0 Пользователей и 1 Гость просматривают эту тему.
  • 356 Ответов
  • 68317 Просмотров
*

danslash

  • Осваиваюсь на форуме
  • 19
  • 1 / 0
очень много файлов заражены. Все JS что есть на сайте. и почти в каждой паке php файл левый
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Как приду домой, после 12 вечера выложу логи. К сожалению будет сложновато, т.к. на 1 акке несколько сайтов, но выложу логи всех сайтов за эти 5 мин заражения. Сайт у меня рекламный и уже начали звонить клиенты с претензиями, т.к. в поисковой выдаче яндекса уже есть сообщение о заражении.
очень надеюсь, что мы поборем эту какашку.
*

BDS

  • Осваиваюсь на форуме
  • 31
  • 1 / 0
Праздники перестают быть скучными :-(
Сделал все как
Вроде все почистил. Пока все норм. Делал таким образом:
1) Пользуясь постоянно Хромом, удалил кеш, куки
2) Поменял пароль от хостинга (хотя думаю не в этом дело)
3) В Мозиле почистил все (кеши, куки)
4) Зашел на хостинг и скачал то что есть
5) В Тотал Коммандере искал файлы с текстом "echo '<textarea id=areatext>';" , "if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg'])))))" , "echo '</textarea>bg';" ,"/*214afaae*/" их оказалось очень много
6) Чистил данные файлы

Итог через два часа играем сново
*

Greycat

  • Захожу иногда
  • 298
  • 64 / 0
BDS, удалите расширения от NoNumber. А лучше ещё и JCE.

По любому у вас уже полно новых PHP-файлов с именами типа "ad3fd7d.php", которые и тянут заразу на сервер.

Последовательность действий следующая:
1. Удалить расширения NoNumber. JCE тоже удалить или обновить до последней версии (мне, вроде, помогло просто обновить).
2. Сравнить php-файлы с бекапом не новее начала апреля. Удалить все лишние PHP-файлы с несуразными именами, которых нет у вас в бекапе.
3. Заказчать ВСЕ JS файлы из чистого бекапа.
4. Очистить кеш на сайте и в браузере.
5. Посмотреть логи - откуда обращаются к левым php - забанить по IP нафик!
« Последнее редактирование: 04.05.2013, 15:59:25 от Greycat »
Я.д.=41001239962471  |  WMR=R271925495206  |  WMZ=Z144922023512
*

era

  • Администратор
  • 1587
  • 391 / 5
  • В туалете лучше быть пользователем, чем админом.
немного информации: вчера ко мне тоже обратились по этой-же проблеме, JS-файлы заражены. В итоге была найдена куча файлов (типа "ad3fd7d.php"), залиты они были ещё в первом полугодии 2012-го, а "сработали" только сейчас.
*

Greycat

  • Захожу иногда
  • 298
  • 64 / 0
немного информации: вчера ко мне тоже обратились по этой-же проблеме, JS-файлы заражены. В итоге была найдена куча файлов (типа "ad3fd7d.php"), залиты они были ещё в первом полугодии 2012-го, а "сработали" только сейчас.

О, жесть! Интересно, что хоть "мы" таким образом вирусами атакуем? Пентагон?
Я.д.=41001239962471  |  WMR=R271925495206  |  WMZ=Z144922023512
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
немного информации: вчера ко мне тоже обратились по этой-же проблеме, JS-файлы заражены. В итоге была найдена куча файлов (типа "ad3fd7d.php"), залиты они были ещё в первом полугодии 2012-го, а "сработали" только сейчас.

touch

Когда угодно могли.
*

Greycat

  • Захожу иногда
  • 298
  • 64 / 0
немного информации: вчера ко мне тоже обратились по этой-же проблеме, JS-файлы заражены. В итоге была найдена куча файлов (типа "ad3fd7d.php"), залиты они были ещё в первом полугодии 2012-го, а "сработали" только сейчас.

