0 Пользователей и 1 Гость просматривают эту тему.
  • 15 Ответов
  • 1400 Просмотров
*

Larisa

  • Давно я тут
  • 261
  • 14
  • je te promets...
Добрый день, помогите пожалуйста, кто сталкивался - сайт взломали (в configuration прописаны имя БД, пользователя и пароль) и понаставили порно-ссылок в футер.
Joomla! 1.7.3 Stable
В phpMyAdmin нашла левых пользователей в таблице _users, удалила.
В футере все удалила перед </body>, оставила без скриптов чистый HTML, однако на сайте (в коде) отображаются ссылки.
Скорее всего в БД подцепляется код, но не могу понять в какой таблице его искать.
Спасибо.
*

yandex_hb

  • Давно я тут
  • 358
  • 21
во всех таблицах
*

Larisa

  • Давно я тут
  • 261
  • 14
  • je te promets...
во всех таблицах
Спасибо, знать бы еще, что искать)) Там такой код:
Цитировать
<div id=ln775><a href="http://ponatur.net/" target="_blank">читайте</a>  пустилась танцевать трах фото;<a href="http://ubzan.net" target="_blank">читайте тут</a>  интим фото пожелаю;<a href="http://www.stelmarket.ru/katalog/far/ventili_rz.htm" target="_blank">вентиль запорный</a>;Эротический массаж <a href="http://bagira-massaj.ru/" target="_blank">http://bagira-massaj.ru</a>. Эротический массаж без интима.;<a href="http://tulul.net/" target="_blank">здесь</a>  эро фото еще так<script type="text/javascript">
<!--
var _acic={dataProvider:10};(function(){var e=document.createElement("script");e.type="text/javascript";e.async=true;e.src="//www2.acint.net/aci.js";var t=document.getElementsByTagName("script")[0];t.parentNode.insertBefore(e,t)})()
//-->
</script> Магазин детских товаров <a href="http://wland.com.ua/catalog/baby-strollers/" target="_blank">детские коляски</a>, кроватки и другие товары для детей. .  <a href="http://www.wcax.com/story/27428492/the-language-of-desire-review-control-your-man-make-him-yours-pdf-ebook-secret-revealed" target="_blank">full story here</a> .  <a href="http://www.wfla.com/story/27736079/obsession-phrases-a-revolutionary-program-that-helps-women-in-the-love-department" target="_blank">obsession phrases</a> </div><script type='text/javascript'>document.getElementById('ln775').style.display='none';</script>
я по ID искала, какую-то таблицу удалила - не помогло
*

friend111

  • Осваиваюсь на форуме
  • 62
  • 5
Попробуйте перезаписать базу данных из сохраненного бекапа( проверив его сначала дома на денвере), если он конечно есть.
*

draff

  • Практически профи
  • 2781
  • 175
  • step by step
Обновиться до хотя бы Joomla 2.5
Найти подключение яваскрипта и удалить
Код
<script type='text/javascript'>document.getElementById('ln775').style.display='none';</script>
Начни с самого простого- index.php в корне сайта
Удалю вирус с сайта. Тема в коммерческом разделе
Создам плагин , модуль под заказ для VirtueMart , JoomShopping
*

flyingspook

  • Moderator
  • 3620
  • 236
@Larisa
Обновляйте сайт до актуальной версии 3.*.*
Кроме ссылок вам надо всю заразу найти и дырочки залатать.
*

voland

  • Профи
  • 9525
  • 422
  • Эта строка съедает место на вашем мониторе
Joomla! 1.7.3 Stable
Да ну?
Вывесить табличку "взломайте меня медленно" было бы менее эффективно ))

ЗЫ. Какие люди )
*

Larisa

  • Давно я тут
  • 261
  • 14
  • je te promets...
Обновиться до хотя бы Joomla 2.5
Найти подключение яваскрипта и удалить
Код
<script type='text/javascript'>document.getElementById('ln775').style.display='none';</script>
Начни с самого простого- index.php в корне сайта

не нашла там..
*

Taatshi

  • Support Team
  • 4803
  • 453
  • Верстаем и немножко кодим. Обращайтесь ;)
Larisa, не факт вообще, что данный код прописан в таблице.

