Сканируем сайты! Сканер сайта или Shell and Backdoor Script Finder - страница 5 - Безопасность сайтов на Joomla

2udzin
Спасибо, в сканере это будет реализовано, точнее уже есть но в новом, его скоро представим

 Ребята помогите! 1)около 2 месяцев назад взломали сайт, я подумал. что просто сбой, на всех страницах перед контентом был какой-то код. потом всё стало нормально. 2) пару недель назад купил программу page-weiht и обнаружил исходящие ссылки с сайта на каждой странице после контента и перед футером:  <div style="display:none"><a href="http://"></a></div>, сейчас это выглядит так, как указанно выше, раньше была полноценная ссылка. Шаблон рукописный в артистер, версия Joomla 1.5.25. Думаю надо искать в расширениях, но как не знаю, на хостинге всё перелопачиавть вручную долго. сайт http://pianomax.ru/ Готов заплатить! Для меня это дело принципа. Заранее благодарен! Использовал вашу  программу, нашёл только это:File: /home/users1/a/apolomax/domains/for-pianomax/components/com_mailto/controller.php
String:: $_POST[

File: /home/users1/a/apolomax/domains/for-pianomax/components/com_jcomments/tpl/default/tpl_comment.php
String:: confirm(

File: /home/users1/a/apolomax/domains/for-pianomax/components/com_content/content.php
String:: $_POST[

File: /home/users1/a/apolomax/domains/for-pianomax/administrator/components/com_jcomments/admin.jcomments.html.php
String:: confirm(

File: /home/users1/a/apolomax/domains/for-pianomax/administrator/components/com_jcomments/admin.jcomments.php
String:: $_POST[

File: /home/users1/a/apolomax/domains/for-pianomax/administrator/components/com_content/admin.content.html.php
String:: confirm(

File: /home/users1/a/apolomax/domains/for-pianomax/administrator/components/com_trash/admin.trash.html.php
String:: confirm(

File: /home/users1/a/apolomax/domains/for-pianomax/libraries/joomla/html/toolbar/button/confirm.php
String:: confirm(

File: /home/users1/a/apolomax/domains/for-pianomax/libraries/joomla/environment/request.php
String:: $_POST[

Попробую ваше решение. Уже третий раз взламывают. Доступ к фтп только по моему IP, пароль от фтп тоже меняется частенько. На компе стоит касперский.
Первый раз был изменен .htacces и несколько файлов index.php
Второй раз прибавилась огромная куча еще разных PHP файлов.
Сейчас же созданы новые файлы php которые лежат в папке administrator, названия у файлов абсолютно разные и их может быть несколько, в файлах кроется все тот же злостный eval. И подключается к индексу через requere_once("administrator/file.php")

Нашел кучу всего, удалил несколько файлов. Сайт перестал открываться, удалил requre_once из индекса, но вирус всеравно остался гдето.
Кстати вирус работает только на мобайле (телефон, планшет) пересылает на сайт с зловредной оперой 7.

Я так понял ваш скрипт не удаляет и не лечит файлы? а просто находит где может быть проблема?
И еще в вашем скрипте тоже какойто страшный eval или это он уже заразился?

Я так понял ваш скрипт не удаляет и не лечит файлы? а просто находит где может быть проблема?

это - Сканер! он не может лечить и не должен(не надо путать с антивирусными программама), он показывает те файлы которые необходимо проверить на наличие стороннего кода и shell утилит

сайт это не программы на ПК, и не один антивирус не будет хранить базу сигнатур, и не будет лечить файлы, будет просто файлы с подозрениями удалять(что повлечет за собой неработоспособность сайта)

вопрос не первый раз поднимается ответ один кто думает что Сканер! это антивирусная программа, пусть ответит себе сам почему разработчики известных антивирусов не сделали сие чудо

ответ-потому что практически невозможно подстроить под каждую CMS и код сайта

И еще в вашем скрипте тоже какойто страшный eval или это он уже заразился?

это чтобы антивирус не ругался

Спасибо за разъяснение

Добрый день!
На всех сайтах хостинга прописался eval(base64_decode...
Кто поможет устранить проблему, выявит причину и закрыть уязвимости?

Доброе время суток! Нужна помощь по теме )). Как с Вами связаться?

Благодарю за оперативный ответ))))
сайт, уже месяца три пытаюсь очистить от чужих страниц и вирусов. Они появляются опять, началась паранойя. Сам умею только текст набирать, и то с ошибками. Пока заношу те страницы которые нашел в робот.тх. но смысл в предотвращении подобной истории. Сколько может стоить подобная услуга не знаю даже приблизительно, может понадобится время что бы собрать нужную сумму. Написал как мог.

читайте почту

2flyingspook:  Добрый день, спасибо за ваш труд! В копилочку вам хотел предложить гадость, найденную у себя вручную (а точнее, через AVG).
Лежит в \modules\mod_zetta.  Скрипт ее не видит.

@mark1
спасибо, еще не знаю что там, но думаю новый скрипт её уже видит
сделайте скрин или выборку функций, не стоит грязные архивы прикреплять, и код на прикрепляйте тоже(функций PHP или скрина файла хватит)

flyingspook, огромное спасибо за Вашу оперативную помощь! Полгода билась с непонятными глюками (вирусней) на сайте, ребята все быстро вычистили!
не сочтите за флуд...

