0 Пользователей и 1 Гость просматривают эту тему.
  • 19 Ответов
  • 262 Просмотров
*

mami_

  • Осваиваюсь на форуме
  • 77
  • 2
вирус на сайте
« : 30.05.2017, 08:10:57 »
Доброго дня !

Примерно 3 месяца назад сайт начал терять позиции.  Проблему обнаружили не сразу. Если название сайта вбить в поисковой строке, то всё отображалось в иероглифах. Сайт превратился в дорвей для китайских продавцов. Причём сайтов на хостинге было 2 и проблема случилась с обоими. Скачал базу данных, там образуется очень много несуществующих URL непонятного происхождения. образуются с определённой периодичностью. 1 сайт удалил вообще за ненадобностью, а второй начал восстанавливать из резервных копий. Причем что самое интересное, копии даже 3-х летней давности уже содержали вирус, который ранее не распространялся.  Звонил в хостинг (nic.ru), те дали список файлов, которые возможно поражены. Объяснить почему резервные копии, которым несколько лет сейчас распространяют вирус они не смогли и я решил сменить хостинг.
Перенёс сайт на Reg.ru там антивирусная проверка показала поражение 2-х файлов. После их удаления распространение вируса прекратилось.
Теперь самое интересное. Файлы были установлены вместе с установочным файлом расширения под назканием Ykhoon CONTENT PROTECTOR. Все файлы этого расширения были созданы в 1 время и изменения не вносились. Данное расширение было куплено у официального производителя. Тот меня грубо говоря послал после предъявления претензий, говорит твой сайт был взломан и бла бла бла.

Может кто объяснить, что могло произойти с сайтом и почему вирус дремал примерно 3,5 года после покупки. Ниже данные 1 зараженного файла.  Вирус идентифицируется антивирусником как eval.b64  ( он и перед кодом так фигурирует даже не скрываясь.)
Спойлер
[свернуть]
« Последнее редактирование: 30.05.2017, 08:16:01 от mami_ »
*

vipiusss

  • Профи
  • 5640
  • 324
  • Круглая ава-зло!
Re: вирус на сайте
« Ответ #1 : 30.05.2017, 08:15:56 »
Закажите анализ сайта в коммерческом разделе.
Есть специалисты, кто вам помогут и сразу откликнутся.
Сами не справитесь и хостинг поможет частично.

// Ещё есть вариант и подозрение, что вы поставили варез в расширениях и оттуда корни растут.
И раз вы пишите, что код удаляли и он появляется, значит где-то скрипт генерирует эту часть.

Обратитесь в выше написанный раздел.
Или сайт потеряете, если там не просто ссылки.

/// И кто этот " Данное расширение было куплено у официального производителя." ?
« Последнее редактирование: 30.05.2017, 08:23:51 от vipiusss »
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

mami_

  • Осваиваюсь на форуме
  • 77
  • 2
Re: вирус на сайте
« Ответ #2 : 30.05.2017, 08:25:55 »
Спасибо за совет.
Варизников на сайте вообще нет, куплено всё, даже шаблон.  Ссылки генерились до удаления данного расширения. После того. как удалил эти 2 вируса отказалось работать и приложение. Пришлось стереть и его, после этого проблема не появлялась.
Я сейчас буду заного создавать сайт с исправлением ранее допущенных ошибок.
Вот и производитель http://ykhoonextension.com
*

Taatshi

  • Support Team
  • 4803
  • 453
  • Верстаем и немножко кодим. Обращайтесь ;)
Re: вирус на сайте
« Ответ #3 : 30.05.2017, 08:30:54 »
1) Не факт, что три года вирус не активировался. Более вероятна ситуация, что при разворачивании бэкапа происходило моментальное заражение в связи с тем, что, либо на хостинге оставались зараженные файлы помимо бэкапа, либо была уязвимость в самом хостинге и заражение происходило, например, через соседние с Вашим сайты. Я ставлю на первый вариант.

2) Ни одно расширение не даст Вам стопроцентной гарантии. Иначе бы все его ставили, а вирусописатели перемерли от голода. Тем более, что у Вашего расширения, судя по названию, достаточно узкоспециализированный функционал.

