Взломали сайт. Javascript в начале index.php - Безопасность сайтов на Joomla

Проблема - уже больше недели раз в день примерно в index.php  в корне сайта дописывается яваскрипт, который начинает тянуть и кидать в видовс кучу екзешников. Антивирус аж стонет... Думал Joomla старая. Обновил - сейчас Joomla 1.5.25, VirtueMart 1.9, но проблема осталась. Сменил пароли к ФТП, отключил пользователей ФТП вообще, поменял пароль на базу, на сам файл index.php поставил права только для чтения ("r") - не помогло - права становяться rw-  и скрипт в начале страницы...

Очень нужен хоть какой-то дельный совет

 закодированно - ничего не понятно, и чем расходировать не придумал(хотя это особо и не зачем, главное побороть дописывание в index.php)

Да там чуть ли не в любой папке можно спрятать скрипт и пинговать его на выполнение.
По ходу придется долго и муторно сравнивать файлы/каталоги оригиналов с теми которые на сервере, выискивать лишние подозрительные, и проверять их.

проверьте файлы index.php и index.html я как то ... года два назад, в ручную все удалял, вот муторно было )

проверьте файлы index.php и index.html я как то ... года два назад, в ручную все удалял, вот муторно было )

проверил - только в index.php в корне сайта этот код появляется. Его удаляю, а он через время другой дописывается...

проверил - только в index.php в корне сайта этот код появляется. Его удаляю, а он через время другой дописывается...

Обратитесь к хостеру с просьбой проверить сервер на вирусы.
Еще как вариант в шаблоне index.php найдите код, удалите и повторите эти действия в других шаблонах, которые используются сайтом, почистите временные папки.

Должно исчезнуть.

проверил - только в index.php в корне сайта этот код появляется. Его удаляю, а он через время другой дописывается...

Спорим что винда на компе?

проверил - только в index.php в корне сайта этот код появляется. Его удаляю, а он через время другой дописывается...

ну тогда, удаляйте из всех файлов index.... в папках Joomla вредоносный код, но прежде сканируйте свой комп на вирусы

проверил - только в index.php в корне сайта этот код появляется. Его удаляю, а он через время другой дописывается...

У Вас получилось решить эту проблему?

У Вас получилось решить эту проблему?

Понаходилось куча вирусов доктор вебом на компьютере(хотя стоит нод с постоянным обновлением). Код периодически всё-равно дописывается. Делаю полнотекстный поиск по коду сайта по рекомендациям яндекса на что-то подозрительное по ключевым словам eval, base64_decode, gzuncompress, gzinflate, ob_start, str_rot13 - пока ничего подозрительного не нашёл...

у меня чтото похожее было, висело в папке media

Понаходилось куча вирусов доктор вебом на компьютере(хотя стоит нод с постоянным обновлением). Код периодически всё-равно дописывается. Делаю полнотекстный поиск по коду сайта по рекомендациям яндекса на что-то подозрительное по ключевым словам eval, base64_decode, gzuncompress, gzinflate, ob_start, str_rot13

аналогично - код раз в сутки в среднем дописывается на разные сайты - но как побороть пока тоже не знаю... помет он в sql попал - как его оттуда вычистить?

код - это следствие. Ищите причину. Посмотрите логи на хостинге хотя бы. Где-то сидит пхп-код, который его вписывает. Либо хостинг дырявый...

код - это следствие. Ищите причину. Посмотрите логи на хостинге хотя бы. Где-то сидит пхп-код, который его вписывает. Либо хостинг дырявый...

хостинг авторитетный, другие сайты на аккаунте пока не затронуло... То что код сидит - понятно, но какого вида он может быть, по каким ключевым словам искать не понятно. Логов много, пересматриваю, но ничего подозрительного не вижу. Как понимаю нужно не обычный POST запрос искать?

Я ж говорю, сравнивать каталоги оригиналов и сервера.
Берем в руки что-то типа Meld и вперед, искать лишние файлы. Лучше сделать копии каталогов на компе, поиск быстрей будет.
Файл могли назвать как угодно, хоть index.php, хоть helper.php... если еще и поддержка шеловых файлов есть, то возможны .sh, .pl...

