Вирус на сайте, редирект, что делать как лечить! - страница 3 - Безопасность сайтов на Joomla

maxis тоже молодец- раз понял, так объясни другим. Помоги понять.

Насколько я понял по своему недавнему опыту - надо искать функцию base64_decode и в скобках этот самый код который похож на ключ шифрования (буквы и цифры). - Уже написали.
При загрузке страницы оно раскодируется и превращается в какой-нибудь скрипт, который и расползается по сайту. Оба раза находил этот ключ в коде компонентов или модулей сторонних разработчиков (K2 и модуль Joomlart).
В моём случае кроме base64 нашёл код во многих файлах .js (в конце) и .php (в разных частях файла). Использовал Notepad++, открывал сразу кучу файлов и по всем открытым файлам поиск. Было заражено 2 независимых сайта (на разных хостингах), что наводит на мысль, что зараза как то связана с компьютером, на котором я работаю, скорее даже браузерам. Привожу код для специалистов.

maxis, да, вчера я написал провайдеру хостинга. Они мне ответили, чтобы я обновлял CMS и все модули, что их сервера мониторятся 24 часа в сутки, но почему-то после этого все стало прекрасно работать. Редирект исчез. Протестил сегодня на 5ти компьютерах, на афйоне и планшете на андройд, раньше с них редиректило на каку-то бяку, теперь все чисто. реально не знаю с чем еще связать кроме как с тем, что все таки ребята на хостинге что-то вылечили.
Ошибка внизу - последствия вычистки видимо, буду править.

блин, сайт поработал денек исправно и снова не грузит.
Мигнет на секунду и дальше в вечную загрузку с пустой белой страницей.
Файрфокс поет все ту же песню: [20:50:14.658] Load denied by X-Frame-Options: http://www.google.ru/ does not permit cross-origin framing.

вот еще выдает подозрительную строку: --
[20:54:52.117] GET http://gwtpw.dns-stuff.com/a54838f.GJqpytUHoE1?default [HTTP/1.1 302 Found 560мс]

обновил страницу пару раз, прошло чуть больше заголовков, вот еще подозрительный: [21:04:18.385] GET http://jfjtsnfir.lflinkup.net/60eab6d.rg5qrvUkePR?default [0мс]

Тоже подцепил эту дрянь. В js файлах в конце дописывается http://gwtpw.dns-stuff.com/a54838f.GJqpytUHoE1?default и файлы перезаписываются почти каждый час (появляются другие адреса сайтов). Стоит ограничение FTP по IP, ограничение админки по IP, проверил все сайты fls и айболитом, самое интересное, он как-то поменял разрешения на все js файлы на 444. Сегодня хостер сделал бэкап сайтов, но через несколько минут опять перезаписались все js файлы.

И что по логи хостинга тоже трет?
Вариант- запретить выполнение скриптов .pl , .php во всех папках каталога /images

когда чистил сайт, удалил все левые файлы php в папке image. Сейчас там нет ни одного файла.

переделал свой скрипт из темы http://joomlaforum.ru/index.php/topic,197284.msg1043065.html#msg1043065
http://secu.ru/scripts/find-and-replace
теперь можно использовать регулярные выражения
например чтоб найти все фреймы в файлах, нужно отметить "Искать по маске" и ввести \<iframe.*?\<\/iframe\>
еще пример: для поиска всех e-mail введите [-\.a-z0-9]+@[-a-z0-9]+\.+[a-z]{2,4}

также сделал небольшой сервис для проверки мобильного редиректа
http://secu.ru/online-services/redirect
может кому нибудь пригодится

когда чистил сайт, удалил все левые файлы php в папке image. Сейчас там нет ни одного файла.

А файл всем известный как /images/story.php , был как story.gif

да, какую то гифку тоже удалял. Айболит ее находил

Обнаружил вредоносный код: eval(base64_decode("DQp***p9"));

но в некоторых файлах присутствует как  eval(base64_decode("DQ***Qp9")); } else {echo 'var exppand_active = false;';}?>

удалять ли строку } else {echo 'var exppand_active = false;';}?> (встречаются другие варианты, типа $jvAMenuHelper->showMenu($params,$itemId); ?>) являются ли следующие за вредоносным кодом строки так же вредоносными, или удалять строго указанный выше код?

дописывается после - или еще дальше в право
удалять от   всю закодированую строку -  - это за кодированные вставки редиректов обычно
- остальное все в каждом конкретном случае по разному   

то что eval(base64_decode("DQp***p9")); редирект понятно, я хотел уточнить, если в этой же строке за ним идет другой код, удалять строку полностью, кроме <?php или ограничиться только eval(base64_decode("DQp***p9"));? Так как в php не силен, мне важно знать, если удалять всю строку то не отразиться ли это на работе сайта?

