Переадресация, Редирект, Вирус - страница 2 - Безопасность сайтов на Joomla

Та же проблема все сайты на Joomla заражены. Очистил и удалил все ftp аккаунты и что, через день та же хрень все заражены. Написал скриптик на python если нужно могу выложить, для поиска и удаления строки eval. Но главная причина понять почему так происходит, может быть нужно права расставить правильные.

Давайте и ваш на питоне. Будем благодарны.

У меня на хостинге sweb из пяти жумловских сайтов заражены три. Скачал архивы сайтов и проверил касперским avp зараза называется Backdoor.PHP.Agent.sx.
На одном сайте в корне лежал файлик scandir.php с таким содержимым:

$dir = opendir ('/home/n/');
  while ( $file = readdir ($dir))
  {
    if (( $file != ".") && ($file != ".."))
    {
      echo "$file<br>";
    }
  }
  closedir ($dir);

2Garibaldi
если есть возможность выложи файлы заразы посмотреть

Заражено более 2000 файлов

в начале любого php файла стоит код, вот например index.php в корне начинается с такой хреновины:

это не то
нужны backdoor-ы

если нужен сканер то он в подписи 

О спасибо за сканер проверил один сайт нашёл 4 дырки. Тебе что выслать файлы или итоговую выдачу скрипта?

О спасибо за сканер проверил один сайт нашёл 4 дырки. Тебе что выслать файлы или итоговую выдачу скрипта?

я так понимаю, ты его не так понимаешь   

Сейчас посмотрел более внимательно наверное скрипт показывает уязвимые места?
Файлы с этими строками есть изначально в Joomla

2Garibaldi
файлы

Сейчас посмотрел более внимательно наверное скрипт показывает уязвимые места?

да он показывает возможные угрозы, но бывает что в сторонних расширениях встречается аналог, и пару файлов из самого движка сканирует, их просто просмотреть требуется на наличие угроз

Вот по одному сайту:

index.php в папке components явно левый

Да блин, ребята постарались. У меня тоже весь хостинг был заражен, на provisov.net. Поочередно чистил сайты, с бекапов. Вроде бы ничего, с пометок яндекс-вебмастер снял, но почему-то трафик с одного сайта раз в 10 упал до 80-100 в сутки, несколько дней держится. Оказывается опять где-то редирект стоит и перекидывает с osa.pl куда хошь. Хостеру говорю, тот типа "В опере ничего не перекидывает". Плюнул, взял чистый двиг джоомлы 1.5, закачал, распаковал - все равно. Значит в плагинах. Все поотключил, потом по нескольку включать стал. Нашел - cashcleaner от nonumber заражен блин. А ему нужны права 777 и на папку, чтобы работал. Плюнул, удалил. И все заработало. Будем ждать, может опять дырку найдут.

Нашел - cashcleaner от nonumber заражен блин. А ему нужны права 777 и на папку

С какого перепуга ?
Стоит cashcleaner и права на папки 755 а на файлы 644

я у себя такой нашел "PHP.C99Shell-D[Trj]" находился в модулях и назывался mod_system и в описании, так без палева: "Модуль устранения неисправностей". С умором ребята из конторы 3w k0d dot cc

а по SSH как решить?

а по SSH как решить?

пример

я у себя такой нашел "PHP.C99Shell-D[Trj]" находился в модулях и назывался mod_system и в описании, так без палева: "Модуль устранения неисправностей". С умором ребята из конторы 3w k0d dot cc

Тоже нашел. Выложить или не стоит?

Aleks_El_Dia
Скинь код в личку

Тоже обнаружил эту хрень вчера и совершенно случайно. С 9 января на сервере жила.
Backdoor маскировался под class.php и ориентировочно попал в систему через очень старый сайт на Joomla 1.0 в виде mod_archive_custom.php и такого же xml-файла в модулях. Ублюдки, вероятно, российского происхождения, так как XML переделан из русскоязычного.
Запросы шли с немецких и латвийских серверов. Пришлось забанить соответствующие подсети.
Как попала эта хрень уже не успел выяснить, так как логи только за последние 5 дней. Но точно не через ftp.
Рекомендую периодически заглядывать на свои VDS-сервера на предмет подозрительных файлов, так как внешне backdoor себя вообще никак не проявляет.

на сколько эффективен в таких случаях запрет доступа по IP в .htaccess ?  тоже словил на новом сайте mod_jcomments ((

Сегодня обнаружил редирект на сайт, имитирующий видеохостинг от Яндекс с предложением обновить флеш-плеер. Сайт на ВПС, фтп-клиент не ставил. Самое странное, что после очистки кеша (системного и страниц) все заработало, как прежде. В скачанном архиве сайта антивирус ничего не нашел.
Получается, вирусу доступна лишь директория с кешем?

Может быть условие показа для одного IP- один раз