2mark111
скрипт поиска в подписи сканируй сайт

2mark111
скрипт поиска в подписи сканируй сайт

Спасибо. Вывелось штук 20 ссылок на файлы вида

File: /home/......../request.php
String:: $_POST[

File: /home/...../button/confirm.php
String:: confirm(


Но пост и конфирм должны ж быть на сайте. Файлы конечно каждый пересмотрю

Спасибо. Вывелось штук 20 ссылок на файлы вида

File: /home/......../request.php
String:: $_POST[

File: /home/...../button/confirm.php
String:: confirm(


Но пост и конфирм должны ж быть на сайте. Файлы конечно каждый пересмотрю

а можно поподробнее как нужно правильно все делать или ссылочку на статью где можно об этом почитать...

уже 2 дня как сайт вредоносный код не посещает, надеюсь больше с этим ужасом не увижусь. В качестве итога по проделанной работе(для тех кто столкнулся с такой же бедой): первым делом  полечил вирусы на локальном компьютере,заказал проверку на хостинге - результатов не дала,пересмотр логов фтп ничего не дал, пересмотр ошибок апача, PHP тоже ничего. Скачал сайт с хостинга на локальный компьютер. Самый лучший помощник (имхо) Notepad++! Он ищет текст в файлах. Искать не понятно что нужно было, т.е. искать "<script>var" безсмысленно, но я пробовал - нет результатов. Перебрал много комбинаций, находилось много файлов, каждый пересматривал на что-то подозрительное... в итоге реально помог поиск по ключевым словам eval, base64_decode, gzuncompress, gzinflate, ob_start, str_rot13, а конкретнее по base64_. Нашёл несколько подозрительных файлов, основные - файл название.gif внутри которого было <script> потом_куча_крокозябл ...base64_.......</script> я его сразу удалил даже не присматриваясь, и нашёл ещё файл cron.php на установленном форуме, которым никто не пользовался даже, просто когда-то был установлен и висел без дела, ну и папку с форумом прибил. Вот так весело было "убито" больше недели на поиски "заразы"... Осталось теперь вернуть репутацию в поисковиках, уйти из категории "сайт может угрожать вашей безопасности"

Кому информация пригодилась - ставьте плюсик

Кому информация пригодилась - ставьте плюсик

хм как вымогатель 

хм как вымогатель  

чего ж вымогатель? Если тебе инфа бесполезна не ставь!  Плюсик жеж не деньги, а символическая благодарность за помощь!
Я , например, плюсиком не жлоблюсь если человек своим советом помог мне сэкономить время на решение задачи



ЗЫ.. а в твой скрипт можно кстати внести доработку по поиску не только в php и HTML файлах а и других, кто ж знал что в *.gif может сидеть вредоносный код

Т.С. А ведь вся инфа с форума и своего ты не чего не добавил да и на ПЛЮСИК за инфу не кому не тыкнул 

Т.С. А ведь вся инфа с форума и своего ты не чего не добавил да и на ПЛЮСИК за инфу не кому не тыкнул  

мне помогла инфа справки яндекса! В которой было сказанно, что нужно вести поиск  "по ключевым словам eval, base64_decode, gzuncompress, gzinflate, ob_start, str_rot13"!

мне помогла инфа справики яндекса! В которой было сказанно, что нужно вести поиск  "по ключевым словам eval, base64_decode, gzuncompress, gzinflate, ob_start, str_rot13"!

короче, люди, не вздумайте ставить мне плюсик! Ато тут ща сделают из меня корысного...

Тему можно закрывать, всем спасибо за участие, что не оставили в беде, кто чем мог - помогал, подсказывал, я всем благодарен!

Плюсики яндексу не забудь поставить, глядишь он тебе и тиц с pr подкинет.
Т.с. взаимная любовь начнется. 

Плюсики яндексу не забудь поставить, глядишь он тебе и тиц с pr подкинет.
Т.с. взаимная любовь начнется. 

та гляди, Яндекс уже с 14 числа в опасные кинул и пересканивать не хочет

та гляди, Яндекс уже с 14 числа в опасные кинул и пересканивать не хочет

дня три ничего не было и опять вылезло....

дня три ничего не было и опять вылезло....

новый вредоносный скрипт

Nod32 блокирует эту страницу форума 

у меня на сайтах вирус прятался в папке /components/com_wrapper/views/wrapper/
назывался хитро: setting.php

на некоторых сайтах тоже название только в папке /components/com_wrapper/views/wrapper/tmpl/