Внутри каждой страницы сайта есть чужеродный код. Как отследить на какой IP обращается сайт для полу - Безопасность сайтов на Joomla

Всем привет!

Хочу поделится своей проблемой.....
Заметил что сайт начал очень медленно открываться, долго разбирался с проблемой... При просмотре "исходного кода" страницы обнаружил что сайт содержит СОТНИ! строк ссылок на чужие сайты. Вот небольшой отрывок в пару строк:

free soft download <a href="http://www.toycollector.com/gallery/KBN/.l/buy-cheap-corel-photoimpact-x3-oem.php">Corel PhotoImpact X3</a> soft feet
cheap quicken software <a href="http://www.toycollector.com/gallery/KBN/.l/buy-cheap-corel-dvd-moviefactory-6-plus-oem.php">Corel DVD MovieFactory 6 PLUS</a> soft top cheap cars
buy discount software <a href="http://www.toycollector.com/gallery/KBN/.l/buy-cheap-quarkxpress-73-passport-oem.php">QuarkXPress 7.3 Passport</a> download soft sony ericcson
cheap computer soft ware <a href="http://www.toycollector.com/gallery/KBN/.l/buy-cheap-quarkxpress-8-oem.php">QuarkXPress 8</a> where to buy soft air thompsons

Внутри содержания сайта, а также внутри SQL базе я этих строк не нашел. Подозреваю, что имею дело с вирусом, который использует iframe для того чтобы подгружать чужие ссылки внутрь моего сайта. Похоже, что работает это таким образом, перед загрузкой страницы, некий плагин-вирус идет на САЙТ_ВИРУС от куда он грузит рекламные ссылки.

Уже начала предпринимать ряд защитных мер. Главным советом (нашел на нашем форуме) был совет "просмотр кода собственными глазами". Однако моя низкая PHP грамотность ограничивает меня в поиске вредоносного кода.

Что я намерен сделать? (хороший вопрос )  Так вот я ищу инструмент который позволит отследить на какие внешние IP обращается сайт перед загрузкой страницы. Думаю это позволит найти в текстах моего сайта найти адрес или IP  САЙТА-ВИРУСА. Таким образом я буду точно знать файлы захваченные вирусом.

Ребята! Подскажите, есть ли инструмент отслеживающий на какие внешние IP обращается сайт? Или подскажите другой способ "зачистки заразы"

Спасибо!

Заметил
Уже начала
Что я намерен сделать?

так я и не определил, кто это?
ну а если по сути - смотри логи сервера
установленные плагины, компоненты и т.д.

Таким образом я буду точно знать файлы захваченные вирусом.

Таким образом вы ничего не будете знать
Причем здесь IP не понятно.

скачиваешь файлы сайта к себе на комп (или в mc на сервере делаешь поиск по всем файлам), затем сортируешь по дате модификации и всё

скачиваешь файлы сайта к себе на комп (или в mc на сервере делаешь поиск по всем файлам), затем сортируешь по дате модификации и всё

ну поиск по файлам может и не дать результатов, т.к. обычно это все хозяйство кодируется.

не надо делать поиск текста по файлам - задача получить список всех файлов в дереве директорий сайта. Т.е. ищешь все файлы без условия поиска - получишь все файлы сайта в одном списке, потом сортируешь этот список.

не надо делать поиск текста по файлам - задача получить список всех файлов в дереве директорий сайта. Т.е. ищешь все файлы без условия поиска - получишь все файлы сайта в одном списке, потом сортируешь этот список.

Сделал, как советовали!
действительно есть "свежеизмененные файлы" которые по сути не должны были меняться.  Мой взгляд, человека который не знает PHP, не дал результата поиска тела вируса.

Думаю нужно начинать перекачивать файлы из стандартной Joomla и ее компонентов в мой сайт. Может файлы где есть вирус подменятся на правильные.

Ну хорошо бы и пароли сразу сменить на аккаунт, FTP, MySQL и Joomla/// А то труд может быть напрасным. Да и на почтовом ящике измените пароль...

По ходу работы возник вопрос....


А есть ли список файлов Joomla которые действительно меняются по ходу работы сайта?  Хорошобы иметь список.
Это позволит сразу работать с файлами которые поменялись, а не должны были

только в директории /cache
директория /images - туда вы сами загружаете картинки
/configuration.php - файл конфигурации - меняется только когда вы настройки глобальные редактируете

Тяк, мой тебе совет
1. Качаем файлы configuration.php и .htaccess.
2. Удаляй все из папок cache сайта и админки.
3. Залей обновление для ядра с Joomla 1.5.17  Joomla 1.5.20 (http://joomlaportal.ru/downloads/joomla/updates/Joomla_1.5.17_to_1.5.20-Stable-Patch_Package.tar.gz)
4. Удаляем все подозрительные плагины, компоненты, модули!
5. Модифицируем файл .htaccess (на форуме есть ФАГ по модификации, запрет запуска разного мусора), могу выложить файл .htaccess с фиксом!
6. Ставим sh404SEF. Генерируем ссылки
7. В нете любым ресурсом проверки внешних ссылок прогоняем сайт.
(После каждого шага меняй все пароли!) (Можешь этим проверить url-sub.ру)
8. В меню пользователя, отредактируй Супер администратора смени логины, пароли, почту, создай, юзера с логином admin (Полный закос под админскую учетную запись) с правами зарегистрированного пользователя и заблокируй его! Используй 14- 25 значные пароли каждые 2 -е недели меняй!
9. Повторяем шаг номер 3 затем 7 Если найдено небольшое количество левых линков используем REreplacer 2.9.3 (им же можешь определить источник заразы, делаешь рплейс ссылки, ограничивашь, по категориям, потом ограничивать по компонентам, логика надеюсь ясна?) в поиск ссылку в замену ставишь ничего, он просто закроет их нах
10. Про перепроверку прав на все папки я молчу ЭТО НУЖНО БЫЛО ДЕЛАТЬ СРАЗУ!
Если не поможет скачай контент с сайта, удали с ФТП все файлы, удали все базы, и с чистого листа все ставь


[вложение удалено Администратором]

Вы меня вдохновили. Начинаю по пунктам.
Одна просьба -  по пятому пункту . Можно ли ссылочку и пример!

Спасибо!

Вы меня вдохновили. Начинаю по пунктам.
Одна просьба -  по пятому пункту . Можно ли ссылочку и пример!

Спасибо!

Обновил свое сообщение там в подписи файл он должен называться .htaccess и быть в кодировке UTF-8  без бом, на сайте соответственно, должны быть включены настройки для сефа, у хостера mod_rewrite in use, RewriteEngine On!

Вы меня вдохновили. Начинаю по пунктам.
Одна просьба -  по пятому пункту . Можно ли ссылочку и пример!

Спасибо!

Ну насколько вас вдохновил пользователь не знаю... Но если вы будете к примеру в будущем ставить компоненты, модули и плагины скачанные с сомнительных источников, то история Ваша может невзначай повториться... Это у Вас цветочки, могло быть и хуже... То есть с проблемой вы уже столкнулись... Урок для себя вынесли... Удачи в восстановлении сайта.

P.S. В каком то расширении поставленного с депозита сидит видимо код контекстных ссылок... потом голову ломает пользователь, откуда?