1) Смотреть, не установлены ли левые расширения, которых раньше не было. Это сейчас модно.
2) Качать на компьютер полный бэкап и прогонять скриптами на предмет поиска шеллов и  бэкдоров. Удалять найденное. Я пользуюсь скриптом айболит - очень мощная вещь.
3) Обновлять все расширения до актуальных версий.
4) Ставить защиту от дальнейших взломов.

Но, на фоне версии движка, данные рекомендации звучат немного наивно. Хотя и сейчас есть сайты, работающие на 1.5 - но там явно приложили руку профи.
ВЕРСТКА, САЙТЫ ПОД КЛЮЧ, УДАЛЕНИЕ ВИРУСОВ, МИГРАЦИЯ НА JOOMLA 3  /  ОТЗЫВЫ 
Минимальная ставка за платные услуги 1000 рэ Связь: telegram - Taatshi, почта - Taatshi на яндексе.
*

SeBun

  • Практически профи
  • 3166
  • 194
  • @SeBun48
не нашла там..
И не найдете наверное. Если они получили доступ к файлам, то, с большей долей вероятности можно утверждать, что этот скрипт закодирован. Конечно, вычислить его можно в любом случае, начав поиск с переменной, содержимое которой выводится в конкретном месте документа. Но попробуйте сделать поиск строки base64, чаще всего все зловреды именно там сидят. Ну и совет от Taatshi. Главное - подумайте о миграции сайта на Joomla 3.3 (последнюю версию я бы не рекомендовал из за некоторых сложностей с ней).
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

Larisa

  • Давно я тут
  • 261
  • 14
  • je te promets...
...Но попробуйте сделать поиск строки base64, чаще всего все зловреды именно там сидят. ...
Спасибо за совет, но знать бы еще как это делать)
*

SeBun

  • Практически профи
  • 3166
  • 194
  • @SeBun48
Спасибо за совет, но знать бы еще как это делать)
Простой пример: берете Notepad++, открываете и делаете поиск в файлах строки base64, в качестве директории указываете путь к папке сайта.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

winstrool

  • Завсегдатай
  • 774
  • 42
  • Свободен для работы
Но попробуйте сделать поиск строки base64, чаще всего все зловреды именно там сидят.
Эта сигнатура давно уже перекриптовывается при использование. редко встречается ее использование в открытом ввиде, в шелах
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

SeBun

  • Практически профи
  • 3166
  • 194
  • @SeBun48
Эта сигнатура давно уже перекриптовывается при использование. редко встречается ее использование в открытом ввиде, в шелах
Я и написал: "чаще всего"... И в подавляющем большинстве случаев именно в таком простом виде и располагают свои скрипты...
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

winstrool

  • Завсегдатай
  • 774
  • 42
  • Свободен для работы
"чаще всего"... И в подавляющем большинстве случаев именно в таком простом виде и располагают свои скрипты...
В таком виде работают дилетанты...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

SeBun

  • Практически профи
  • 3166
  • 194
  • @SeBun48
В таком виде работают дилетанты...
Уж кому, как не вам, знать, что таких большинство )) Но давайте не будем оффтопить... Человек задал вопрос, я ответил. Если мой совет не поможет - это ваш будущий клиент )
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

На протяжении месяца постоянно взламывают сайт

Автор kaaaaaljan

Ответов: 4
Просмотров: 374
Последний ответ 17.07.2017, 21:36:10
от Sulpher
Помогите вылечить сайт от вирусов

Автор Victor333

Ответов: 26
Просмотров: 534
Последний ответ 15.06.2017, 18:35:15
от Миха1211
В документации компонента «AdminTools» не могу найти разделы посвященные следующим его функциям:

Автор Briz1

Ответов: 1
Просмотров: 177
Последний ответ 07.05.2017, 09:53:44
от ProtectYourSite
Атака на сайт?

Автор yura88851

Ответов: 7
Просмотров: 746
Последний ответ 30.03.2017, 22:40:00
от yura88851
Как заблокировать ломящихся на сайт нехороших людей?

Автор radist_z

Ответов: 24
Просмотров: 402
Последний ответ 26.03.2017, 22:49:54
от ProtectYourSite