вот пример окончания строки:

...7DQoJCWV4aXQoKTsNCgl9DQp9DQp9")); // no direct access

или

...7DQoJCWV4aXQoKTsNCgl9DQp9DQp9")); foreach ($list as $item) : ?>

или

...7DQoJCWV4aXQoKTsNCgl9DQp9DQp9")); echo $item->link; ?>">

и тд.

И еще вопрос, есть какое нибудь оперативное решение чистки кода от заразы, какая нибудь программа? Слишком уж трудоемкая работа читстить каждый файл.

удалять только
программа любая самое простое notepd++

самое простое мой скрипт, его легче на хостинг залить чем целый сайт выкачивать
включить "Искать по маске"
ввести eval\(base64_decode\(\"DQp.*?\"\)\);

Я Notepad++ как раз и пользуюсь, алгоритм действия такой: открываю файл в ноутпэд - ctrl+f - заменить eval(base64_decode("DQp***p9")); на (пробел)- заменить всё. Возможно ли в Notepad++ заменять код сразу в папке применительно ко всем вложениям, чтобы сразу во всех файлах php его поменять, или возможен только вариант как я описал выше, т. е. каждый файл лопатить? Я так прикинул на это около 8 часов должно уйти... После замены вредоносного кода во всех файлах сайт должен открываться в результатах поиска ПС или необходимо провести еще какие-то операции по восстановлению? Хостеры сказали что удалишь эту гадость и должен открываться, но кардинально проблему решит, только обновление cms.

icom, где можно твой скрипт скачать?

Я Notepad++ как раз и пользуюсь, алгоритм действия такой: открываю файл в ноутпэд - ctrl+f - заменить eval(base64_decode("DQp***p9")); на (пробел)- заменить всё. Возможно ли в Notepad++ заменять код сразу в папке применительно ко всем вложениям, чтобы сразу во всех файлах php его поменять, или возможен только вариант как я описал выше, т. е. каждый файл лопатить? Я так прикинул на это около 8 часов должно уйти...

А в том же редакторе- Найти в файлах- Заменить все, и указать папку с файлами сайта, не пробовал?

draff, не пробовал) спасибо за совет!

Сегодня Google письмом порадовал: Уведомление о возможном взломе сайта. И адрес странички site.ru/?option=/cat/Trebuetsya-perepletchik.html
Я зашёл - а там прямо хренова туча идиотских страниц с машинным текстом, идиотским картинками, вставленным ютьюбовским видео, ссылками друг на друга. Есть даже sitemap.html - там все эти странички перечислены.
Причём страницы созданы на базе моего шаблона, главное меню сохранено, на сайт выйти могу. Никаких редиректов нет, все ссылки на вирусных страничках внутренние.
Залез в админку - новых страниц нет (ну адреса вообще для моего сайта нехарактерны). На FTP залез - нету в корне сайта ничего подозрительного. Проверил все папки - время и дата в последнее время не менялись, искал эти странички поиском в Total Commander - нет таких адресов на сервере.
Скачал fls.php - может, я чего не понимаю, но по-моему ничего подозрительного.
по версии webmaster.yandex: Вредоносный код на сайте не обнаружен.
В админке ничего подозрительного нет. .htaccess в порядке.
Сейчас выкачиваю содержимое сайта на винчестер, буду сканировать на вирусы.
Ну и FARом ещё пробегусь.
Есть какие-то мысли, что бы это могло быть?
Восстановить можно копии за последнюю неделю, хостер каждый день бекапил. Но как назло вчера вечером я много изменений в VirtueMart вносил, так что это как крайний вариант.
J-1.5.22, JCE 1.5.6.
PS: сканирую far-ом. Я правильно понял, что надо искать точное совпадение с текстом ?
тогда у меня именно этих фрагментов кода нет
айболит не запустился -  502 Bad Gateway.
php.ini в корне сайта не нашёл, доступ к серверу через SSH пров не даёт.
Блин, как очистить сайт? А может, и нет у меня никакой заразы? У меня виртуальный хостинг, может это у соседей вирусняк, а я тут мучаюсь.

На FTP залез - нету в корне сайта ничего подозрительного.

А не в корне?

искал эти странички поиском в Total Commander - нет таких адресов на сервере.

Т.е. файл Trebuetsya-perepletchik.html на хосте гарантированно отсутствует?

.htaccess в порядке.

Уверен, что просмотрел весь файл до конца? Могут вставить полторы тысячи пустых строк, и только в конце файла - бяка.

