ругается Яндекс - Безопасность сайтов на Joomla

Прошу ногами сильно не пинать. Больше недели не могу уже справиться сам.

С гуглом все нормально, а Яндекс пишет
Во время последнего посещения роботом сайта www.agrosprom.ru, права на который Вы подтвердили в сервисе Яндекс.Вебмастер, наши алгоритмы обнаружили на его страницах скрытый текст, недоступный пользователям сайта и предназначенный исключительно для робота поисковой системы. Примеры страниц приведены ниже:
http://www.agrosprom.ru/index.php?option=com_content&task=view&id=007&Itemid=1

В настоящее время такие страницы временно исключены из поиска. Если Вы удалите скрытый текст, то они автоматически восстановятся в результатах поиска вскоре после того, как будут переобойдены роботом.

Обратите внимание: скрытый текст может появиться в исходном коде страницы в результате взлома, а также может быть автоматически удален после индексации поисковой системой. В этом случае рекомендуем сменить все пароли доступа и проверить сайт на наличие уязвимости. Поскольку злоумышленники часто пользуются уязвимостями старых версий различных CMS, рекомендуем использовать самую последнюю версию Вашей системы. Также необходимо следить за своевременным обновлением установленной на компьютере антивирусной программы.
---
С уважением,
Яндекс.Вебмастер

Пробывал скрипт вот этот http://joomlaforum.ru/index.php/topic,154593.msg905712.html#msg905712
но что то не помогло.
Подскажите что да как. Соображаю туго поэтому просьба с подробностями.
Спасибо.

Ну а скрипт нашел что-то или нет?

Не помогло - это что значит? Яндекс же не сразу дает инфу!

Ну а скрипт нашел что-то или нет?

Не помогло - это что значит? Яндекс же не сразу дает инфу!

скрипт выдал абƒ, аПаОаЕб…аАаЛаИ
баКаАаНаИаМ аПаЕб€аВб‹аЙ бƒб€аОаВаЕаНбŒ
баКаАаНаИаМ аВб‚аОб€аОаЙ бƒб€аОаВаЕаНбŒ
баКаАаНаИаМ б‚б€аЕб‚аИаЙ бƒб€аОаВаЕаНбŒ
баКаАаНаИаМ б‡аЕб‚аВаЕб€б‚б‹аЙ бƒб€аОаВаЕаНбŒ
баКаАаНаИаМ аПбб‚б‹аЙ бƒб€аОаВаЕаНбŒ
баКаАаНаИаМ аКаОб€аЕаНбŒ аНаА аВбб‚аАаВаКаИ
шут его знает что это.
Ждал 3 дня пока Яндекс опять зайдет... и снова пришло письмо, что что то не так.

Кстати может поможет.... Гугль вебмастер пишет, что
Ниже приводятся наиболее часто используемые ключевые слова, обнаруженные Google при сканировании вашего сайта. Эти слова должны соответствовать тематике вашего сайта.
1.    viagra    
2.    cialis    
3.    гидропонике (формы слова: 4)    
4.    выращивание (формы слова: 11)    
5.    prix    
6.    acheter    
7.    générique (формы слова: 2)    
8.    pharmacie (формы слова: 2)    
9.    achat (формы слова: 2)    
10.    vente (формы слова: 2)    
11.    france    
12.    растений (формы слова: 9)    
13.    ordonnance (формы слова: 2)    
14.    belgique    
15.    ligne    
16.    магазин (формы слова: 2)    
17.    удобрение (формы слова: 4)    
18.    cher    
Все иностранные слова ума не приложу откуда взялись.

Ну да.. от вируса :-)
Могу платно полечить раз скриптик не пошел и тут другая версия - 600 руб, доступы на фтп и в админку

http://webmaster.ya.ru/replies.xml?item_no=10271 вот только что от яндекса письмо пришло

http://webmaster.ya.ru/replies.xml?item_no=10271 вот только что от яндекса письмо пришло

И что там? или у всех есть доступ к вашей учетке?

И что там? или у всех есть доступ к вашей учетке?

