Форум русской поддержки Joomla!® CMS
11.12.2016, 15:50:09 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2  Все   Вниз
  Добавить закладку  |  Печать  
Автор

Скрытые ссылки. Как найти?

 (Прочитано 1671 раз)
0 Пользователей и 1 Гость смотрят эту тему.
vitzer
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 116


« : 26.05.2016, 21:14:58 »

Ну вот, за два года на 2.5 ни одного взлома, а уже через меся после перехода на Joomla 3.5 взломали.

Заблокировал сначала Google. Сказали что на страницах:
http://vvm-auto.ru/shop/1042-006-em2271
http://vvm-auto.ru/pomoshch-v-vybore-avto
генерируется ссылка:
http://vk.cc/5bZbWP
при нажатии на нее в новом окне открывается вот это:

function addEvent(element, eventName, fn) {
  if (element.addEventListener)
      element.addEventListener(eventName, fn, false);
  else if (element.attachEvent)
      element.attachEvent('on' + eventName, fn);
};

Я скрытых ссылок не вижу.
Шаблон на сайте стандартный: протостар.
Когда-то пробовал подключить интернет магазин (Хика шоп), но в тот же вечер снес все к чертям. Менеджер расширений почистил.

Яндекс выдает вот это:
Дата последней проверки 24.05.2016
Страница 588-mercedes-c-class-w204
Вердикт Troj/JSRedir-RS

Проверил сайт, да действительно, при переходе из поисковика перекидывал на vesna-sberbank.ru (просили наивных ввести данные карты для перевода им ден средств).

Снес сайт и залил то, что существовало до проблемы.

А сейчас проблема вернулась. Снова скрытые ссылки на двух страницах (со слов Google). Я их увидеть в коде страницы не могу (извините не профессионал).

Да, на главной установлен модуль ju news ultra, но он был и на 2.5 почти год и никаких проблем.

Прошу помочь знающих. Куда копать и что делать? Shocked
Записан
wishlight
Профи
********

Репутация: +201/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #1 : 26.05.2016, 22:19:24 »

Скриптом ai-bolit пройтись. Думаю найдет.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3540


« Ответ #2 : 26.05.2016, 23:36:28 »

Скорей всего вы о проблеме и не знали, пока вам не сообщили. Взломать вас могли и год и два назад. А как "носом ткнули" так вы и узнали про взлом.
Записан
vitzer
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 116


« Ответ #3 : 27.05.2016, 00:25:17 »

Скорей всего вы о проблеме и не знали, пока вам не сообщили. Взломать вас могли и год и два назад. А как "носом ткнули" так вы и узнали про взлом.
Все возможные пароли меняю раз в месяц. Сайт активно крутится в рекламе Google и Яндекс, поэтому постоянно проверяется. До 23.05 никогда не было никаких проблем. А теперь вот сижу репу чешу...
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #4 : 27.05.2016, 02:22:48 »

Сложно сказать что-то.
Я пишу компонент, заодно протестирую, дайте мне архив без БД.Просто папки.
решитесь-выложите архив на обменник, в личку ссылку.
Записан
vitzer
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 116


« Ответ #5 : 28.05.2016, 00:02:00 »

Нашел выше директории сайта в служебных файлах сервера левый .htaccess следующего содержания:

Показать текстовый блок

Хостер говорит, что они не виноваты, это моя вина.
Ищу дальше. Редиректы с мобильных устройств продолжаются.

А вот то, что нарыл Айболит:

Показать текстовый блок

Касперский после распаковки архива матерился, как ненормальный.
« Последнее редактирование: 28.05.2016, 05:54:13 от vitzer » Записан
vitzer
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 116


« Ответ #6 : 28.05.2016, 09:53:43 »

А так?
« Последнее редактирование: 28.05.2016, 10:12:47 от vitzer » Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #7 : 28.05.2016, 10:03:34 »

А так?
https://yadi.sk/*************
так норм, но могли бы и в ЛС дальше
прочекаю-напишу в теме.
меня больше интересует не  ваше "самочувствие" сайта Wink, а алгоритм моего компонента))) Сорри за прямоту.
но в любом случае-укажу вам лапшой ваши сссылки, врезанные ***коды.

