Вирус на сайте - страница 2 - Joomla 1.5: Настройка и оптимизация

Печально, что Вы не видите, что именно в этом колыбельном функционировании и состоит цель варез-предпринимателей. Их цель - серверы, а не веб сайты. Или Вы думаете они вам на захваченных сайтах на главной странице разместят крупный баннер "Этот сайт контролирует дикхэд Иван Иванов!"?

Я лишь пытался сказать, что если сайты заражены, это не значит, что нужно менять хостинг и собирать все с нуля, как вы пишите.
А цели злоумышленников могут быть разные...

Нет проблем.

Так а какова вообще цель этого вируса? Не давать возможность создавать статьи?

У вас в частности слив трафика. Спамить к примеру. А еще у вас достаточно толстый сайт, чтобы продавать на нем ссылки и прочее. Если не брать к вниманию сервер.

Короче я сдаюсь. Времени бороться с вирусом вообще нет. Видимо придётся делать все сайты с 0.

а другие сайты домены покажете?

Столкнулся вчера с аналогичной ситуацией, только сначала проблема была в том что не мог зайти в админ.панель на Joomla 2.5, появлялся белый лист, увидев ошибку в скриптах глянул их и увидел вот этот самый левый код "//beleiad9 ... //kolamne817". На аккаунте находится несколько сайтов, из них почему то некоторые заражены, а некоторые нет, причем заливал новый сайт на Joomla 2.5, через пару часов код прописывался и там.
Интересно что на этом сервере давно никаких расширений не ставил и даже недавно переносил сайты с этого сервера на другой и они чисты.
Еще более интересно что пошарив в папках на сервере обнаружил на одном из сайтов (сайт на Joomla 1.5) интересную папку созданную 31 мая, папка называлась "aaa", а в ней находился шаблон от другого сайта (который я не так давно перенес и он был чистый), а в шаблоне в папке "images" файл 2903.php, а в нём код:

Теперь начинаю понимать почему Google AdSense периодически с начала лета ругался на сайт, говоря о вредоносном коде, но потом почему говорил что всё нормально.
Собственно сайт обновлял только в середине мая (13-14), обновил компоненты "alphacontent", "jdownloads", а так же поставил раширение "sh404sef"

На других зараженных сайтах я пока данного файла не находил. А сайты на другом виртуальном сервере этого же хостера живут без данной проказы.

Webinby.ru. Я вчера восстановил копию 2 сайтов. С начало всё было нормально. Даже добавил несколько статей. Потом в одной папке нашел вирусный php файл (там было условие по кукам и при исполнении этого условия должно выводиться поле для ввода информации). Его удалил. Затем были заряженные яваскрипт  файлы редактора (Tiny mce) и редактор исчез.  Когда удалил вирусный код, редактор заработал. Как то так. Но остались ещё заряженные JavaScript файлы.

Сколько у вас затраты сейчас на их обслуживание?

Вообщем во многих папках сайта находятся php-файлы аля "39ab4c51f.php" которые надо удалить, потом почистить скрипты, но прежде всего надо бы снести компонент "sh404SEF" или обновить его, так как скорее всего через него происходит атака на сайт http://www.securitylab.ru/vulnerability/432981.php


Хотя смотрю сейчас дату создания левых php-файлов, многие созданы вообще в 2012, но в разные месяцы

Вообщем это из-за плагина "Sourcerer" от NoNumber, оттуда и дыра

Эта зараза, заразила все сайты - 10 штук на Joomla 1.5, 2.5, 3.2. Восстановил с чистых бекапов, через день снова, опять восстановил, сменил все пароли - базы, админка, ftp и через день опять все заразилось.

Вообщем это из-за плагина "Sourcerer" от NoNumber, оттуда и дыра

Плагина такого нет.

Как можно определить хотя бы с какого сайта начинается заражение?

Эта зараза, заразила все сайты - 10 штук на Joomla 1.5, 2.5, 3.2.
Как можно определить хотя бы с какого сайта начинается заражение?

Смотреть логи доступа к сайтам на предмет левых запросов напрямую к файлам сайтов. Запретить регистрацию на сайтах.

Вообщем это из-за плагина "Sourcerer" от NoNumber, оттуда и дыра

А я еще в пост № 7 спрашивал

oomla 1.5.26, редактор JCE не применяется, nnframework применяется?

Плагина такого нет.

Зайди в "Менеджер расширений" (Установить/Удалить) и там во вкладках - Компонеты, Модули и Плагины посмотри внимательно авторов, вполне возможно что найдешь что-нибудь от "NoNumber"

Еще говорят что старые версии "Редактора JCE" такую же дыру имеют.

Как можно определить хотя бы с какого сайта начинается заражение?

Сделать поиск по файлам на всех сайтах по тексту "empty($_COOKIE['__utma']", там где найдешь файлы типа 290356.php, на том сайте и есть дыра

draff и Darkling, большое спасибо за помощь! Действительно, на одном из заброшенных сайтов был плагин от NoNumber, после очистки пока всё нормально.

ДД. вот и у меня случилась такая беда.
Первичные симптомы:
1. В админке не работают кнопки (Сохранить, Сохранить и закрыть, закрыть и т.п)
2. После отката сайта, все работает но не долго! (Примерно 3-4 часа)
3. Все файлы на хостинге с расширением *.js модифицированы и теперь внутри имеют //beleiad9 и //kolamne817
О сайте:
1. Joomla 2.5.14, обновлял в срок
2. В index шаблона появилась ссылка, шаблон не варезный, делал самостоятельно, каркас Arteester
3. Антивирус касперского после очистки кеша ругается на /media/system/js
4. Установлены компоненты JCE, плагины от производителя NoNumber присутствуют в количестве 3 шт.
5. Имеются файлы типа 290356.php
6. Хостинг um.la (Поддержку по данному вопросу не оказывают), пароли на FTP поменяны, Клиент FTP всегда в актуальном состоянии.
Вопрос:
Что делать то?

