0 Пользователей и 1 Гость просматривают эту тему.
  • 8 Ответов
  • 1014 Просмотров
*

dontmast

  • Новичок
  • 3
  • 0
Добрый день!

Ситуация следующая - на главной странице сайта, сразу же после открывающего тэга <body> имеется вредоносный зашифрованный js-код:



Это троян Trojan-Downloader.JS.Iframe, на который ругается Касперский (и другие "правильно-параноидальные" антивирусы). Сайт мне передали на пару дней с задачей - "исправить!".

ВОПРОС: подскажите, люди добрые, как это убрать из html-кода, в какую сторону копать (доступа по ssh нету, есть только доступ в админку)? Не силён в терминологии Joomla, может быть это какой модуль, который генерит и вставляет этот код на главную? Заранее спасибо!

p.s. Код js, на всякий случай:
Спойлер
[свернуть]
« Последнее редактирование: 18.09.2015, 11:17:36 от dontmast »
*

vipiusss

  • Профи
  • 5592
  • 322
  • Круглая ава-зло!
С доступом только в админку вы не исправите положение.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

dontmast

  • Новичок
  • 3
  • 0
С доступом только в админку вы не исправите положение.
Если появится ssh-доступ и если банально грепать по фрагменту js-кода - это может помочь? А какие php-файлы участвуют в сборе главной страницы? Только index.php?
*

umbabaraumba

  • Практически профи
  • 2441
  • 152
  • если помог можете поставить +
Это где-то в коде, без ftp вы это не исправите .
Модулями такие штуки не делают, потому что будет легко убрать, для проверки можете попробовать отключить все плагины и модули, но маловероятно что это поможет .
Errare humanum est
Ubuntu по-русски
Пишу не сложные модули и компоненты, не дорого но не срочно
*

dontmast

  • Новичок
  • 3
  • 0
Для тех, у кого возникнет такая же проблема: "разжился" ssh доступом и обнаружил, что "заражены" все index.php файлы из директории template.
Код
$ grep 1Aqapkrv . -ro
./templates/atomic/index.php:1Aqapkrv
./templates/atomic/index.php:1Aqapkrv
./templates/beez5/index.php:1Aqapkrv
./templates/beez5/index.php:1Aqapkrv
./templates/beez_20/index.php:1Aqapkrv
./templates/beez_20/index.php:1Aqapkrv
« Последнее редактирование: 22.09.2015, 18:13:06 от dontmast »
*

Lemady

  • Осваиваюсь на форуме
  • 85
  • 3
Обычно присасываются к index.php, начните смотреть в нем. Прогоните по поиску base64, eval... Вообще тут лучше к специалисту обратиться, я думаю...
*

SeBun

  • Практически профи
  • 3140
  • 192
  • @SeBun48
Вообще тут лучше к специалисту обратиться, я думаю...
Верно, но я бы порекомендовал сначала вот эту статью изучить. Вдруг поможет...
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

homerS

  • Захожу иногда
  • 13
  • 0
я удалил этот фрагмент из index.php в шаблоне
*

SeBun

  • Практически профи
  • 3140
  • 192
  • @SeBun48
я удалил этот фрагмент из index.php в шаблоне
Может потом опять появиться. Проверьте сайт антивирусами, я давал ссылку выше на статью. Так же обновите минимум до Joomla 2.5.28 - последний релиз и пройдитесь по всем своим расширениям, которые ставили, обновите их, удалите ненужные. Смените пароли. Проверьте ваш .htaccess. Проверьте права на папки. Это минимум, что вы можете сделать.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Дубли и несуществующие страницы

Автор Weber_co

Ответов: 11
Просмотров: 52
Последний ответ Сегодня в 13:10:34
от voland
Как удалить из URL alias разделителя?

Автор Hol1killer

Ответов: 13
Просмотров: 1959
Последний ответ 20.08.2017, 12:19:27
от kajjja
Как удалить код JavaScript и CSS, блокирующий отображение верхней части страницы?

Автор Ирина Поехали

Ответов: 4
Просмотров: 235
Последний ответ 03.08.2017, 16:09:48
от SeBun
Как отключить горизонтальный скорлл страницы?

Автор arut.karpetyan

Ответов: 1
Просмотров: 165
Последний ответ 05.03.2017, 09:11:30
от dmitry_stas
Как убрать отображение товаров внизу страницы?

Автор магран

Ответов: 5
Просмотров: 268
Последний ответ 22.12.2016, 16:23:28
от effrit