Форум русской поддержки Joomla!® CMS
16.08.2017, 21:40:41 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Основной курс по Joomla
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

вирус на сайте

 (Прочитано 196 раз)
0 Пользователей и 1 Гость смотрят эту тему.
mami_
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 64


« : 30.05.2017, 09:10:57 »

Доброго дня !

Примерно 3 месяца назад сайт начал терять позиции.  Проблему обнаружили не сразу. Если название сайта вбить в поисковой строке, то всё отображалось в иероглифах. Сайт превратился в дорвей для китайских продавцов. Причём сайтов на хостинге было 2 и проблема случилась с обоими. Скачал базу данных, там образуется очень много несуществующих URL непонятного происхождения. образуются с определённой периодичностью. 1 сайт удалил вообще за ненадобностью, а второй начал восстанавливать из резервных копий. Причем что самое интересное, копии даже 3-х летней давности уже содержали вирус, который ранее не распространялся.  Звонил в хостинг (nic.ru), те дали список файлов, которые возможно поражены. Объяснить почему резервные копии, которым несколько лет сейчас распространяют вирус они не смогли и я решил сменить хостинг.
Перенёс сайт на Reg.ru там антивирусная проверка показала поражение 2-х файлов. После их удаления распространение вируса прекратилось.
Теперь самое интересное. Файлы были установлены вместе с установочным файлом расширения под назканием Ykhoon CONTENT PROTECTOR. Все файлы этого расширения были созданы в 1 время и изменения не вносились. Данное расширение было куплено у официального производителя. Тот меня грубо говоря послал после предъявления претензий, говорит твой сайт был взломан и бла бла бла.

Может кто объяснить, что могло произойти с сайтом и почему вирус дремал примерно 3,5 года после покупки. Ниже данные 1 зараженного файла.  Вирус идентифицируется антивирусником как eval.b64  ( он и перед кодом так фигурирует даже не скрываясь.)
Показать текстовый блок
« Последнее редактирование: 30.05.2017, 09:16:01 от mami_ » Записан
vipiusss
Профи
********

Репутация: +324/-10
Offline Offline

Пол: Мужской
Сообщений: 5840


Skype: renor_


« Ответ #1 : 30.05.2017, 09:15:56 »

Закажите анализ сайта в коммерческом разделе.
Есть специалисты, кто вам помогут и сразу откликнутся.
Сами не справитесь и хостинг поможет частично.

// Ещё есть вариант и подозрение, что вы поставили варез в расширениях и оттуда корни растут.
И раз вы пишите, что код удаляли и он появляется, значит где-то скрипт генерирует эту часть.

Обратитесь в выше написанный раздел.
Или сайт потеряете, если там не просто ссылки.

/// И кто этот " Данное расширение было куплено у официального производителя." ?
« Последнее редактирование: 30.05.2017, 09:23:51 от vipiusss » Записан
mami_
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 64


« Ответ #2 : 30.05.2017, 09:25:55 »

Спасибо за совет.
Варизников на сайте вообще нет, куплено всё, даже шаблон.  Ссылки генерились до удаления данного расширения. После того. как удалил эти 2 вируса отказалось работать и приложение. Пришлось стереть и его, после этого проблема не появлялась.
Я сейчас буду заного создавать сайт с исправлением ранее допущенных ошибок.
Вот и производитель http://ykhoonextension.com
Записан
Taatshi
Support Team
*****

Репутация: +452/-0
Offline Offline

Пол: Женский
Сообщений: 5004



« Ответ #3 : 30.05.2017, 09:30:54 »

1) Не факт, что три года вирус не активировался. Более вероятна ситуация, что при разворачивании бэкапа происходило моментальное заражение в связи с тем, что, либо на хостинге оставались зараженные файлы помимо бэкапа, либо была уязвимость в самом хостинге и заражение происходило, например, через соседние с Вашим сайты. Я ставлю на первый вариант.

2) Ни одно расширение не даст Вам стопроцентной гарантии. Иначе бы все его ставили, а вирусописатели перемерли от голода. Тем более, что у Вашего расширения, судя по названию, достаточно узкоспециализированный функционал.

3) Проверить сайт стоит. Можно прогнать айболитом и посмотреть что он найдет. Не факт, что Вы все вычистили.
Записан
vipiusss
Профи
********

Репутация: +324/-10
Offline Offline

Пол: Мужской
Сообщений: 5840


Skype: renor_


« Ответ #4 : 30.05.2017, 09:32:51 »

А вы проверьте сам eval
http://base64.ru

http://ykhoonextension.com -> Странный производитель.
Ещё, по вашим словам, с неадекватной поддержкой и у меня уже подозрение, что там вшито что-то.
У вас архив покупки есть, выложить?

А лучше не тут, а в комм.разделе, сразу увидят, что там и откуда, если это там.