@mark1
спасибо, еще не знаю что там, но думаю новый скрипт её уже видит
сделайте скрин или выборку функций, не стоит грязные архивы прикреплять, и код на прикрепляйте тоже(функций PHP или скрина файла хватит)

1) что значит "новый"? Прикрепленный к теме скрипт датирован 26.05.2012
2) Приложенную/указанную мной заразу этот "новый" скрипт не видит. Как и скрипт ai-bolit.
3) Код зашифрован слегка, по схеме очень похож на вот этот: http://stackoverflow.com/questions/3328235/how-does-this-giant-regex-work Я же в архиве приаттачил, имхо это не было опасно.  Зачем было тереть сообщение - не пойму.

Кстати, шелл оформлен как модуль Joomla

сканер все ищет это старый shell, а про новый это платный скрипт, пишу описание работы и на днях сообщим
приататченый в паблике так и останется мы его менять и дорабатывать не будем, у платного будет полная поддержка и доработка

вы попробуйте и откройте файл со строками до preg_replace( и посмотрите что сделает антивирус так и ваш прикрепленный архив он просто его не захотел   сказал не съедобно

Хочу заказать "чистку сайта от зверей", как с вами можно связаться?

Добрый день, коллеги!
Внимательно всё читал в течение двух часов, смотрел, чистил.
С помощью скана наткнулся на запись:


Внутри обнаружил код, необычно отформатированный и какой-то неявный...

Это ведь оно, правда?

Мне только кажется или действительно осенью бум начался на заражение ? Прям октябрь-ноябрь "удачно" пошли у многих.
У меня тоже такая же шляпа

Внутри обнаружил код, необычно отформатированный и какой-то неявный...

толи еще будет

Оказалось, не страшно...
Просто криптнутый код шаблона. Кто-то заморочился и решил его расковыять...
Подробнее здесь: ivanvillareal.com/development/php-development/decrypting-sourcecop-php-files/

подскажите значение:  String:: $_POST[  ; String:: confirm(; String:: WebControls; String:: phpinfo(); String:: default_action = 'FilesMan'; String:: FilesMan; String:: c99; String:: c100

Вот такой результат что то означает ?

да я не паникую, хотя конечно неприятно, и что-то делать надо. Порылся по файлам - не нашел пока ничего подозрительного, хотя не настолько я спец, может пропустил что. Еще подсказывают что зараза прописана может быть не в файлах а в базе, но опять же - что именно искать, что это "mail" к ссылкам прописывает?

Здравствуйте! Помогите пожалуйста, не могу понять, где что искать и как избавиться от вредоносного кода, который нашел Яндекс на нашем сайте скачала fls, запустила, выдает следующий текст

а что делать дальше - я не знаю. Прошу прощения за непрофессиональный подход и вопрос, но кроме меня сейчас некому исправить проблему, а из-за нее - наши клиенты боятся заходить на сайт .

Предыстория- за несколько дней до появления "вредоносного кода" на сайте - заходя на сайт открылось белое окно с надписью Illegal variable _files or _env or _get or _post or _cookie or _server or _session or globals passed to script.

решила проблему как описано на этом сайте

Возникла проблема. При входе выводит строчку
Illegal variable _files or _env or _get or _post or _cookie or _server or _session or globals passed to script.

Решение:
В файле request.php
libraries/joomla/environment/request.php

Строку:

Код: php

$failed |= is_numeric( $key );

Закоментить вот так:

Код: php

//$failed |= is_numeric( $key ); 

все заработало, но через день или два начались проблемы с вредоносными кодами ((((

(ощущение такое, будто кто-то специально пытается все сломать.. к слову три дня подряд блокируют мэил ру и вынуждают менять пароль ( мой мир) из-за попытки взлома страницы. плюс каждый день переплачиваем за превышение процессорной нагрузки с разных ip)

Хотелось бы разобраться что к чему и как-то обезопасить сайт в будущем, если это возможно.

Заранее спасибо за помощь и извините, если не в ту тему написала о проблеме.

никто помочь не хочет.. (

пока я разобралась с тем, что во все скриптовые файлы сайта прописан код
в ручную пыталась все эти коды удалить, поменяла пароли к ftp, админке.., сделала бэкап сайта, но на главной странице, в исходном коде все равно виден этот вредоносный монстр ((((

что я не так делаю? помогите пожалуйста!

natta007
Результат сканера, от 09.12- все ок, но нужно просмотреть каждый файл.
Ищи в коде index.php вставленный тобой код, который может добавлять вредоносный код, с другого сайта/сервера

Спасибо за ответ!
Вроде справилась с Linkfoot
протестировала сайт онлайн
теперь выдает вот что


теперь я вообще ничего не понимаю.. ни в одном скрипте я не вижу фейсбук, удалила с сайта плагин с кнопками соц сетей, а что дальше уже не соображаю.. я уже трое суток не сплю нормально, тк пришлось во всем разбираться с нуля самой, но, видимо,  сказывается то, как все это меня достало, поэтому я уже ничего не могу сама понять  
если не сложно, подскажите, что с этим делать?
а еще - совсем не поняла, как пункт 10 связан с сайтом? где его искать?

ну во первых выспаться, и на свежею голову все сделать,
прочитать ту ссылку что отправлял и понять что именно искать необходимо,
может ругается не на ваш сайт такое бывает с googl api как то проблема была, антивирусники как наши депутаты делают иногда  о не зная что потом штаны подтирают за собой же

а еще - совсем не поняла, как пункт 10 связан с сайтом? где его искать?

Смотри где у тебя подгружается http://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js
Отключи его.И скачай, подключи нормальный 1.7.1/jquery.min.js

flyingspook, Спасибо, выспаться -это точно то, что нужно ))

Спасибо за ссылку, поизучаю, может воспользуюсь


draff, спасибо, буду пробовать

При открытии сайт/fls.php
выходит ошибка
Fatal error: Call to undefined function hash_file() in ***/docs/fls.php(11) : eval()'d code on line 40

Это нормально?