Сканируем сайты! Сканер сайта или Shell and Backdoor Script Finder - страница 2 - Безопасность сайтов на Joomla

Скачал, положил в корень, вызвал  сайт/fls.php

после проверки получил:

Подскажите пожалуйста, что значат эти строки ?

не хватило времени на сканирование
Добавь в .htaccess

Подскажите пожалуйста, что значат эти строки ?

это значит, что надо проверить эти файлы
кроме файла сканера

Друзья! Помогите избавиться от гадости, которая терроризирует меня уже неделю.
Симптомы: появление текста на сайте с ссылками на забугорском языке. Текст всегда появляется вверху материала (материал сдвигается вниз). Текст появляется не во всех материалах (произвольно). Есть временный способ убрать текст. Описан тут ниже.
Вот скриншот:
Что я успел сделать:
- убрал галки "сохранить пароль" во всех ftp клиентах: filezilla, total commander
- нашел пару файлов с названием thumbs.php со строкой (ниже). Файлы убил.
- взял, используемый тут, fls.php. Получил список (под спойлером). Список почистил от самого fls.php
Список внушительный...
- поудалял неиспользуемые расширения для Joomla
- скопировал сайт и проверил его антивирусами: Nod, Comodo Internet Security (все базы свежие). Ничего не нашлось
- провел поиск по тексту "eval(base64"
- добавил в каждую (!) папку файл index.html с текстом "<html><body bgcolor="#FFFFFF"></body></html>". Убил на это три часа.
- защитил админку с помощью plgSystemJSecure-1.0.7
- поменял пароли на довольно сложные к FTP и mysql. Также поменял пароль на админку.
- обратился к хостеру насчет прав на папки/файлы. Сам назначить не могу, поэтому жду ответа.

Расширения уже давно не обновлял и не устанавливал.
Joomla 1.5.12, переход на более свежий движок исключен: было сделано много изменений вручную в файлах Joomla и вспомнить что и где - невозможно.
Интересный момент: когда захожу в материал, где есть проявление этого гада, и пересохраняю его без изменений: зловредный текст пропадает на всех страницах. И проявляет себя по разному (в среднем раз в 6-24 часа). Надо бы еще проследить зависимость...
Имеется автоматически настроенная выгрузка из 1С (7.7) в базу сайта раз в день с другого компьютера. Сегодня сделаю наблюдение: на этом ли этапе происходит внедрение кода.
В последнее время, как я уже писал выше, ничего не устанавливалось. Делались лишь множественные правки вручную в шаблоне и в других файлах для повышения функциональности.
Был подключен чат от siteheart, но он был подключен достаточно давно, а вирус объявился недавно. Неужели он?
Где-то три месяца назад началась рассылка спама через уязвимость в стандартной форме "задать вопрос о товаре". Форма была убрана из шаблона. Стоить заметить - спам приходит, но реже. Скорее всего мой адрес уже у спамеров в базе.

Итак, требуется помощь от сообщества Joomla. Нужно удавить эту дрянь на корню и помочь другим с подобной проблемой.

Одного не понимаю с какого перепуга вы решили  что base64_decode должно быть именно так eval(base64
может быть и так
и так
и так

xaocbozzz
По списку сканера -ничего опасного не вижу.thumbs.php-это правильно.
Я всегда  ищу base64_decode

Хм. В общем с самого утра, после того, как я "подчистил" следы вируса - полет нормальный. Проверяю сайт каждые 20 минут, а также после использовании какого-либо ftp-клиента или проги для работы с базой.
Скоро попробую сделать выгрузку с 1С. Посмотрим, что из этого вырастет.

спасибо за скрипт! эта штука отличный помошник!

пожалуйста

Вычистил свои сайты с помощью вашего скрипта, но осталась одна проблема: каким-то образом, каждый день у меня заменяется фаил .htaccess на всех сайтах и соответственно сайты падают, все сайты на одном хостинге, под одним аккаунтом. Все пароли менял уже 3 раза, ни в каких менеджерах их не сохраняю. Менял даже хостинг, не помогло. Все сайты: Joomla 1.5.25 + VirtueMart 1.1.9
Помогите, пожалуйста, решить проблему. Пример .htaccess (испорченный) можно скачать здесь: lover-shop.ru/hta.rar

P.S. ваш скрипт выдает много ссылок на фаилы содержащие строки: $_POST[ и confirm(
Часть из них я проверял, вроде все ок, но их просто не реально все проверить! Что с этим делать?

