вирус на сайте - Joomla 2.5: Общие вопросы

Доброго дня !

Примерно 3 месяца назад сайт начал терять позиции.  Проблему обнаружили не сразу. Если название сайта вбить в поисковой строке, то всё отображалось в иероглифах. Сайт превратился в дорвей для китайских продавцов. Причём сайтов на хостинге было 2 и проблема случилась с обоими. Скачал базу данных, там образуется очень много несуществующих URL непонятного происхождения. образуются с определённой периодичностью. 1 сайт удалил вообще за ненадобностью, а второй начал восстанавливать из резервных копий. Причем что самое интересное, копии даже 3-х летней давности уже содержали вирус, который ранее не распространялся.  Звонил в хостинг (nic.ru), те дали список файлов, которые возможно поражены. Объяснить почему резервные копии, которым несколько лет сейчас распространяют вирус они не смогли и я решил сменить хостинг.
Перенёс сайт на Reg.ru там антивирусная проверка показала поражение 2-х файлов. После их удаления распространение вируса прекратилось.
Теперь самое интересное. Файлы были установлены вместе с установочным файлом расширения под назканием Ykhoon CONTENT PROTECTOR. Все файлы этого расширения были созданы в 1 время и изменения не вносились. Данное расширение было куплено у официального производителя. Тот меня грубо говоря послал после предъявления претензий, говорит твой сайт был взломан и бла бла бла.

Может кто объяснить, что могло произойти с сайтом и почему вирус дремал примерно 3,5 года после покупки. Ниже данные 1 зараженного файла.  Вирус идентифицируется антивирусником как eval.b64  ( он и перед кодом так фигурирует даже не скрываясь.)

Закажите анализ сайта в коммерческом разделе.
Есть специалисты, кто вам помогут и сразу откликнутся.
Сами не справитесь и хостинг поможет частично.

// Ещё есть вариант и подозрение, что вы поставили варез в расширениях и оттуда корни растут.
И раз вы пишите, что код удаляли и он появляется, значит где-то скрипт генерирует эту часть.

Обратитесь в выше написанный раздел.
Или сайт потеряете, если там не просто ссылки.

/// И кто этот " Данное расширение было куплено у официального производителя." ?

Спасибо за совет.
Варизников на сайте вообще нет, куплено всё, даже шаблон.  Ссылки генерились до удаления данного расширения. После того. как удалил эти 2 вируса отказалось работать и приложение. Пришлось стереть и его, после этого проблема не появлялась.
Я сейчас буду заного создавать сайт с исправлением ранее допущенных ошибок.
Вот и производитель http://ykhoonextension.com

1) Не факт, что три года вирус не активировался. Более вероятна ситуация, что при разворачивании бэкапа происходило моментальное заражение в связи с тем, что, либо на хостинге оставались зараженные файлы помимо бэкапа, либо была уязвимость в самом хостинге и заражение происходило, например, через соседние с Вашим сайты. Я ставлю на первый вариант.

2) Ни одно расширение не даст Вам стопроцентной гарантии. Иначе бы все его ставили, а вирусописатели перемерли от голода. Тем более, что у Вашего расширения, судя по названию, достаточно узкоспециализированный функционал.

3) Проверить сайт стоит. Можно прогнать айболитом и посмотреть что он найдет. Не факт, что Вы все вычистили.

А вы проверьте сам eval
http://base64.ru

http://ykhoonextension.com -> Странный производитель.
Ещё, по вашим словам, с неадекватной поддержкой и у меня уже подозрение, что там вшито что-то.
У вас архив покупки есть, выложить?

А лучше не тут, а в комм.разделе, сразу увидят, что там и откуда, если это там.

// Повторюсь, сделайте в выше написанном разделе полный анализ сайта.

Анализ сделаю, спасибо.
Да, архив есть, Во вложении

вот где у вас:
\installer\install\plugins\system\ykhooncontentprotectoradvancedhelper.php

При установке он ставится. Удалите полностью расширение и очистите код.

Спасибо, я его стер. Там вирус и показывало. Но какого хрена оно в купленном расширении? Производитель говорит, что он не вшивал и это моя проблема. Даже файлы не попросил для проверки. И почему несколько лет онтбыл не активен?
Мне кажется он продает его уже с триппером, оно даже на Joomla extentions выложено, правда версия более новая.

Я показал вам где это. Значит такой разработчик. Архив у него куплен? Вот и напишите ему, какой он "красивый".
Я только увидел файл с кодом, там возможно ещё что-то есть.

И если важно расширение, обратите внимание на XML установщик.

Спасибо, обязательно напишу. Подрывает веру в официальнвх производителей.

Спасибо, обязательно напишу. Подрывает веру в официальнвх производителей.

Не стоит всех под одну гребёнку.
Просто пользуйтесь теми, кто выложен на офф.сайте Joomla.org.

Хотел на Joomla экстентионс написать отзыв про расширение и что мы видим..
Not allowed

Commercial disputes
Questions to the Developer or Others
Support Requests
Error Messages
Links
Code or Bug Reports
Questionable Language (including cursing)
Languages other than English
One-line Reviews

Если там проблема, то писать можно только производителю.. Молодцы, хорошо придумали.

Мне кажется он продает его уже с триппером

99% что это не так, и разработчик не при чем. 99% что вирус попал в процессе.

99% что это не так, и разработчик не при чем. 99% что вирус попал в процессе.

В процессе чего? Скачивания? Если ТС прав и выложил купленный архив, то там уже ведь "сидит".

например да, в процессе скачивания. но в данном случае я согласен, это было не так. по одной простой причине - потому что там вообще нет вируса

например да, в процессе скачивания. но в данном случае я согласен, это было не так. по одной простой причине - потому что там вообще нет вируса

Согласен, там не вирус. Но всё равно, реклама, записанная и зашифрованная не приносит разработчику ничего хорошего.

реклама чего? php-функции base64_decode? короче, я полностью согласен с

1) Не факт, что три года вирус не активировался. Более вероятна ситуация, что при разворачивании бэкапа происходило моментальное заражение в связи с тем, что, либо на хостинге оставались зараженные файлы помимо бэкапа, либо была уязвимость в самом хостинге и заражение происходило, например, через соседние с Вашим сайты. Я ставлю на первый вариант.

2) Ни одно расширение не даст Вам стопроцентной гарантии. Иначе бы все его ставили, а вирусописатели перемерли от голода. Тем более, что у Вашего расширения, судя по названию, достаточно узкоспециализированный функционал.

3) Проверить сайт стоит. Можно прогнать айболитом и посмотреть что он найдет. Не факт, что Вы все вычистили.

Тогда что помогло временно  заблокировать трабл? Перенос хостинга? Может где в файлах сервера вирусняк висит?

Тогда что помогло временно  заблокировать трабл? Перенос хостинга? Может где в файлах сервера вирусняк висит?

Скорее всего, перенос с хостинга. Но не факт, что в сайте не осталось уязвимости.

Скорее всего, перенос хостинга. Но не факт, что в сайте не осталось уязвимости.

согласен. скорее всего так и есть по обоим пунктам.