// И советую вам удалить ссылку в теме, т.к. там все доступы в конфиге ваши.
« Последнее редактирование: 28.05.2016, 10:11:51 от vipiusss » Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #8 : 28.05.2016, 19:23:44 »

Почитал ваш ЛС и был удивлён, открыв ваш архив с пустым содержанием.
если вам скучно, советую проверять то, что вы отправляете.
И архивы называть латинскими символами.
Записан
vitzer
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 116


« Ответ #9 : 31.05.2016, 12:29:57 »

Заказал у хостера новый виртуальный диск, поставил непорочную Joomla с локалки. Сайт поработал два дня и сегодня снова был парализован редиректом.
Куда смотреть, куда бежать, что делать?
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #10 : 31.05.2016, 12:34:43 »

поставил непорочную Joomla с локалки.

))) развратили вашу Joomla )))
Ну наверно или комп у вас хватает что-то и переносит, или хост заражён.
Joomla "непорочная" сама по себе)))
Надеюсь Joomla с офф сайта?!
Записан
vitzer
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 116


« Ответ #11 : 31.05.2016, 12:41:55 »

Да, скачана с официального сайта. Из компонентов только Jcomments и QuikcForm.
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #12 : 31.05.2016, 12:44:42 »

Да, скачана с официального сайта. Из компонентов только Jcomments и QuikcForm.
А шаблон какой? и компоненты с офф сайтов?
Если всё офф, то проблема в хосте.
Записан
vitzer
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 116


« Ответ #13 : 31.05.2016, 13:02:16 »

Да все с оф сайтов. Шаблон протостар.
Записан
Kasyanov
Осваиваюсь на форуме
***

Репутация: +5/-0
Offline Offline

Пол: Мужской
Сообщений: 55


Всё будет хорошо)


« Ответ #14 : 31.05.2016, 13:47:23 »

Может через QuikcForm заносят что-то.
Формы - это самое слабое место в безопасности сайта.
Записан
vitzer
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 116


« Ответ #15 : 31.05.2016, 14:29:08 »

Обратился за платной помощью. Предоставят результат - обязательно отпишусь.
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #16 : 31.05.2016, 14:40:12 »

а дайте архив сайта, я прогоню у себя, потестю свой поиск, заодно вам скажу что врезано.
БД не нужно, только архив папок и файлов, можете в личку ссылкой.
Записан
vitzer
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 116


« Ответ #17 : 31.05.2016, 14:47:14 »

а дайте архив сайта, я прогоню у себя, потестю свой поиск, заодно вам скажу что врезано.
БД не нужно, только архив папок и файлов, можете в личку ссылкой.
Вы меня сейчас опять обвините в том, что я "страдаю хренью"  и присылаю пустые архивы.
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #18 : 31.05.2016, 14:58:44 »

так а вы не присылайте пустые архивы: скачайте и выложите, архив назовите латинскими символами.
Или прямо на хосте запакуйте в архив и дайте прямую ссылку в личку.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3540


« Ответ #19 : 31.05.2016, 18:36:17 »

Если на хосте не один сайт, то через соседние можно заражать все.
Записан
vitzer
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 116


« Ответ #20 : 02.06.2016, 01:43:41 »

Обратился за помощью к Ревизиум.

Обнаружены и удалены хакерские скрипты и вставки вредоносного кода в следующих файлах:
 ./media/jui/jui.php
 ./media/plg_quickicon_joomlaupdate/plg_quickicon_joomlaupdate.php
 ./templates/script.js.php
 ./index.php
 ./libraries/joomla/log/wm-log.php
 ./components/com_mailto/wm-log.php

Как они туда попали, не уточняют.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #21 : 02.06.2016, 02:29:41 »

Обратился за помощью к Ревизиум.

Обнаружены и удалены хакерские скрипты и вставки вредоносного кода в следующих файлах:
 ./media/jui/jui.php
 ./media/plg_quickicon_joomlaupdate/plg_quickicon_joomlaupdate.php
 ./templates/script.js.php
 ./index.php
 ./libraries/joomla/log/wm-log.php
 ./components/com_mailto/wm-log.php

Как они туда попали, не уточняют.