3) Проверить сайт стоит. Можно прогнать айболитом и посмотреть что он найдет. Не факт, что Вы все вычистили.
ВЕРСТКА, САЙТЫ ПОД КЛЮЧ, УДАЛЕНИЕ ВИРУСОВ, МИГРАЦИЯ НА JOOMLA 3  /  ОТЗЫВЫ 
Минимальная ставка за платные услуги 1000 рэ Связь: telegram - Taatshi, почта - Taatshi на яндексе.
*

vipiusss

  • Профи
  • 5640
  • 324
  • Круглая ава-зло!
Re: вирус на сайте
« Ответ #4 : 30.05.2017, 08:32:51 »
А вы проверьте сам eval
http://base64.ru

http://ykhoonextension.com -> Странный производитель.
Ещё, по вашим словам, с неадекватной поддержкой и у меня уже подозрение, что там вшито что-то.
У вас архив покупки есть, выложить?

А лучше не тут, а в комм.разделе, сразу увидят, что там и откуда, если это там.

// Повторюсь, сделайте в выше написанном разделе полный анализ сайта.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

mami_

  • Осваиваюсь на форуме
  • 77
  • 2
Re: вирус на сайте
« Ответ #5 : 30.05.2017, 08:37:48 »
Анализ сделаю, спасибо.
Да, архив есть, Во вложении
*

vipiusss

  • Профи
  • 5640
  • 324
  • Круглая ава-зло!
Re: вирус на сайте
« Ответ #6 : 30.05.2017, 08:51:21 »
вот где у вас:
\installer\install\plugins\system\ykhooncontentprotectoradvancedhelper.php

При установке он ставится. Удалите полностью расширение и очистите код.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

mami_

  • Осваиваюсь на форуме
  • 77
  • 2
Re: вирус на сайте
« Ответ #7 : 30.05.2017, 08:55:55 »
Спасибо, я его стер. Там вирус и показывало. Но какого хрена оно в купленном расширении? Производитель говорит, что он не вшивал и это моя проблема. Даже файлы не попросил для проверки. И почему несколько лет онтбыл не активен?
Мне кажется он продает его уже с триппером, оно даже на Joomla extentions выложено, правда версия более новая.
*

vipiusss

  • Профи
  • 5640
  • 324
  • Круглая ава-зло!
Re: вирус на сайте
« Ответ #8 : 30.05.2017, 09:00:56 »
Я показал вам где это. Значит такой разработчик. Архив у него куплен? Вот и напишите ему, какой он "красивый".
Я только увидел файл с кодом, там возможно ещё что-то есть.

И если важно расширение, обратите внимание на XML установщик.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

mami_

  • Осваиваюсь на форуме
  • 77
  • 2
Re: вирус на сайте
« Ответ #9 : 30.05.2017, 09:03:53 »
Спасибо, обязательно напишу. Подрывает веру в официальнвх производителей.
*

vipiusss

  • Профи
  • 5640
  • 324
  • Круглая ава-зло!
Re: вирус на сайте
« Ответ #10 : 30.05.2017, 09:09:09 »
Спасибо, обязательно напишу. Подрывает веру в официальнвх производителей.


Не стоит всех под одну гребёнку.
Просто пользуйтесь теми, кто выложен на офф.сайте Joomla.org.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

mami_

  • Осваиваюсь на форуме
  • 77
  • 2
Re: вирус на сайте
« Ответ #11 : 30.05.2017, 09:17:14 »
Хотел на Joomla экстентионс написать отзыв про расширение и что мы видим..
Not allowed

Commercial disputes
Questions to the Developer or Others
Support Requests
Error Messages
Links
Code or Bug Reports
Questionable Language (including cursing)
Languages other than English
One-line Reviews

Если там проблема, то писать можно только производителю.. Молодцы, хорошо придумали.
*

dmitry_stas

  • Профи
  • 10053
  • 954
Re: вирус на сайте
« Ответ #12 : 30.05.2017, 09:23:25 »
Мне кажется он продает его уже с триппером
99% что это не так, и разработчик не при чем. 99% что вирус попал в процессе.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

vipiusss

  • Профи
  • 5640
  • 324
  • Круглая ава-зло!
Re: вирус на сайте
« Ответ #13 : 30.05.2017, 09:27:16 »
99% что это не так, и разработчик не при чем. 99% что вирус попал в процессе.