там для всех

После прочтения  “JOOMLA_CACHE” не нашел, айпи тот запретил
Пароль сменил, Joomla обновил до 1.5.22 с 1.5.12.
Ждать или еще что сделать?


Скрытые спам-ссылки и безопасность сайта

В последнее время заметно участились случаи взлома сайтов с целью включения в страницы скрытых спам-ссылок, ведущих на посторонние ресурсы. Из-за этого взломанный сайт может быть временно исключён из результатов поиска, а пользователям могут выдаваться не те страницы, которые они хотят найти. Идея такого заражения не нова, но сейчас оно носит массовый характер и обладает новыми особенностями, с которыми мы раньше не сталкивались. Поэтому мы решили ещё раз напомнить о существовании такой проблемы и о способах её устранения.

Последняя волна заражений была связана в основном с сайтами, которые используют CMS Joomla, но это не значит, что сайты на базе других CMS не могут оказаться взломанными.

Как это происходит

Сначала злоумышленник получает доступ к сайту, использовав одну из его уязвимостей. Затем он загружает на сайт файл .php, содержащий вредоносный код, или дописывает этот код в уже существующие файлы. Вредоносный код никак не проявляет себя при посещении сайта обычными пользователями, но когда сайт индексирует робот поисковой системы, ему выдаётся множество скрытых спам-ссылок, например, таких:

    <!--cacheb--><p style="display: none;">
    <a href="http://www.msu.edu/~offbeat/.ed/tadalafil-generique.html">tadalafil generique</a>
    <a href="http://www.msu.edu/~offbeat/.ed/viagra-europe.html">viagra europe</a>
    <a href="http://www.msu.edu/~offbeat/.ed/canadian-cialis.html">canadian cialis</a>
    <a href="http://www.msu.edu/~offbeat/.ed/cialis-commercial.html">cialis commercial</a>
    ...
    <a href="http://www.msu.edu/~offbeat/.ed/contre-indication-viagra.html">contre indication viagra</a>
    <a href="http://www.msu.edu/~offbeat/.ed/cialis-moins-cher.html">cialis moins cher</a>
    <a href="http://www.msu.edu/~offbeat/.ed/cialis-espagne.html">cialis espagne</a>
    </p><!--cachee-->


Вредоносный код выдаёт страницу со ссылками только роботам поисковой системы. В страницах, которые выдаются обычным пользователям, таких ссылок нет. Вебмастер тоже не сможет увидеть эти ссылки в исходном коде страницы, если зайдёт на неё через браузер.

Наличие на сайте скрытого текста расценивается Яндексом как нарушение, поэтому содержащие его страницы временно исключаются из поиска. Если мы обнаруживаем скрытый текст на сайте, который зарегистрирован в сервисе Яндекс.Вебмастер, то присылаем вебмастеру сообщение об этом, чтобы вебмастер смог оперативно проверить свой сайт и устранить найденные проблемы.

Как найти источник проблемы?

Вредоносный код, который в последнее время используется, чтобы выдавать роботам страницы со спам-ссылками, с большой вероятностью содержит функции “eval”, “base64_decode”, “json_decode” или “gzuncompress”, при этом использует переменные user_agent и referer. Но такой код постоянно эволюционирует, поэтому его признаки и принципы действия могут измениться в любой момент.

По ссылке приведён образец вредоносного кода, который был включён в CMS Joomla. В данном случае, его характерным признаком является, кроме перечисленных, наличие строки “JOOMLA_CACHE”.

При запросе страницы со взломанного сайта, код отправляет запрос серверу злоумышленников с ip-адресом 78.159.101.232. Этот сервер проверяет user-agent, referer и другие параметры, и выдаёт вредоносному коду на взломанном сайте инструкции для дальнейших действий. Например, если user-agent принадлежит роботу поисковой системы, то роботу выдаётся страница со спам- ссылками.

Что делать дальше

Если Ваш сайт действительно был заражен, то после его полной очистки рекомендуем предпринять следующие профилактические меры, чтобы свести риск повторного заражения к минимуму:

1. Сменить все пароли доступа к сайту: от ftp, административной панели, базы данных, SSH и панели управления веб-хостингом.
2. При дальнейшей работе с сайтом не сохранять эти пароли в браузерах, ftp-клиентах, файловых менеджерах и т.д.
3. Обновить CMS до последней версии и регулярно обновлять её в будущем.
4. Использовать надежную антивирусную программу и также следить за ее регулярным обновлением.