как назло вчера вечером я много изменений в VirtueMart вносил, так что это как крайний вариант.

Не мог поставить какое-то расширение с бэкдором (модуль, плагин)? Если ставил что-то новое, попробуй удалить и потом проверить, будет ли открываться "левая" страница (после очиски кэша, если страницы кэшируются).

J-1.5.22,

Нужно обновиться, причём очень давно.

У меня виртуальный хостинг, может это у соседей вирусняк, а я тут мучаюсь.

При такой структуре ссылки это крайне маловероятно. Сама страница может быть где угодно, но если она открывается на твоём домене, у тебя есть проблемы.

site.ru/?option=/cat/Trebuetsya-perepletchik.html

Исходя из структуры ссылки я бы попробовал
1. Скопировать index.php из корня на свой локальный диск
2. Заменить этот файл новым из дистрибутива Joomla
3. Проверить, появляется ли "левая" страница с новым индексом. Дальше - в зависимости от результата.

JCE 1.5.6.

Сейчас придет wishlight , и напишет что взломали через JCE

после чистки кода

eval(base64_decode("DQp***p9"));

Сайт стал вообще недоступен. В чем может быть причина?

Могут вставить полторы тысячи пустых строк, и только в конце файла - бяка.

как в воду глядел - куча редиректов на какую-то помойку. Удалил, но лучше не стало.

Не мог поставить какое-то расширение с бэкдором (модуль, плагин)? Если ставил что-то новое, попробуй удалить и потом проверить, будет ли открываться "левая" страница (после очиски кэша, если страницы кэшируются).

Ставил недавно только Joomla4Schema, удалил через JCE Инсталлятор, ситуация не именилась. Ещё что-то надо чистить?

Нужно обновиться, причём очень давно.

Сейчас, или сначала надо вылечиться?

1. Скопировать index.php из корня на свой локальный диск
2. Заменить этот файл новым из дистрибутива Joomla
3. Проверить, появляется ли "левая" страница с новым индексом. Дальше - в зависимости от результата.

Скопировал из старого бекапа, двухлетней давности - не помогло.
Есть ли смысл пробовать с новым из дистрибутива Joomla? Брать из любого дистрибутива 15.XX, или только той версии, которая в данный момент у меня на сервере?

Ещё что-то надо чистить?

Если проблема остаётся, тогда что-то надо чистить наверняка. Вот что - пока не скажу )

Сейчас, или сначала надо вылечиться?

Я бы сначала упаковал весь сайт на хосте в архив (не забыв скопировать и БД), утянул этот архив на локальный компьютер для анализа, после этого на хосте распаковал дистрибутив Joomla 1.5.26 поверх старых файлов с их перезаписью (но это возможно только при условии, что файлы движка не "хакались" разработчиком сайта). Я не знаю, что и где там наковырял хакер, но на работоспособности сайта обновление не должно сказаться отрицательно. В случае же появления проблем всегда можно будет откатиться к старой версии, которая лежит в архиве.

Скопировал из старого бекапа, двухлетней давности - не помогло.
Есть ли смысл пробовать с новым из дистрибутива Joomla?

Если есть уверенность, что "левая" страница появилась после создания бекапа, тогда смысла мало. Если обновить движок так, как описано выше, корневой index.php тоже обновится до 1.5.26

Добрый день!
С такого рода проблемой сталкиваюсь в первый раз - до сего дня "изгнанием вирусов" с сайта не занимался =( В общем все мои сайты на хостинге, если заходить на них с мобильных устройств (проверял на айпаде и айфоне) делают редирект на сайт mobi-bro.com с предложением отправить SMS и обновить Flash плеер. Вот один из сайтов cleanok.spb.ru. Прочитав первый пост о лечении не особо понял какой именно вредоносный код необходимо искать =(. Может быть кто сталкивался с подобной проблемой и сможет подсказать как ее решить! Заранее спасибо!

в файле .htaccess удали перенаправления

редиректит не будет... Но это не основное причину полюбому надо искать!

в файле .htaccess удали перенаправления

редиректит не будет... Но это не основное причину полюбому надо искать!

Возможно я просто не представляю как они выглядят, но я ни одного перенаправления не смог найти =(

Прикладываю код htaccess

Более того при мультипоиске по всем текстовым файлам директории слова mobi-bro.com - нигде этот сайт не фигурирует.

.htaccess -  с точкой вначале есть файл?

если это он - тогда заражены уже сами файлы на сайте... тут уже повеселее ситуация, без ssh и знания команд - будет довольно сложно вычиститься