В процессе чего? Скачивания? Если ТС прав и выложил купленный архив, то там уже ведь "сидит".
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

dmitry_stas

  • Профи
  • 10053
  • 954
Re: вирус на сайте
« Ответ #14 : 30.05.2017, 09:31:07 »
например да, в процессе скачивания. но в данном случае я согласен, это было не так. по одной простой причине - потому что там вообще нет вируса :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

vipiusss

  • Профи
  • 5640
  • 324
  • Круглая ава-зло!
Re: вирус на сайте
« Ответ #15 : 30.05.2017, 09:35:54 »
например да, в процессе скачивания. но в данном случае я согласен, это было не так. по одной простой причине - потому что там вообще нет вируса :)

Согласен, там не вирус. Но всё равно, реклама, записанная и зашифрованная не приносит разработчику ничего хорошего.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями
*

dmitry_stas

  • Профи
  • 10053
  • 954
Re: вирус на сайте
« Ответ #16 : 30.05.2017, 09:41:00 »
реклама чего? :) php-функции base64_decode? :) короче, я полностью согласен с

1) Не факт, что три года вирус не активировался. Более вероятна ситуация, что при разворачивании бэкапа происходило моментальное заражение в связи с тем, что, либо на хостинге оставались зараженные файлы помимо бэкапа, либо была уязвимость в самом хостинге и заражение происходило, например, через соседние с Вашим сайты. Я ставлю на первый вариант.

2) Ни одно расширение не даст Вам стопроцентной гарантии. Иначе бы все его ставили, а вирусописатели перемерли от голода. Тем более, что у Вашего расширения, судя по названию, достаточно узкоспециализированный функционал.

3) Проверить сайт стоит. Можно прогнать айболитом и посмотреть что он найдет. Не факт, что Вы все вычистили.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

mami_

  • Осваиваюсь на форуме
  • 77
  • 2
Re: вирус на сайте
« Ответ #17 : 30.05.2017, 10:16:03 »
Тогда что помогло временно  заблокировать трабл? Перенос хостинга? Может где в файлах сервера вирусняк висит?
*

Taatshi

  • Support Team
  • 4803
  • 453
  • Верстаем и немножко кодим. Обращайтесь ;)
Re: вирус на сайте
« Ответ #18 : 30.05.2017, 10:25:43 »
Тогда что помогло временно  заблокировать трабл? Перенос хостинга? Может где в файлах сервера вирусняк висит?
Скорее всего, перенос с хостинга. Но не факт, что в сайте не осталось уязвимости.
« Последнее редактирование: 30.05.2017, 10:35:04 от Taatshi »
ВЕРСТКА, САЙТЫ ПОД КЛЮЧ, УДАЛЕНИЕ ВИРУСОВ, МИГРАЦИЯ НА JOOMLA 3  /  ОТЗЫВЫ 
Минимальная ставка за платные услуги 1000 рэ Связь: telegram - Taatshi, почта - Taatshi на яндексе.
*

dmitry_stas

  • Профи
  • 10053
  • 954
Re: вирус на сайте
« Ответ #19 : 30.05.2017, 10:35:30 »
Скорее всего, перенос хостинга. Но не факт, что в сайте не осталось уязвимости.
согласен. скорее всего так и есть по обоим пунктам.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Появился левый текст на сайте

Автор vipopo

Ответов: 25
Просмотров: 570
Последний ответ 30.06.2017, 13:52:52
от dmitry_stas
Видеоконференции на сайте Joomla

Автор ilgiz0001

Ответов: 0
Просмотров: 121
Последний ответ 29.06.2017, 12:15:10
от ilgiz0001
Дисклеймер на сайте

Автор GOODREST

Ответов: 2
Просмотров: 221
Последний ответ 27.06.2017, 18:08:33
от rkron
Ошибка на сайте и MySQL 500

Автор Shadiw

Ответов: 8
Просмотров: 191
Последний ответ 15.03.2017, 22:39:44
от Shadiw
Авторизация на сайте без логина и пароля. Это возможно!

Автор Aeliot

Ответов: 28
Просмотров: 3147
Последний ответ 09.03.2017, 22:30:45
от Septdir