Кстати, а как ты определил, что в 2012? По дате на файле или по логам загрузки?
Когда я заменял заражённый JS чистым (с сегодняшней датой). Тот через некоторое время опять заражался, при этом дата его ставилась сильно в прошлое. В 2012 год. Вполне возможно, что на файле дата поддельная.
Я.д.=41001239962471  |  WMR=R271925495206  |  WMZ=Z144922023512
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Тоже начал думать, что вирусняк был залит давно и сидел, пока не прошла его активация. Но расширений от no number и JCE у меня ни на 1-м из не установлены, а вот akeeba стоит на всех сайтах.
*

artlux

  • Захожу иногда
  • 466
  • 58 / 0
Код
Итог через два часа играем сново
BDS, пароли разумеется храните прямо в ftp клиенте?!
Разработка расширений: Joomla 1.5+, Bitrix 12+, Мобильные приложения для сайтов под Android (PhoneGap).
Для бонусов: Z136221252622, R242724126443, U423945028202. +79211696184(Мегафон), или плюсик в репу!
*

era

  • Администратор
  • 1587
  • 391 / 5
  • В туалете лучше быть пользователем, чем админом.
touch

Когда угодно могли.
пока ни разу не видел чтобы вирусы меняли дату файла. Могли конечно, но маловероятно.
*

era

  • Администратор
  • 1587
  • 391 / 5
  • В туалете лучше быть пользователем, чем админом.
Кстати, а как ты определил, что в 2012? По дате на файле или по логам загрузки?
не, логов за год назад нет :)
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Вот я сегодня видел.
*

artlux

  • Захожу иногда
  • 466
  • 58 / 0
в последнее время активизировались чтото все и всяк...
!. Вирусы появлялись только на сайтах joomla 1.5 (на 2.5 еще случаев небыло)... Сайты на битриксе чистые (проактивная защита, но и там были попытки сканить на уязвимости)...

В качестве временной меры
disable_functions="popen,exec,system,passthru,proc_open,shell_exec",
удалил JCE, Запретил выполнение php скриптов везде где это не нужно...

запросы идут как и раньше но пока все они пустые (шелы и прочую нечисть посносил разумеется)...
А вот кудой ломали пока так и не вычислил... (логи на дату заливки файлов позатирались уже давно, жду следующей атаки чтобы закрыть дыру)
Разработка расширений: Joomla 1.5+, Bitrix 12+, Мобильные приложения для сайтов под Android (PhoneGap).
Для бонусов: Z136221252622, R242724126443, U423945028202. +79211696184(Мегафон), или плюсик в репу!
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
У меня тоже вирус, который меняет дату на произвольную, например 2012 года, но не на ту, когда он исправил файл. В этом то и сложность выявления, хотя в январе этого года была разновидность, где явно была видна дата замены. Я думаю, что разработчики специально внесли коррективы, чтобы было сложнее вычислить.
*

SorokinS

  • Захожу иногда
  • 165
  • 12 / 1
Я еще в декабре 2012 (у меня тогда началась веселуха со взломами) Удалил или обновил расширения JCE и Nonumber.

НО! Обратите внимание! Видимо я плохо удалил и папке: /public_html/plugins/system/ была папка с nonumber.

*

annushka

  • Захожу иногда
  • 148
  • 2 / 0
  • Joomla!
Вот и меня не минула доля сия:

Спойлер
[свернуть]
Тоже видит только Яндекс, заражены все сайты на аккаунте. Где-то с месяц назад тоже было заражение, Каспер распознавал. Вылечила максимальным бекапом. Сейчас бекап не помог. Обновилась до последних версий, есть сайты на 1.5, 1.7, 2.5, 3 с чем-то там.
В общем, сейчас обновляюсь до последней 1.5, потом буду искать эту каку через ftp. Хостинг бегет.
А у меня, между прочим, Первого мая день рождения был, а второго такой "подарочек".
*

Greycat

  • Захожу иногда
  • 298
  • 64 / 0
Есть ещё вариант, что эта зараза пролезла на сайты для обновления на 2.5.11. Возможно как раз в  2.5.11 дыра была закрыта, но залитые шелы остались и ждали праздников, когда все админы на шашлыки по дачам разъедутся. Может поэтому и атакуют пока Российские сайты, потому что наши празднуют. На форуме Joomla.org вроде тишь да гладь.
« Последнее редактирование: 04.05.2013, 16:33:25 от Greycat »
Я.д.=41001239962471  |  WMR=R271925495206  |  WMZ=Z144922023512
*

GlooM

  • Давно я тут
  • 558
  • 91 / 0
  • AdsManager
Greycat, из 15 сайтов у меня был только один на 1.5 - именно там нашел "странные" php-файлы..
*

artlux

  • Захожу иногда
  • 466
  • 58 / 0
annushka, Stich SPb - пароли храните в ftp клиентах или нет?
Разработка расширений: Joomla 1.5+, Bitrix 12+, Мобильные приложения для сайтов под Android (PhoneGap).
Для бонусов: Z136221252622, R242724126443, U423945028202. +79211696184(Мегафон), или плюсик в репу!
*

annushka

  • Захожу иногда
  • 148
  • 2 / 0
  • Joomla!
annushka, Stich SPb - пароли храните в ftp клиентах или нет?
Не храню.

