Вирус на сайте, редирект, что делать как лечить! - страница 6 - Безопасность сайтов на Joomla

Не факт что JCE виновато в конкретном случае. Модуль или компонент любой может "выстрелить".

Как в дальнейшем обезопаситься от заразы? Я восстановил сайт из раннего еще не инфицированного бэкапа, снес JCE нафиг вместе с плагином, сменил пароли, обновил Joomla до 26 версии. И тут на тебе, ч-з буквально 2 недели снова заражение, снова Янжекс в игнор (денег на продвижение было убухано....). Как защищаться? неужели единственный выход  -переход на новую Joomla?

Может быть шелл вы не нашли заранее залитый. Ну и правда, на сайте могут быть еще уязвимые расширения, пароли от Ftp могу увести вирус и как вариант, могут ломать хостера.

Выкачайте чистый бекап, распакуйте, и проверьте его AVPtool и Cureit.

Знаете, что я заметил, господа. Скрипт, который прописывает document.write и base64_decode работает хитрым способом. Он сегодня может прописать в JS файлы, а завтра удалить код, как и не было, послезавтра он пропишет код в PHP файлы, и через пару дней может удалить. Т.е. то, что мы вычищаем из файлов эти коды, в принципе — бесполезная работа. Нужно искать сам скрипт, который перезаписывает файлы (об этом написано в этой теме, я просто описываю свои наблюдения).
Наиболее уязвимыми, являются скопления сайтов на Joomla (когда они находятся в одной директории под одним аккаунтом): для хакеров это самый лакомый кусок. Можно спрятать шелл в одном месте, а потом работать со всеми сайтами.
Как одну из мер по укреплению сайтов, я рекомендую разносить сайты по разным аккаунтам, либо, если их много, использовать хостинги с раздельными директориями хранения файлов, даже под одним аккаунтом. Даже, если один сайт взломают, то другие останутся целыми. Всем удачи!

Знаете, что я заметил, господа.......

Ну я предварительно удалил 25 файлов  которые вызывались внешне. Я описал их выше.

Ну я предварительно удалил 25 файлов  которые вызывались внешне. Я описал их выше.

Это понятно. Ключевая идея моего поста в пересмотре принципа хранения сайтов в одной куче. Что является дополнительным средством упреждения и уменьшения ущерба от потенциальных взломов в будущем.

Это всё пустое находить зараженные файлы, удалять код. Даже если вы найдете "босса", который создаёт и изменяет существующие файлы - это мало чем поможет. Главный вопрос - где уязвимость! В каком компоненте, модуле, плагине? То что это не обязательно JCE-редактор - факт, поскольку я свой редактор этот удалил уже 3 месяца назад, когда похожая волна прокатывалась по интернету. Тогда в images/stories записывался файл story.php и делал пакости. Сейчас ситуация очень похожая. Но в чем уязвимость на сей раз? У меня Joomla 1.5.22. Как вариант я восстановил сайт из старого чистого бекапа и обновил его до 1.5.26. Но очень сомневаюсь, что беда не вернётся( Из стороннего VirtueMart и sh404SEF

Это всё пустое находить зараженные файлы, удалять код. Даже если вы найдете "босса", который создаёт и изменяет существующие файлы - это мало чем поможет.

Ну знаете ли, ведь тут главное что помогло, а там видно будет. Проблемы надо решать по мере поступления. Сидеть и гадать - вот это пустое...

Это всё пустое находить зараженные файлы, удалять код. Даже если вы найдете "босса", который создаёт и изменяет существующие файлы - это мало чем поможет. Главный вопрос - где уязвимость! В каком компоненте, модуле, плагине?

А кто сказал, что это уязвимость Joomla?

а что логи запретили просматривать
что б понять где уязвимость, анализируем логи

а что делать если сканер показывает картинку?) и как происходит заражение? подкидывается новая картинка или заражается уже существующая на сайте?) просто интересно...вот например сканер показывает что подозрительная картинка в шаблоне Ja_purity в гифе. Я скачал, наложил в фотошопе не неё невидимый слой, сохранил, -результат тот же. Она считается заражённой.

а переим

а что делать если сканер показывает картинку?подкидывается новая картинка или заражается уже существующая на сайте?) просто интересно...вот например сканер показывает что подозрительная картинка в шаблоне Ja_purity в гифе. Я скачал, наложил в фотошопе не неё невидимый слой, сохранил, -результат тот же. Она считается заражённой.

