Появление скрипта

  • 42 Ответов
  • 1679 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

uisr

  • Давно я тут
  • ****
  • 200
  • 0
Появление скрипта
« : 23.11.2014, 23:43:03 »
Добрый вечер.

Мой сайт был заблокирован провайдером в связи с появлением вредоносного файла: /home/vidaatla/public_html/administrator/libworker.so: Unix.Trojan.Roopre FOUND . Я его удалил. Через пару дней сайт снова заблокировали из-за появления этого же файла. Версия Joomla - 3.2.

Сейчас вредоносные файлы удалены.

Вопрос: если обновить Joomla до последней версии, будет ли эта проблема решена?

Провайдер говорит, что проблема будет решена, если Joomla обновить без сторонних модулей. Как это "без сторонних модулей"?

И еще, можно ли обновить Joomla из CPanel, а не через панель управления?

И у меня просьба, объясните простым, а не техническим языком.

Спасибо.

*

capricorn

  • Практически профи
  • *******
  • 1634
  • 106
Re: Появление скрипта
« Ответ #1 : 24.11.2014, 00:12:25 »
Цитировать
Я его удалил. Через пару дней сайт снова заблокировали из-за появления этого же файла

когда залили повторно?

*

uisr

  • Давно я тут
  • ****
  • 200
  • 0
Re: Появление скрипта
« Ответ #2 : 24.11.2014, 00:16:35 »
когда залили повторно?

Я удалил файл, а не контент сайта.

*

Shustry

  • Группа развития
  • *****
  • 6426
  • 733
  • Рисую дизайны
Re: Появление скрипта
« Ответ #3 : 24.11.2014, 00:23:35 »
Провайдер говорит, что проблема будет решена, если Joomla обновить без сторонних модулей. Как это "без сторонних модулей"?
Да вообще никакой гарантии. Смотрите раздел «безопасность» настоящего форума. Как минимум, следует прогнать тем же AIbolit-том. Не факт, что обновление затрёт все вредоносные изменения, что у вас присутствуют. А самый надёжный способ: поставить свежую Joomla и перенести контент. И впредь думать наперёд о безопасности.
Бесплатно консультирую по дизайну и вёрстке (только в личку сердечно прошу не стучать). Платно делаю дизайн, вёрстку и темплейты для Joomla. Работаю только за деньги. За большие. И долго. Но качественно.
---------------------------------------------------------
xmpp:joomla@conference.jabber.ru - наша конфа!

*

capricorn

  • Практически профи
  • *******
  • 1634
  • 106
Re: Появление скрипта
« Ответ #4 : 24.11.2014, 00:30:13 »
я к тому, что если повторная заливка произошла буквально вчера-сегодня, есть шанс найти как это случилось. При условии, что на твоем ПК вирус не стащил ftp-пароль.

*

capricorn

  • Практически профи
  • *******
  • 1634
  • 106
Re: Появление скрипта
« Ответ #5 : 24.11.2014, 00:32:57 »
Цитировать
И впредь думать наперёд о безопасности.

можно же попытаться посмотреть как заливка произошла.

*

uisr

  • Давно я тут
  • ****
  • 200
  • 0
Re: Появление скрипта
« Ответ #6 : 24.11.2014, 00:36:29 »
Все пароли были изменены после первого появления вируса. Второй раз вирусы появились после смены паролей.


*

uisr

  • Давно я тут
  • ****
  • 200
  • 0
Re: Появление скрипта
« Ответ #8 : 24.11.2014, 00:41:48 »
Сколько сайтов всего у вас на хосте? Залили уже вам какую-то заразу.

Один сайт. Вообще, проблемы начались после того, как провайдер сообщил о хакерской атаке на их серверы.
Возможно, из-за них все это и происходит.

*

wishlight

  • Профи
  • ********
  • 3593
  • 220
  • skype aqaus.com

*

uisr

  • Давно я тут
  • ****
  • 200
  • 0
Re: Появление скрипта
« Ответ #10 : 24.11.2014, 00:46:39 »
А как проверить айболитом?

Можете объяснить пошагово?

*

wishlight

  • Профи
  • ********
  • 3593
  • 220
  • skype aqaus.com

*

uisr

  • Давно я тут
  • ****
  • 200
  • 0
Re: Появление скрипта
« Ответ #12 : 24.11.2014, 01:10:38 »
Но это уже слишком :)))

А сколько он весит? У меня на хостинге только 10 мб свободного места.

*

capricorn

  • Практически профи
  • *******
  • 1634
  • 106
Re: Появление скрипта
« Ответ #13 : 24.11.2014, 01:12:09 »
Цитировать
Вообще, проблемы начались после того, как провайдер сообщил о хакерской атаке на их серверы.

Провайдер интернета или хостер?

*

uisr

  • Давно я тут
  • ****
  • 200
  • 0
Re: Появление скрипта
« Ответ #14 : 24.11.2014, 01:15:44 »
Провайдер интернета или хостер?

Хостер.

*

capricorn

  • Практически профи
  • *******
  • 1634
  • 106
Re: Появление скрипта
« Ответ #15 : 24.11.2014, 01:25:17 »
когда примерно опять залили, после удаления, вы можете вспомнить? если это произошло недавно, то посмотрим логи.
« Последнее редактирование: 24.11.2014, 01:32:48 от capricorn »

*

uisr

  • Давно я тут
  • ****
  • 200
  • 0
Re: Появление скрипта
« Ответ #16 : 24.11.2014, 01:36:15 »
когда примерно опять залили, после удаления, вы можете вспомнить? если это произошло недавно, то посмотрим логи.

Если Вы имеете ввиду, когда появился вирус.

Файл вируса был создан 14 ноября. Но я его уже удалил.

*

capricorn

  • Практически профи
  • *******
  • 1634
  • 106
Re: Появление скрипта
« Ответ #17 : 24.11.2014, 01:54:03 »
лог веб-сервера доступен по ftp, или только по символической ссылке? для упрощения просмотра задаю этот вопрос.

*

uisr

  • Давно я тут
  • ****
  • 200
  • 0
Re: Появление скрипта
« Ответ #18 : 24.11.2014, 01:56:35 »
да, доступен.

*

capricorn

  • Практически профи
  • *******
  • 1634
  • 106
Re: Появление скрипта
« Ответ #19 : 24.11.2014, 01:58:09 »
скиньте в личку доступ. будем надеяться есть данные на этот день.

*

uisr

  • Давно я тут
  • ****
  • 200
  • 0
Re: Появление скрипта
« Ответ #20 : 24.11.2014, 02:09:09 »
Получили сообщение в личку?

*

capricorn

  • Практически профи
  • *******
  • 1634
  • 106
Re: Появление скрипта
« Ответ #21 : 24.11.2014, 03:12:03 »
да. до тебя дошло как тебя грохнули?

*

uisr

  • Давно я тут
  • ****
  • 200
  • 0
Re: Появление скрипта
« Ответ #22 : 24.11.2014, 03:17:38 »
да. до тебя дошло как тебя грохнули?

Как я понял, из-за модуля ARI Image Slider? Значит его можно просто удалить из панели управления? А это на работоспособность сайта не повлияет? 

*

capricorn

  • Практически профи
  • *******
  • 1634
  • 106
Re: Появление скрипта
« Ответ #23 : 24.11.2014, 03:23:20 »
Похоже из-за другого модуля.
176.102.37.84 - - [14/Nov/2014:03:53:03 +0300] "POST /modules/mod_ariimageslider/mod_ariimageslider.php HTTP/1.0" 200 11098 "***" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17"

Переименуй этот файл.
Практика показывает, что он не вернется.

Интересно посмотреть его содержимое? )))

*

uisr

  • Давно я тут
  • ****
  • 200
  • 0
Re: Появление скрипта
« Ответ #24 : 24.11.2014, 03:28:13 »
Похоже из-за другого модуля.
176.102.37.84 - - [14/Nov/2014:03:53:03 +0300] "POST /modules/mod_ariimageslider/mod_ariimageslider.php HTTP/1.0" 200 11098 "***" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17"

Переименуй этот файл.
Практика показывает, что он не вернется.

Интересно посмотреть его содержимое? )))


Я модуль ARI Image Slider удалил. И он был дезактивирован ранее, даже всегда, кажется.

Содержимое я бы глянул, но боюсь, я ничего не пойму, т.к. не силен в этом вообще.

Спасибо большое. Вы очень помогли!

*

capricorn

  • Практически профи
  • *******
  • 1634
  • 106
Re: Появление скрипта
« Ответ #25 : 24.11.2014, 03:29:24 »


Вообще, хоть немножко страшно стало? :-)


*

uisr

  • Давно я тут
  • ****
  • 200
  • 0
Re: Появление скрипта
« Ответ #26 : 24.11.2014, 03:32:59 »


Вообще, хоть немножко страшно стало? :-)



Да, я это уже видел, когда вводил ссылку, которую вы дали.

*

capricorn

  • Практически профи
  • *******
  • 1634
  • 106
Re: Появление скрипта
« Ответ #27 : 24.11.2014, 03:39:18 »
сложно объяснить нетехническим языком, что произошло. пока просто снеси этот модуль. Это WSO shell.

*

capricorn

  • Практически профи
  • *******
  • 1634
  • 106
Re: Появление скрипта
« Ответ #28 : 24.11.2014, 03:58:10 »
я честно, не знаю механизм работы этого вируса (примерно конечно знаю). могут опять попробовать залить. не обязательно, что он попадет снова туда же. поэтому не могу сказать, что помог.
« Последнее редактирование: 24.11.2014, 04:02:33 от capricorn »

*

uisr

  • Давно я тут
  • ****
  • 200
  • 0
Re: Появление скрипта
« Ответ #29 : 24.11.2014, 05:33:37 »
Поэтому и нужно обновить Joomla, наверное.

Разве нет?
« Последнее редактирование: 24.11.2014, 05:37:17 от uisr »