именно под этот вирус и написан мой скриптик , но раз не помогло - значит другой вирь...
а что в кэше Яшки?

сделайте так: качните сайт на комп и прошерстите поиском Total Commander, используя вкладочку "с текстом" - вставляйте туда Ваши иностранные слова))

Или еще проще: если хаков движка не делали, берете чистый дистрибутив Joomla и перезаливаете на хостинг с перезаписью файлов. То же с расширениями сторонними. Файлы шаблона просматриваете вручную. Экспортируете на всякий базу данных и в ней тоже ищите свои иностранные слова...

Должно хватить. Лечила от подобного, за пару часов справилась. Больше пароли не сохраняю))

сделайте так: качните сайт на комп и прошерстите поиском Total Commander, используя вкладочку "с текстом" - вставляйте туда Ваши иностранные слова))

Не поможет

Или еще проще: если хаков движка не делали, берете чистый дистрибутив Joomla и перезаливаете на хостинг с перезаписью файлов. То же с расширениями сторонними.

Не поможет

Файлы шаблона просматриваете вручную. Экспортируете на всякий базу данных и в ней тоже ищите свои иностранные слова...

Поможет, но частично - дырка останется

Должно хватить. Лечила от подобного, за пару часов справилась. Больше пароли не сохраняю))

Видимо немного не те вирусы были :-)
Лечил не раз, но не свои сайты а клиентские, сам виндой не пользуюсь :-)

  Ужас какой..

Ладно, если что - знаю, к кому обратиться  

А догадочки есть, есть, спс за "не поможет"ы 

Нашел в кэше Googleякод которым оканчивалась страница
</div>
<!--cacheb--><!--cachee-->
</body>
</html>

Потом между ними появляются строк 200-250 всякой лабуды.

<!--cacheb--><a href="http://mp3neon.com/">mp3 downloads</a>
<p style="display: none;">
<a href="http://kenfield.scripts.mit.edu/?p=4442">ou acheter du <b style="color:black;background-color:#a0ffff">viagra</b> sur internet</a>
<a href="http://kenfield.scripts.mit.edu/?p=4441">acheter <b style="color:black;background-color:#a0ffff">viagra</b> en pharmacie sans ordonnance</a>

<a href="http://kenfield.scripts.mit.edu/?p=4440"><b style="color:black;background-color:#a0ffff">viagra</b> vente libre belgique</a>
<a href="http://kenfield.scripts.mit.edu/?p=4439">acheter <b style="color:black;background-color:#a0ffff">viagra</b> sans ordonnance</a>
<a href="http://kenfield.scripts.mit.edu/?p=4438">acheter <b style="color:black;background-color:#a0ffff">viagra</b> belgique</a>
<a href="http://kenfield.scripts.mit.edu/?p=4437">acheter en ligne <b style="color:black;background-color:#a0ffff">viagra</b></a>

<a href="http://kenfield.scripts.mit.edu/?p=4436">acheter du <b style="color:black;background-color:#a0ffff">viagra</b> pas cher</a>
и т.п.

Поискал по базам MySQL слово "cacheb"
Не нашел.
гугль ботом вхожу все чисто... Стоит ждать чтобы попробывал Яндекс мои страницы или что нибудь еще предпринять?

А почему Вы не хотите Воланду дать полечить? 600 р - не большие деньги за такие фишки. Я бы обязательно обратилась, но с условием, что хотя бы принцип расскажет этой бяки.

А почему Вы не хотите Воланду дать полечить? 600 р - не большие деньги за такие фишки. Я бы обязательно обратилась, но с условием, что хотя бы принцип расскажет этой бяки.

Хочу все сам Это же интересно.

Хочу все сам Это же интересно.

Интересно, не спорю)) Но для решения каждого уровня задачи нужен определенный уровень знаний)) Первоклашка не осилит матанализ - элементарно, даже если он гений, ему не хватит знаний)) Надо учитывать))