Даже самый опытный специалист, с трудностью сможет найти момент проникновение, а если даже найдет или знает, не скажет вам, дабы не дать дураку козырь в рукав и не предать огласки, это не простой бизнес...

P.S: Заказывайте пентест 70-100к.руб, вам скажут, как к вам попали вредоносы...
Записан
voland
Профи
********

Репутация: +488/-86
Offline Offline

Пол: Мужской
Сообщений: 8736


любит наш народ всякое гавно...


« Ответ #22 : 02.06.2016, 02:38:35 »

Даже самый опытный специалист, с трудностью сможет найти момент проникновение, а если даже найдет или знает, не скажет вам, дабы не дать дураку козырь в рукав и не предать огласки, это не простой бизнес...
Да, ладно?
Я говорю всегда бонусом к лечению.
Другое дело что обычно несколько возможных вариантов, да и логов нет (или лень все просматривать), поэтому ответ лишь с вероятностной точностью.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #23 : 02.06.2016, 02:55:05 »

Да, ладно?
Я говорю всегда бонусом к лечению.
Другое дело что обычно несколько возможных вариантов, да и логов нет (или лень все просматривать), поэтому ответ лишь с вероятностной точностью.
Да ладно?, ну тогда вы гуру своего дело, снимаю шляпу перед вами....
Записан
voland
Профи
********

Репутация: +488/-86
Offline Offline

Пол: Мужской
Сообщений: 8736


любит наш народ всякое гавно...


« Ответ #24 : 02.06.2016, 03:06:26 »

Да ладно?, ну тогда вы гуру своего дело, снимаю шляпу перед вами....
Разве так много вариантов?
Если конечно речь не о сайте со 100500 компонентов
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3540


« Ответ #25 : 02.06.2016, 09:12:09 »

Вариант может быть и один, но он не входит в оглашение владельцу, обычно на такие вопросы ответ или размазанный или вообще не дается. Заказчику вообще не обязательно что то знать. Выполнена работа и все.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #26 : 02.06.2016, 10:28:12 »

Разве так много вариантов?
Если конечно речь не о сайте со 100500 компонентов

Все на самом деле, дело случая, проблемой взлома может являться и не сам сайт, а вы будите искать на сайте? это слишком широкая тема для обсуждения, предлагаю закрыть вопрос....
Записан
vitzer
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 116


« Ответ #27 : 03.06.2016, 12:08:15 »

Исполнитель без лишних подробностей сообщил, что мой случай не целенаправленный взлом, а заражение через уязвимости. Во всяком случае, уже второй день все работает без замечаний.
Записан
Crayzer
Осваиваюсь на форуме
***

Репутация: +1/-3
Offline Offline

Сообщений: 161


« Ответ #28 : 03.06.2016, 12:57:16 »

Да, ладно?
Я говорю всегда бонусом к лечению.
Другое дело что обычно несколько возможных вариантов, да и логов нет (или лень все просматривать), поэтому ответ лишь с вероятностной точностью.

Это вы, а я видел, как люди жаловались - обратились к такой фирме, чтобы им сайт почистили, а те их доить начали.
Два вируса нашли и почистили, а остальное не тронули (или не заметили?).
Потому что потом еще что-то вылезло - опять обратились и заплатили, после третьего раза послушались моего совета, послали эту фирмочку, собрали сайт заново, сменили все доступы и хостера - вроде помогло.
Записан
Crayzer
Осваиваюсь на форуме
***

Репутация: +1/-3
Offline Offline

Сообщений: 161


« Ответ #29 : 03.06.2016, 13:00:34 »

Исполнитель без лишних подробностей сообщил, что мой случай не целенаправленный взлом, а заражение через уязвимости. Во всяком случае, уже второй день все работает без замечаний.

По-хорошему должны были сказать, через какие именно уязвимости.
То есть, исправить причину, а не следствие.
Но им, естественно, выгоднее исправлять именно следствие.
Записан
Страниц: [1] 2  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet