0 Пользователей и 1 Гость просматривают эту тему.
  • 42 Ответов
  • 2777 Просмотров
*

uisr

  • Захожу иногда
  • 197
  • 1 / 1
Появление скрипта
« : 23.11.2014, 21:43:03 »
Добрый вечер.

Мой сайт был заблокирован провайдером в связи с появлением вредоносного файла: /home/vidaatla/public_html/administrator/libworker.so: Unix.Trojan.Roopre FOUND . Я его удалил. Через пару дней сайт снова заблокировали из-за появления этого же файла. Версия Joomla - 3.2.

Сейчас вредоносные файлы удалены.

Вопрос: если обновить Joomla до последней версии, будет ли эта проблема решена?

Провайдер говорит, что проблема будет решена, если Joomla обновить без сторонних модулей. Как это "без сторонних модулей"?

И еще, можно ли обновить Joomla из CPanel, а не через панель управления?

И у меня просьба, объясните простым, а не техническим языком.

Спасибо.
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Появление скрипта
« Ответ #1 : 23.11.2014, 22:12:25 »
Цитировать
Я его удалил. Через пару дней сайт снова заблокировали из-за появления этого же файла

когда залили повторно?
*

uisr

  • Захожу иногда
  • 197
  • 1 / 1
Re: Появление скрипта
« Ответ #2 : 23.11.2014, 22:16:35 »
когда залили повторно?

Я удалил файл, а не контент сайта.
*

Shustry

  • Гуру
  • 6436
  • 743 / 3
Re: Появление скрипта
« Ответ #3 : 23.11.2014, 22:23:35 »
Провайдер говорит, что проблема будет решена, если Joomla обновить без сторонних модулей. Как это "без сторонних модулей"?
Да вообще никакой гарантии. Смотрите раздел «безопасность» настоящего форума. Как минимум, следует прогнать тем же AIbolit-том. Не факт, что обновление затрёт все вредоносные изменения, что у вас присутствуют. А самый надёжный способ: поставить свежую Joomla и перенести контент. И впредь думать наперёд о безопасности.
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Появление скрипта
« Ответ #4 : 23.11.2014, 22:30:13 »
я к тому, что если повторная заливка произошла буквально вчера-сегодня, есть шанс найти как это случилось. При условии, что на твоем ПК вирус не стащил ftp-пароль.
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Появление скрипта
« Ответ #5 : 23.11.2014, 22:32:57 »
Цитировать
И впредь думать наперёд о безопасности.

можно же попытаться посмотреть как заливка произошла.
*

uisr

  • Захожу иногда
  • 197
  • 1 / 1
Re: Появление скрипта
« Ответ #6 : 23.11.2014, 22:36:29 »
Все пароли были изменены после первого появления вируса. Второй раз вирусы появились после смены паролей.
*

wishlight

  • Живу я здесь
  • 4871
  • 285 / 1
  • 300 руб очень быстрый хостинг в ЕС
Re: Появление скрипта
« Ответ #7 : 23.11.2014, 22:39:47 »
Сколько сайтов всего у вас на хосте? Залили уже вам какую-то заразу.
*

uisr

  • Захожу иногда
  • 197
  • 1 / 1
Re: Появление скрипта
« Ответ #8 : 23.11.2014, 22:41:48 »
Сколько сайтов всего у вас на хосте? Залили уже вам какую-то заразу.

Один сайт. Вообще, проблемы начались после того, как провайдер сообщил о хакерской атаке на их серверы.
Возможно, из-за них все это и происходит.
*

wishlight

  • Живу я здесь
  • 4871
  • 285 / 1
  • 300 руб очень быстрый хостинг в ЕС
Re: Появление скрипта
« Ответ #9 : 23.11.2014, 22:43:46 »
Хостера сменить попробуйте. Проверmте сайт сканером ai-bolit. Обновите Joomla и компоненты.
*

uisr

  • Захожу иногда
  • 197
  • 1 / 1
Re: Появление скрипта
« Ответ #10 : 23.11.2014, 22:46:39 »
А как проверить айболитом?

Можете объяснить пошагово?
*

wishlight

  • Живу я здесь
  • 4871
  • 285 / 1
  • 300 руб очень быстрый хостинг в ЕС
Re: Появление скрипта
« Ответ #11 : 23.11.2014, 22:52:18 »
Или залить его в корень и вызвать в браузере или зайти по ssh и там уже выполнить.
*

uisr

  • Захожу иногда
  • 197
  • 1 / 1
Re: Появление скрипта
« Ответ #12 : 23.11.2014, 23:10:38 »
Но это уже слишком :)))

А сколько он весит? У меня на хостинге только 10 мб свободного места.
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Появление скрипта
« Ответ #13 : 23.11.2014, 23:12:09 »
Цитировать
Вообще, проблемы начались после того, как провайдер сообщил о хакерской атаке на их серверы.

Провайдер интернета или хостер?
*

uisr

  • Захожу иногда
  • 197
  • 1 / 1
Re: Появление скрипта
« Ответ #14 : 23.11.2014, 23:15:44 »
Провайдер интернета или хостер?

