сайта). Это может быть дело в этом плагине или Joomla 3.4.8 настолько дырявая? (Хостинг у меня nic.ru...)

А свой комп не пытались проверить? по сабжу https://revisium.com/ru/blog/browser_infected.htm, у меня уже начали появляться клиенты с такой проблемой как описано в статье, о безопасности своего ПК тоже надо думать...

почистил БД, залил, смотрю в БД снова следы этого говнеца

поставьте чистую Joomla с нуля и проверьте, появятся ли следы в БД.

А свой комп не пытались проверить? по сабжу https://revisium.com/ru/blog/browser_infected.htm, у меня уже начали появляться клиенты с такой проблемой как описано в статье, о безопасности своего ПК тоже надо думать...

первым делом это сделал, нашёл бат и троян, но другой, только после того как проверил комп начал проверять сайт. Я работаю через оперу, единственный плагин это сейф фром нет

поставьте чистую Joomla с нуля и проверьте, появятся ли следы в БД.

спасибо за совет, попробую, если будет появляться то где искать причину?

если ваш компьютер однозначно чист, то искать тогда вероятно на сервере, куда устанавливаете...

пересмотрел логи сервера нашёл 900 подобных запросов в БД по разным айпи (за последние 18 часов):
то есть все запросы вируса связаны с посещением этого бота, но я понять не могу зачем он ломиться и именно по вирусным страничкам, как это связанно и что с ним делать...

пересмотрел логи сервера нашёл 900 подобных запросов в БД по разным айпи (за последние 18 часов):

Спойлер

[свернуть]

то есть все запросы вируса связаны с посещением этого бота, но я понять не могу зачем он ломиться и именно по вирусным страничкам, как это связанно и что с ним делать...

Это владелиц вашей площадки (дорвейщик), делает прогоны по дорвеям, чтоб ПС быстро их проиндексировали и если все гуд то выплюнул в топовые позиции

П.C: вот обратите внимание, что в название файла, НЧ запрос.