Все уже написано в разделе Безопасность
А особо в теме- http://joomlaforum.ru/index.php/topic,262448.0.html

Яндекс прислал письмо, что мой сайт заражен....все перепробовал, что нашел и не могу понять заражен сайт или нет
Кто может точно сказать ?
Вот адрес сайта http://www.remrai.ru

Нашел интересную стать и там приведено много разных программ как проверить сайт http://mnogoblog.ru/kak-uznat-zarazhen-li-vash-sajt-vredonosnym-kodom-virusom
У себя правда не чего не нашел и понять не могу заражен сайт или нет
Написал хостеру, такая же хрень, точного ответа не дали

так пишите в Яндекс --- прилагайте ссылки на проверку, так мол и так, сайт чист, вот ссылки
и спрашивайте, пускай тыкнут пальцем --- что и как?

Яндекс прислал письмо, что мой сайт заражен....все перепробовал, что нашел и не могу понять заражен сайт или нет
Кто может точно сказать ?

заряжен. Яндекс реагирует на JavaScript

так пишите в Яндекс --- прилагайте ссылки на проверку, так мол и так, сайт чист, вот ссылки
и спрашивайте, пускай тыкнут пальцем --- что и как?

Спасибо за ответ....думал тут спецы сидят и подскажут, что и как....с 2007 года первый раз попал в такой блудняк, вот и не знал, что делать.....сайт бросать не хочется и удалять его, поэтому пока вышел из положения как описал здесь http://joomlaforum.ru/index.php/topic,198048.msg1408334.html#msg1408334

заряжен. Яндекс реагирует на JavaScript

А как он может быть заражен, если сейчас домен идет на другой сайт ?
У меня два одинаковых сайта на разных доменах были, на один Яндекс прислал письмо, как решить проблему не знал и тупо домен перекинул на другой сайт
Но тот домен в директе был и пришлось подать заявку на зеркало, Яндекс одобрил зеркало
Так что сейчас вряд ли он заражен, если только заразили сразу оба сайта, тогда бы Яндекс не одобрил бы зеркало

@Doc,

Предупреждение модератора: не дублируйте свои запросы в разных темах.

@Doc,

Предупреждение модератора: не дублируйте свои запросы в разных темах.

Извиняюсь, в панике написал в двух темах
Тогда это сообщение http://joomlaforum.ru/index.php/topic,198048.msg1408387.html#msg1408387 перетащите сюда

Нашел проблему

На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.

Только понять не могу, почему он ругается на 404 страницу

Значит так.
1. Первым делом разграничить доступ к сайтам, которые находятся на одном хостинге. Что бы с директории одного сайта не возможно было перейти в директорию другого(уточняем у хостера).
2. Далее переносим все сайты с Joomla 1.5 на Joomla 3.2.1.
Joomla 1.5 - дыра на дыре, если сайт хакнули, то будут и дальше взламывать что бы вы не делали. У меня раз в неделю, как по расписанию взламывают.
3. Все Joomla обновить до последних версий. И компоненты.
Успехов!

barboss, спасибо большое за ответ
Но сайт не хакнули, а вот почему Яндекс не понравилась 404 страница, то пока разбираюсь (скорей всего сам намудрил с этой страницей)
Переводить сайт с Joomla 1.5 на Joomla 3.2.1. не за что не буду, так как тогда придется искать альтернативу Joomla, а не переводить его....уже переводил его на 2.5, потом мучился откатывал опять на 1.5
Сайт у меня один, а второй пришлось создавать когда откатывал его с 2.5, на 1.5, вот и оставил его, как сейчас выяснилось не зря, хотя он был как зеркало.

Так, что спасибо, но думаю прорвемся, не 41-ый на дворе
Жалко, что целый день убил на поиск этой проблемы и Яндекс пометил сайт, теперь не известно когда снимет пометку

А что за проблемы с 2.5 и 3.х чем не устраивает.
Мне очень нравится 3.х ветка.

Много чем, 3.0 тестировал, но не пользовался, а вот на 2.5 просидел пол года.
1. Сильно грузит сервер...установил JCH_Optimize, нагрузку снял немного, но и редактор перестал выполнять некоторые функции.
2. Роботы сканируют не так как нужно, все страницы были не SEO, а через компонент, а там уже страницы не так отображались
3. Много разного добавлено, чего мне не нужно, не красиво сделано и что бы все это доработать, то нужно пол движка вырезать, а половина доработать, а я не спец в этом и для меня это сложно
4. Гораздо проще 1.5, в ней все удобно и легко разобраться не понимающему человеку, а в 2.5, даже (для меня лично) все настройки чекнутые, если я хочу отключить регистрацию на сайте, то этой функции нет и т.д.
Хотя многие со мной в этом не согласятся, но я сидел и терпел все пол года, думал привыкну, может роботы все пере сканируют и будет нормально все, но роботы так и сканировали не пойми как, как полезешь в настройки, то черт ногу сломит....вот и кончилось терпение....но больше наверное все же из за нагрузки сервера, так как понимал, что если оставаться на 2.5, то нужно другой тариф брать, более дорогой