Хостер.
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Появление скрипта
« Ответ #15 : 23.11.2014, 23:25:17 »
когда примерно опять залили, после удаления, вы можете вспомнить? если это произошло недавно, то посмотрим логи.
« Последнее редактирование: 23.11.2014, 23:32:48 от capricorn »
*

uisr

  • Захожу иногда
  • 197
  • 1 / 1
Re: Появление скрипта
« Ответ #16 : 23.11.2014, 23:36:15 »
когда примерно опять залили, после удаления, вы можете вспомнить? если это произошло недавно, то посмотрим логи.

Если Вы имеете ввиду, когда появился вирус.

Файл вируса был создан 14 ноября. Но я его уже удалил.
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Появление скрипта
« Ответ #17 : 23.11.2014, 23:54:03 »
лог веб-сервера доступен по ftp, или только по символической ссылке? для упрощения просмотра задаю этот вопрос.
*

uisr

  • Захожу иногда
  • 197
  • 1 / 1
Re: Появление скрипта
« Ответ #18 : 23.11.2014, 23:56:35 »
да, доступен.
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Появление скрипта
« Ответ #19 : 23.11.2014, 23:58:09 »
скиньте в личку доступ. будем надеяться есть данные на этот день.
*

uisr

  • Захожу иногда
  • 197
  • 1 / 1
Re: Появление скрипта
« Ответ #20 : 24.11.2014, 00:09:09 »
Получили сообщение в личку?
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Появление скрипта
« Ответ #21 : 24.11.2014, 01:12:03 »
да. до тебя дошло как тебя грохнули?
*

uisr

  • Захожу иногда
  • 197
  • 1 / 1
Re: Появление скрипта
« Ответ #22 : 24.11.2014, 01:17:38 »
да. до тебя дошло как тебя грохнули?

Как я понял, из-за модуля ARI Image Slider? Значит его можно просто удалить из панели управления? А это на работоспособность сайта не повлияет? 
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Появление скрипта
« Ответ #23 : 24.11.2014, 01:23:20 »
Похоже из-за другого модуля.
176.102.37.84 - - [14/Nov/2014:03:53:03 +0300] "POST /modules/mod_ariimageslider/mod_ariimageslider.php HTTP/1.0" 200 11098 "***" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17"

Переименуй этот файл.
Практика показывает, что он не вернется.

Интересно посмотреть его содержимое? )))
*

uisr

  • Захожу иногда
  • 197
  • 1 / 1
Re: Появление скрипта
« Ответ #24 : 24.11.2014, 01:28:13 »
Похоже из-за другого модуля.
176.102.37.84 - - [14/Nov/2014:03:53:03 +0300] "POST /modules/mod_ariimageslider/mod_ariimageslider.php HTTP/1.0" 200 11098 "***" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.17"

Переименуй этот файл.
Практика показывает, что он не вернется.

Интересно посмотреть его содержимое? )))


Я модуль ARI Image Slider удалил. И он был дезактивирован ранее, даже всегда, кажется.

Содержимое я бы глянул, но боюсь, я ничего не пойму, т.к. не силен в этом вообще.

Спасибо большое. Вы очень помогли!
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Появление скрипта
« Ответ #25 : 24.11.2014, 01:29:24 »


Вообще, хоть немножко страшно стало? :-)

*

uisr

  • Захожу иногда
  • 197
  • 1 / 1
Re: Появление скрипта
« Ответ #26 : 24.11.2014, 01:32:59 »


Вообще, хоть немножко страшно стало? :-)



Да, я это уже видел, когда вводил ссылку, которую вы дали.
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Появление скрипта
« Ответ #27 : 24.11.2014, 01:39:18 »
сложно объяснить нетехническим языком, что произошло. пока просто снеси этот модуль. Это WSO shell.
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Появление скрипта
« Ответ #28 : 24.11.2014, 01:58:10 »
я честно, не знаю механизм работы этого вируса (примерно конечно знаю). могут опять попробовать залить. не обязательно, что он попадет снова туда же. поэтому не могу сказать, что помог.
« Последнее редактирование: 24.11.2014, 02:02:33 от capricorn »
*

uisr

  • Захожу иногда
  • 197
  • 1 / 1
Re: Появление скрипта
« Ответ #29 : 24.11.2014, 03:33:37 »
Поэтому и нужно обновить Joomla, наверное.

Разве нет?
« Последнее редактирование: 24.11.2014, 03:37:17 от uisr »
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

пытаюсь Вылечить сайт на 2, 5 от вредоносного скрипта

Автор inspire

Ответов: 8
Просмотров: 512
Последний ответ 12.01.2017, 14:15:55
от vipiusss
Появление материалов на сайтах Joomla 2.5

Автор Leo1986

Ответов: 18
Просмотров: 744
Последний ответ 21.08.2016, 00:12:34
от flyingspook
Появление модуля Jooma! CMS Core

Автор FitMe

Ответов: 7
Просмотров: 1201
Последний ответ 25.04.2016, 15:30:02
от wishlight
Безопасность самописного скрипта или (ваш вариант)

Автор usemind

Ответов: 3
Просмотров: 1033
Последний ответ 08.09.2014, 11:12:40
от usemind
2 вирусных скрипта на сайте

Автор dream144

Ответов: 2
Просмотров: 864
Последний ответ 19.08.2014, 08:17:57
от draff