Заливается шелл, с расширением .gif, Измени расширение на .php  и посмотри на код

Заливается шелл, с расширением .gif

Обычное дело.

куда писать чтобы поисковик снова посчитал сайт здоровым?)

Я скачал, наложил в фотошопе не неё невидимый слой, сохранил, -результат тот же. Она считается заражённой.

а что просто посмотреть её код кто то запрещает

куда писать чтобы поисковик снова посчитал сайт здоровым?)

Google и Яндекс в панели вебмастера

поделюсь некоторым опытом: сканер и замена работает хорошо ) но вот в таком файлике он нашёл виряка а когда я запустил замену то почему то не заменил его(  components/com_jce/editor/tiny_mce/plugins/searchreplace/tmpl/replace.php наверное из за того что название файла сканера совпадает  replace.php

поделюсь некоторым опытом: сканер и замена работает хорошо ) но вот в таком файлике он нашёл виряка а когда я запустил замену то почему то не заменил его(  components/com_jce/editor/tiny_mce/plugins/searchreplace/tmpl/replace.php наверное из за того что название файла сканера совпадает  replace.php

да, есть такое, но в новой версии скрипта это исправлено

да, есть такое, но в новой версии скрипта это исправлено

Да, еще раз спасибо за чудесный скрипт. Хотелось бы только одного еще - добавить опцию по расширениям "искать только в ***, *** ...."

Да, еще раз спасибо за чудесный скрипт. Хотелось бы только одного еще - добавить опцию по расширениям "искать только в ***, *** ...."

добавлю

попал я(( в наглую лежит текстовый файл в корне  a.txt    с содержанием  hacked by ulow  ублюдки( а я уже думал что избавился...(((
папка с картинками fbfiles  там виндовские картинки....уроды бля(( !

попал я(( в наглую лежит текстовый файл в корне  a.txt    с содержанием  hacked by ulow  ублюдки( а я уже думал что избавился...(((

Неужели хостеру трудно посмотреть что создало этот файл, проверив операции записи?

а они меня не навязчиво отшили)) Дехост биз...правда порекомендовали вот это http://www.cvedetails.com/vulnerability-list/vendor_id-3496/product_id-16499/version_id-112062/Joomla-Joomla--1.5.23.html  тока что с этим делать я не знаю (( ну список уязвимостей и что? у меня 1.5.20

уроды бля(( !

Желательно без мата... и эмоции - это лишнее.

Marques пардон)  просто думал вчера нашёл шелл-дыру ан нет...(( опять вычистил (base64_decode("eJzl  счас перезаливаю файлы чистой Joomla по верх...посмотрю что из этого выйдет.... сканер от Flyingspook как будто захлёбывается и не заменяет(( хотя вчера нормально работал... выводит пустую страницу и всё(   сканер от icom заменил)  

у меня 1.5.20

Рабочий бэкап-то хоть есть?

опять вычистил (base64_decode("eJzl

Это до лампочки.

capricorn да есть два...один какой то месячный другой сегодня создал.вроде и файликов то счас немного подозрительных...но фиг знает...

вообщем заменил с помощью сканера от icom , перезалил по верх файлы Joomla чистой и пошёл спать) завтра посмотрим что там будет...соседние сайты вроде нормально после вчерашней чистки...это бодрит)

Мне честно говоря лень было бы ковыряться в этом. Я бы в данном случае просто восстановил бы рабочие бэкапы, обновился до последней Joomla, и всех компонентов, удалил бы все левое, особенно бесплатное, если о нем есть новости об уязвимостях. Права проверил бы и все такое.

что то у меня в адресе какие то слеши....что это никто не знает? вот: http://opobdd.ru///2010-11-23-16-38-11

На сайте появились левые ссылки, как давно даже не имею представления, т.к. они отображаются только в Opera МИНИ, может и в других мобильных браузерах. Поиск кода base64 eval ни к чему не привел, обращение к хостеру - тоже не дали никакого результата. Куда копать подскажите пожалуйста.

На сайте появились левые ссылки, как давно даже не имею представления, т.к. они отображаются только в Opera МИНИ, может и в других мобильных браузерах. Поиск кода base64 eval ни к чему не привел, обращение к хостеру - тоже не дали никакого результата. Куда копать подскажите пожалуйста.

.htaccess проверь, а лучше замени на стандартный.