Итак, посидев пару суток и наблюдая за вируснёй, я выяснил, что:
- выгрузка из 1С совершенно не при чем.
- вирус не подвергается временному анализу: его признаки могут появиться и сейчас и через два дня.
- все, что я описывал выше - не помогло
- поискал в Инете подобные сканеры, но все что находил - не работало
Я в замешательстве... единственный оставшийся вариант - отключить все расширения для Joomla и включать по одному (или все наоборот). И наблюдать, когда появиться гаденыш. Только вот даже если брать из расчета 3 дня на каждое расширение... выходит цельных пару месяцев... Ну и естественно о нормальной работе сайта на этот период можно забыть...

xaocbozzz, а вы к про не обращались? Возможно затраты окупятся быстрым излечением?

В 1.5.12 есть большая уязвимость, насколько я помню. Обновляйте ядро и ищите шелл. Или латайте Может оно

А нет.. Вход закрыт. Сайт я сам нашел какой. Дырка не там.

Офигенно нагадили

Вот вот. Что с этой заразой сделать?

xaocbozzz, а вы к про не обращались? Возможно затраты окупятся быстрым излечением?

Ну я все-таки верю в то, что на форуме есть люди, готовые помочь советом. Сам тут помогаю людям как могу и денег не требую. Хочется вникнуть в проблему и разобраться. А не просто отдать кому-то денег и не знать, что это было. Вознаградить за оказанную помощь - не проблема. Главное, чтобы в нужном направлении меня направили.

...Обновляйте ядро...

Для меня это последнее на что я могу пойти. Неужели это единственный выход? Если однозначно - да, тогда я не завидую себе, потому что предстоящий объем работ меня пугает.

Вирус все еще на месте... Почему, когда захожу в любой материал и пересохраняю его (без изменений) - текст вируса пропадает. (потом вновь появляется?)

он появляется внось, потому что рассадник заразы сидит на сайте/хостинге (даже в другой папке на хостинге вполне может сидеть) и вновь внедряет свой код по истечении определенного времени.

хм. Кажется я напал на след. В кэше Joomla нашел php файлы, которые содержат текст вируса. Затем вспомнил, что совершенно недавно я включил встроенный кэш Joomla (который все время был отключен). Сейчас очистил кэш и вуаля - текст исчез. Теперь отключаю кэш и жду пару дней... Кстати вопрос наперед: что делать, если мне нужен кэш?

Перезалей кэш только мало вероятно что это дело в кэше
----------------
Ты переименовал htaccess.txt в .htaccess ?
Ты закинул .htaccess в папку с картинками ?

P.S. Ищи во всем том что ты мне не скинул, а по твоим словам это картинки но по ошибкам я вижу что это еще и mod_city_rate,
возможно еще что то я не собираюсь копаться в ошибках и отслеживать что ты там мне не скинул.
Если ты считаешь что картинки не представляют опасности то ты глубоко ошибаешься, берешь картинку gif или png формата открываешь ее в  текстовом редакторе типа Notepad++ и вписываешь туда код, и вуаля (раньше uCoz через аватарки так взламывали )))

...
Ты переименовал htaccess.txt в .htaccess ?
Ты закинул .htaccess в папку с картинками ?
...

Да, это я сделал. Но дело действительно было в кэше. После того, как я его вырубил - все исчезло.

Хочу выразить огромную благодарность oriol и flyingspook за отзывчивость и помощь в моей проблеме. Ставлю вам +

ps. Только вот что с кэшем то теперь делать?

посмотрю и скажу что с кэшем делать

Кэш не при делах все там на месте
Самое интересное что Firefox эту хрень грузит а Chrome нет )) (у меня)
И у скриптов все запросы местные кроме одного http://xslt.alexa.com/site_stats/js/s/a?url=******.ru

Сканер полностью закодирован в base64 вопросов по этому поводу просьба не задовать

Здравствуйте.
Стали появляться SEO статьи на моем сайте, которые я не размещал.
Запустил сканер.
В результатах сканирования нашел:

Удалил (переименовал) этот sh.php.

Кроме того, встречаются строки типа:
Настораживает двойное расширение: view.html.php
или это нормально? Что еще можно сделать.

Удалил (переименовал) этот sh.php.

Настораживает двойное расширение: view.html.php
или это нормально? Что еще можно сделать.

index.html положи в папку,где переименованный скрипт sh.php.
view.html.php - это норма

index.html положи в папку,где переименованный скрипт sh.php.
view.html.php - это норма

Извиняюсь, не понял, какой index.html. В той папке где лежит переименованный скрипт (я его никуда не перемещал, только сменил имя и расширение) есть index.html

Ну тогда,норма.Хотя почему не удалить переименованный скрипт,или хотя бы написать приветствие с пожеланием.

Удалил, но вообще-то не помогло, сегодня появилась новая статья. Нужно искать дальше, а как не знаю:(((