В движке завелся вредокод, блокируемый ан - Безопасность сайтов на Joomla

Заменил яваскриптовские файлы на файлы из пакета установки, собственно и размеры у них были равны и результата не дало...

media/system/js/caption.js удалить вместо него вставить стандартный из пакета Joomla с Joomla.org

Trojan-Downloader.JS.JScript.ak

Но как он попал к вам на хостинг, это другой вопрос. Такие вирусы можно занести только с компа через ftp или установкой чего либо. Попросите хостера зачистить ваш аккаунт полностью.

<script src="Невский%20Завод%20Конвейерного%20Оборудования%20-%20Главная_files/core0000.js" type="text/javascript"></script>
<script src="Невский%20Завод%20Конвейерного%20Оборудования%20-%20Главная_files/caption0.js" type="text/javascript"></script>

Таких скриптов нет. Есть core.js и caption.js, подключаются когда используются. Так что ищите в скриптах с 0
Aspik правильно указал вам на вредоносный код

media/system/js/caption.js удалить вместо него вставить стандартный из пакета Joomla с Joomla.org

Trojan-Downloader.JS.JScript.ak

Но как он попал к вам на хостинг, это другой вопрос. Такие вирусы можно занести только с компа через ftp или установкой чего либо. Попросите хостера зачистить ваш аккаунт полностью.

Огромное спасибо) я сам ступил, первые 2 JS заменил, а третий как-то видно пропустил по невнимательности (почему то думал, что заменил все 3)

Собственно может подскажите как искать подобные вещи? а то методы которые я описал выше не особо вдохновляют....чую пятой точкой что есть способ попроще)

У меня такой же троян, но пока решение предложенное выше не помогает.
___
Разобралась, каспер четко указал, где вредокод и что надо косить! по мимо указанной папки у меня ещё было там где и искать в жизни не стала бы, причем выбирает избранные файлы

а также вредокод вписывается в темплейт, который сейчас стоит по умолчанию!
Бида.

У меня такой же троян, но пока решение предложенное выше не помогает.
___
Разобралась, каспер четко указал, где вредокод и что надо косить! по мимо указанной папки у меня ещё было там где и искать в жизни не стала бы, причем выбирает избранные файлы

Спойлер

[свернуть]

а также вредокод вписывается в темплейт, который сейчас стоит по умолчанию!
Бида.

Сейчас у меня нод (видно после обновления поумнел) стал писать конкретно файл который такой вредокод содержит. Прошелся по всему сайту я значит, вредокод повписывался в яваскрипты и сторонних расширений.... Позаменял, вроде норм щас.. И не сторонние тоже многие были с вредокодом, пришлось перезалить всю папку media....

И так, как избавляться от вредокода разобрались (замена всех зараженных файлов).

Но вот незадача, он вернулся. Причем сразу на 4!! сайта. Из них 3 сайта у 1 хостера, но на разных аккаунтах (разные клиенты), и еще 1 сайт на совершенно другом, да еще и забугорном хостинге.

Я бы мог еще подумать что в свежей jooml'e завелась дыра, но четвертый сайт сделан еще на Joomla 1.5!

В логах (logs/error.php нашел кое-что интересное, выкидываю:



к сожалению по четверному сайту логов нет, но думаю схема одна.

И так. Явно видно что идет перебор пользователя и пароля... вопрос... Где (БД, Админка еще что-то)? и как бороться? (пароли всегда ставлю рандомные, с использованием и прописных и малых и букв и цифр)

4 моих сайта замело с легкостью, почему-то есть ощущение что я не 1 такой...

Очень похоже на дырявый ftp-клиент из которого увели пароли или через который заливается вредоносный код. Проверьте свой компьютер полностью на вирусы (желательно не NOD'ом для полной уверенности) и смените пароли на ftp на всех сайтах.
Ну и само собой пароли хранить в ftp-клиенте - не следует.

2god02
скрипт в подписи поищи бекдор на сайтах

Ну и само собой пароли хранить в ftp-клиенте - не следует.

Думаю это для меня будет хорошим уроком, сейчас всё прочистил сделал бэкапы, но пока только на 1 сайте сменил пароль, дабы убедиться что дырка именно фтп...

2god02
скрипт в подписи поищи бекдор на сайтах

Спасибо за внимание)