Подскажите полному нулю в этом деле: если я запущу в тотал коммандере  поиск по фразе /*214afaae*/(function(), я вычислю эту гадость? Ну и подозрительные цифровые php поищу.
« Последнее редактирование: 04.05.2013, 16:41:32 от annushka »
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Есть ещё вариант, что эта зараза пролезла на сайты для обновления на 2.5.11.
Ну так очень быстро прошли от 2.5.10 до 2.5.11.Значит был какой то трабл.
Вопрос по этим файлам, с рандомным набором символом- а кто искал сканером  fls.php ?
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Храню в ftp клиенте, но прикол то в том, что у меня там не 1 ак забит, но заражаются только мои сайты. На компе стоит каспер интернет секьюрити.
*

deco90

  • Новичок
  • 5
  • 0 / 0
Кому лень искать или не может - http://www.revisium.com/ai/, хорошо так проверяет.
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Я искал. Эти "ad3fd7d.php" что ли? post в них видит. А там уже сразу понятно, что нехорошее.
*

artlux

  • Захожу иногда
  • 466
  • 58 / 0
Цитировать
annushka, Stich SPb,
_http://yandex.ru/yandsearch?text=%2F*214afaae*%2F&clid=9582&lr=157&rd=0
Далеко не все сайты на Joomla...

Много раз сталкивался с подобным типом заражения сайтов...
В большинстве из них виной были угнаные пароли от ftp... А после уже уязвимости системы управления...

Обычно ссылки в этих js ведут на страницу с HEUR:Trojan.Script.Generic и подобным вирусам... Который, в свою очередь заражает комп угоняет пароли если они имеются и т.п. (таким образом он и распространяется)...

Так что первым делом обновляем антивирус, чистим комп от вирусов, удаляем временные файлы -
после когда вы начнете чистить ваш нормальный антивирус(касперский, Комодо) даже не даст открыть файл для удаления вреданосного кода и его просмотра! Так что сам процесс чистки очень острожно должен протекать...

Если гдето неправ, гуру поправляйте...
Разработка расширений: Joomla 1.5+, Bitrix 12+, Мобильные приложения для сайтов под Android (PhoneGap).
Для бонусов: Z136221252622, R242724126443, U423945028202. +79211696184(Мегафон), или плюсик в репу!
*

annushka

  • Захожу иногда
  • 148
  • 2 / 0
  • Joomla!
У меня Касперский Crystal. Он этот вирус в упор не видит.
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Просто не знает. Вот если стукнуть поддержке касперского...
*

artlux

  • Захожу иногда
  • 466
  • 58 / 0
Код
У меня Касперский Crystal. Он этот вирус в упор не видит.
Я вот только проверил мой kis12(лиц) - тоже не видит его... видимо url еще не успел попасть в базы а-виров...
Разработка расширений: Joomla 1.5+, Bitrix 12+, Мобильные приложения для сайтов под Android (PhoneGap).
Для бонусов: Z136221252622, R242724126443, U423945028202. +79211696184(Мегафон), или плюсик в репу!
*

annushka

  • Захожу иногда
  • 148
  • 2 / 0
  • Joomla!
А вот пойду и стукну Касперам. Пусть тоже на Майских маются. 8)
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Изолирование папок сайтов на OpenServer

Автор Lemady

Ответов: 41
Просмотров: 5686
Последний ответ 29.11.2021, 15:47:31
от KoreshS
[Решено] В php файлах во всех появилась хрень какая-то появилось давно что это ?

Автор altyn

Ответов: 72
Просмотров: 36420
Последний ответ 17.01.2019, 00:51:02
от Roki37
Делаю почту в общих настройках через smtp - в тот же день ящик взломан

Автор Mehanick

Ответов: 22
Просмотров: 1104
Последний ответ 25.05.2018, 08:11:19
от dmitry_stas
На мобильном не работает сайт (решено, ошибка в андройде)

Автор dragon4x4

Ответов: 5
Просмотров: 1263
Последний ответ 01.03.2018, 22:46:10
от dragon4x4
В админке еще один администратор

Автор Lidia

Ответов: 26
Просмотров: 2045
Последний ответ 07.12.2017, 16:55:25
от Fess_N