// Повторюсь, сделайте в выше написанном разделе полный анализ сайта.
Записан
mami_
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 64


« Ответ #5 : 30.05.2017, 09:37:48 »

Анализ сделаю, спасибо.
Да, архив есть, Во вложении

* yKhoon Content Protector Advanced Edition-v1.5.0 - unzip first.zip (487.54 Кб - загружено 2 раз.)
Записан
vipiusss
Профи
********

Репутация: +324/-10
Offline Offline

Пол: Мужской
Сообщений: 5840


Skype: renor_


« Ответ #6 : 30.05.2017, 09:51:21 »

вот где у вас:
\installer\install\plugins\system\ykhooncontentprotectoradvancedhelper.php

При установке он ставится. Удалите полностью расширение и очистите код.
Записан
mami_
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 64


« Ответ #7 : 30.05.2017, 09:55:55 »

Спасибо, я его стер. Там вирус и показывало. Но какого хрена оно в купленном расширении? Производитель говорит, что он не вшивал и это моя проблема. Даже файлы не попросил для проверки. И почему несколько лет онтбыл не активен?
Мне кажется он продает его уже с триппером, оно даже на Joomla extentions выложено, правда версия более новая.
Записан
vipiusss
Профи
********

Репутация: +324/-10
Offline Offline

Пол: Мужской
Сообщений: 5840


Skype: renor_


« Ответ #8 : 30.05.2017, 10:00:56 »

Я показал вам где это. Значит такой разработчик. Архив у него куплен? Вот и напишите ему, какой он "красивый".
Я только увидел файл с кодом, там возможно ещё что-то есть.

И если важно расширение, обратите внимание на XML установщик.
Записан
mami_
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 64


« Ответ #9 : 30.05.2017, 10:03:53 »

Спасибо, обязательно напишу. Подрывает веру в официальнвх производителей.
Записан
vipiusss
Профи
********

Репутация: +324/-10
Offline Offline

Пол: Мужской
Сообщений: 5840


Skype: renor_


« Ответ #10 : 30.05.2017, 10:09:09 »

Спасибо, обязательно напишу. Подрывает веру в официальнвх производителей.


Не стоит всех под одну гребёнку.
Просто пользуйтесь теми, кто выложен на офф.сайте Joomla.org.
Записан
mami_
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 64


« Ответ #11 : 30.05.2017, 10:17:14 »

Хотел на Joomla экстентионс написать отзыв про расширение и что мы видим..
Not allowed

Commercial disputes
Questions to the Developer or Others
Support Requests
Error Messages
Links
Code or Bug Reports
Questionable Language (including cursing)
Languages other than English
One-line Reviews

Если там проблема, то писать можно только производителю.. Молодцы, хорошо придумали.
Записан
dmitry_stas
Профи
********

Репутация: +935/-6
Online Online

Сообщений: 9954



« Ответ #12 : 30.05.2017, 10:23:25 »

Мне кажется он продает его уже с триппером
99% что это не так, и разработчик не при чем. 99% что вирус попал в процессе.
Записан
vipiusss
Профи
********

Репутация: +324/-10
Offline Offline

Пол: Мужской
Сообщений: 5840


Skype: renor_


« Ответ #13 : 30.05.2017, 10:27:16 »

99% что это не так, и разработчик не при чем. 99% что вирус попал в процессе.

В процессе чего? Скачивания? Если ТС прав и выложил купленный архив, то там уже ведь "сидит".
Записан
dmitry_stas
Профи
********

Репутация: +935/-6
Online Online

Сообщений: 9954



« Ответ #14 : 30.05.2017, 10:31:07 »

например да, в процессе скачивания. но в данном случае я согласен, это было не так. по одной простой причине - потому что там вообще нет вируса Azn
Записан
vipiusss
Профи
********

Репутация: +324/-10
Offline Offline

Пол: Мужской
Сообщений: 5840


Skype: renor_


« Ответ #15 : 30.05.2017, 10:35:54 »

например да, в процессе скачивания. но в данном случае я согласен, это было не так. по одной простой причине - потому что там вообще нет вируса Azn

Согласен, там не вирус. Но всё равно, реклама, записанная и зашифрованная не приносит разработчику ничего хорошего.
Записан
dmitry_stas
Профи
********

Репутация: +935/-6
Online Online

Сообщений: 9954



« Ответ #16 : 30.05.2017, 10:41:00 »

реклама чего? Azn php-функции base64_decode? Azn короче, я полностью согласен с

1) Не факт, что три года вирус не активировался. Более вероятна ситуация, что при разворачивании бэкапа происходило моментальное заражение в связи с тем, что, либо на хостинге оставались зараженные файлы помимо бэкапа, либо была уязвимость в самом хостинге и заражение происходило, например, через соседние с Вашим сайты. Я ставлю на первый вариант.

2) Ни одно расширение не даст Вам стопроцентной гарантии. Иначе бы все его ставили, а вирусописатели перемерли от голода. Тем более, что у Вашего расширения, судя по названию, достаточно узкоспециализированный функционал.

3) Проверить сайт стоит. Можно прогнать айболитом и посмотреть что он найдет. Не факт, что Вы все вычистили.
Записан
mami_
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 64


« Ответ #17 : 30.05.2017, 11:16:03 »

Тогда что помогло временно  заблокировать трабл? Перенос хостинга? Может где в файлах сервера вирусняк висит?
Записан
Taatshi
Support Team
*****

Репутация: +452/-0
Offline Offline

Пол: Женский
Сообщений: 5004



« Ответ #18 : 30.05.2017, 11:25:43 »

Тогда что помогло временно  заблокировать трабл? Перенос хостинга? Может где в файлах сервера вирусняк висит?
Скорее всего, перенос с хостинга. Но не факт, что в сайте не осталось уязвимости.
« Последнее редактирование: 30.05.2017, 11:35:04 от Taatshi » Записан
dmitry_stas
Профи
********

Репутация: +935/-6
Online Online

Сообщений: 9954



« Ответ #19 : 30.05.2017, 11:35:30 »

Скорее всего, перенос хостинга. Но не факт, что в сайте не осталось уязвимости.
согласен. скорее всего так и есть по обоим пунктам.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet