Вирус на сайте ! js:Redirector-PB [Trj]

kapotdj

Осваиваюсь на форуме
20
0 / 0

Re: Вирус на сайте ! js:Redirector-PB [Trj]

« Ответ #30 : 26.03.2012, 15:09:48 »

Главное пасс ftp поменять, разок не поменял как сказано выше вирус опять просочился! Теперь вроде нормально все!

Записан

Galyanoff

Захожу иногда
252
7 / 0

Re: Вирус на сайте ! js:Redirector-PB [Trj]

« Ответ #31 : 03.04.2012, 14:59:58 »

Второй раз уже сайт заразился.
Касперский интернет секьюрити лицензия, вирусов на компе нет, ftp пароли на компе не храню. И один хрен...
Восстанавливал сайт со старого бекапа, предварительно просканировал на вирусы, ничего не нашел. Несколько дней все было нормально, а щас опять вирус. Яндекс сайт блокирует, касперский ругается, а я уже не знаю что делать. Бесит.

Первый раз чистил вручную, удалял код, менял файлы с ява скриптами, также помогло ненадолго. Что это за зараза блин, руки бы оторвать создателям, лично бы выдрал!

Записан

wishlight

Гуру
5078
320 / 1
От 300 руб быстрый хостинг. Сервера.

Re: Вирус на сайте ! js:Redirector-PB [Trj]

« Ответ #32 : 03.04.2012, 17:55:49 »

Главное понять через что ломают.

Записан

Дедик, VDS, бекап по смешным ценам|Мои VDS быстрее твоих|Надежные VDS(скидка 10% ovz WPCLMX6YWG kvm 7SIHW75O9Q)|Хостинг против взломов|Решаю ваши проблемы.
Лечу от вирусов и хостинг
Защита сайтов и логи взломов

Galyanoff

Захожу иногда
252
7 / 0

Re: Вирус на сайте ! js:Redirector-PB [Trj]

« Ответ #33 : 03.04.2012, 18:40:20 »

Цитата: wishlight от 03.04.2012, 17:55:49

Главное понять через что ломают.

Ну я то точно не пойму, не спец я в этом...

Могу только сказать, что использую Notepad++ и Total Commander 8.0 beta. Подключения в этих софтинах к четырем сайтам. Пароли там не храню. Вирус только на одном сайте появляется, следовательно не через них идет.

« Последнее редактирование: 03.04.2012, 18:43:42 от Galyanoff »

Записан

wishlight

Гуру
5078
320 / 1
От 300 руб быстрый хостинг. Сервера.

Re: Вирус на сайте ! js:Redirector-PB [Trj]

« Ответ #34 : 03.04.2012, 19:00:09 »

access log смотрите.

Записан

Дедик, VDS, бекап по смешным ценам|Мои VDS быстрее твоих|Надежные VDS(скидка 10% ovz WPCLMX6YWG kvm 7SIHW75O9Q)|Хостинг против взломов|Решаю ваши проблемы.
Лечу от вирусов и хостинг
Защита сайтов и логи взломов

useruserov

Новичок
9
0 / 0
полоса черная, полоса черная, блин когда же белая

Re: Вирус на сайте ! js:Redirector-PB [Trj]

« Ответ #35 : 03.04.2012, 22:52:15 »

Я тож дважды сайт лечил

Но как я понял у меня зараза попадала через второй фтп аккаунт. Я создавал второй ак для одного господина и забыл про него. Удалил второй ак поменял пасс на первом и все пока работает тьфуу, тьфуу, тьфуу.... Возможно у Вас тож есть ворой ак о котором забыли?

Записан

Galyanoff

Захожу иногда
252
7 / 0

Re: Вирус на сайте ! js:Redirector-PB [Trj]

« Ответ #36 : 04.04.2012, 00:11:09 »

Цитата: useruserov от 03.04.2012, 22:52:15

Я тож дважды сайт лечил Но как я понял у меня зараза попадала через второй фтп аккаунт. Я создавал второй ак для одного господина и забыл про него. Удалил второй ак поменял пасс на первом и все пока работает тьфуу, тьфуу, тьфуу.... Возможно у Вас тож есть ворой ак о котором забыли?

второго нет, но по этому акку был доступ и у клиента, только пароль то я менял, ему не говорил, он предпочел чтоб я админил сайт. А как быть с паролем от cPanel? через нее может попасть вирус?

Записан

draff

Гуру
5801
434 / 7
ищу работу

Re: Вирус на сайте ! js:Redirector-PB [Trj]

« Ответ #37 : 04.04.2012, 09:47:16 »

Конечно Да.
cPanel -это интерфейс хостинга,и скрипт получит права управления,записи,чтения файлов.

Записан

Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart Интеграция Retailcrm | Отзывы

nixsystem

Захожу иногда
207
10 / 0

Re: Вирус на сайте ! js:Redirector-PB [Trj]

« Ответ #38 : 04.04.2012, 12:08:21 »

Зачастую cPanel (у адекватных хостеров) работает через https, что означает что весьма проблематично что-то туда задить где-то в промежутке, перехватив, данные сессию и прочее.
Если стоит антивирус, который обновляется, и при проверке компа ничего не находит (продукты касперского сам пользую, проблем не возникало) то можно с уверенностью исключить возможность такого пути заражения.
Если вы восстанавливаете из backup то не исключено, что код, позволяющий злоумышленнику вносить изменения на сайт уже в нем содержится.
Поиск зловреда можно выполнить этой утилитой.
Лог поиска выложите тут, тогда можно будет сказать в чем проблема и как зараза на сайт пробирается.

Записан

Lipa

Осваиваюсь на форуме
16
0 / 0

Re: Вирус на сайте ! js:Redirector-PB [Trj]

« Ответ #39 : 05.04.2012, 10:19:02 »

Ничего не получается - сайты перезаражаются снова. Никто еще до источника заразы не докопался?

Записан

draff

Гуру
5801
434 / 7
ищу работу

Re: Вирус на сайте ! js:Redirector-PB [Trj]

« Ответ #40 : 05.04.2012, 11:52:16 »

Цитата: Lipa от 05.04.2012, 10:19:02

Ничего не получается - сайты перезаражаются снова. Никто еще до источника заразы не докопался?

А кто ж будет искать,кроме тебя.Делай как советовал nixsystem.
Заливаешь файл fls.php в корень сайта,и запускаешь my_site.ru/fls.php
результат работы скрипта будет выведен в браузер.Скопируешь,выкладывай в эту тему,или открывай свою,под спойлер

Записан

Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart Интеграция Retailcrm | Отзывы

Lipa

Осваиваюсь на форуме
16
0 / 0

Re: Вирус на сайте ! js:Redirector-PB [Trj]

« Ответ #41 : 05.04.2012, 12:05:56 »

Походу нешел источник заразы в корне некоторых сайтов web.config.txt Видимо оттуда ноги растут

Код

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
   <system.webServer>
       <rewrite>
           <rules>
               <rule name="Joomla! Rule 1" stopProcessing="true">
                   <match url="^(.*)$" ignoreCase="false" />
                   <conditions logicalGrouping="MatchAny">
                       <add input="{QUERY_STRING}" pattern="base64_encode[^(]*\([^)]*\)" ignoreCase="false" />
                       <add input="{QUERY_STRING}" pattern="(&gt;|%3C)([^s]*s)+cript.*(&lt;|%3E)" />
                       <add input="{QUERY_STRING}" pattern="GLOBALS(=|\[|\%[0-9A-Z]{0,2})" ignoreCase="false" />
                       <add input="{QUERY_STRING}" pattern="_REQUEST(=|\[|\%[0-9A-Z]{0,2})" ignoreCase="false" />
                   </conditions>
                   <action type="CustomResponse" url="index.php" statusCode="403" statusReason="Forbidden" statusDescription="Forbidden" />
               </rule>
               <rule name="Joomla! Rule 2">
                   <match url="(.*)" ignoreCase="false" />
                   <conditions logicalGrouping="MatchAll">
                     <add input="{URL}" pattern="^/index.php" ignoreCase="true" negate="true" />
                     <add input="{URL}" pattern="/component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$" />
                     <add input="{REQUEST_FILENAME}" matchType="IsFile" ignoreCase="false" negate="true" />
                     <add input="{REQUEST_FILENAME}" matchType="IsDirectory" ignoreCase="false" negate="true" />
                   </conditions>
                   <action type="Rewrite" url="index.php" />
               </rule>
           </rules>
       </rewrite>
   </system.webServer>
</configuration>

Записан

Lipa

Осваиваюсь на форуме
16
0 / 0

Re: Вирус на сайте ! js:Redirector-PB [Trj]

« Ответ #42 : 05.04.2012, 12:13:53 »

Нет. Ламер я - это новой версии файл.

Записан

Galyanoff

Захожу иногда
252
7 / 0

Re: Вирус на сайте ! js:Redirector-PB [Trj]

« Ответ #43 : 05.04.2012, 13:41:21 »

Выкладываю лог сканера с зараженного сайта

Код

Sheel and Basic Backdoor Script Finder www.1000in1.net

File: /home/cp033251/public_html/administrator/components/com_ninjaxplorer/include/fun_ftpauthentication.php
String:: $_POST[

File: /home/cp033251/public_html/administrator/components/com_ninjaxplorer/include/js_admin.php
String:: confirm(

File: /home/cp033251/public_html/administrator/components/com_ninjaxplorer/include/javascript.php
String:: confirm(

File: /home/cp033251/public_html/administrator/components/com_ninjaxplorer/include/fun_list.php
String:: confirm(

File: /home/cp033251/public_html/administrator/components/com_akeeba/views/buadmin/view.html.php
String:: confirm(

File: /home/cp033251/public_html/administrator/components/com_swmenupro/ImageManager/Classes/ImageManager.php
String:: $_POST[

File: /home/cp033251/public_html/administrator/components/com_swmenupro/admin.swmenupro.html.php
String:: confirm(

File: /home/cp033251/public_html/administrator/components/com_aicontactsafe/views/attachments/view.html.php
String:: confirm(

File: /home/cp033251/public_html/administrator/components/com_xmap/ajaxResponse.php
String:: $_POST[

File: /home/cp033251/public_html/administrator/components/com_jcomments/admin.jcomments.html.php
String:: confirm(

File: /home/cp033251/public_html/administrator/components/com_jcomments/admin.jcomments.php
String:: $_POST[

File: /home/cp033251/public_html/administrator/components/com_content/admin.content.html.php
String:: confirm(

File: /home/cp033251/public_html/administrator/components/com_joomlapack/views/buadmin/view.html.php
String:: confirm(

File: /home/cp033251/public_html/administrator/components/com_joomlapack/helpers/sajax.php
String:: $_POST[

File: /home/cp033251/public_html/administrator/components/com_trash/admin.trash.html.php
String:: confirm(

File: /home/cp033251/public_html/modules/mod_reformal/joomla/elements/verific.php
String:: eval(base64_decode

File: /home/cp033251/public_html/modules/mod_reformal/joomla/elements/newfile.php
String:: eval(base64_decode

File: /home/cp033251/public_html/kickstart.php
String:: $_POST[

File: /home/cp033251/public_html/plugins/content/captcha_systems/secureimage/securimage.php
String:: $_POST[

File: /home/cp033251/public_html/plugins/content/captcha_systems/securImage2/securimage.php
String:: $_POST[

File: /home/cp033251/public_html/plugins/editors/jce/tiny_mce/plugins/imgmanager_ext/classes/phpthumb/phpthumb.functions.php
String:: phpinfo()

File: /home/cp033251/public_html/plugins/editors/jce/tiny_mce/plugins/imgmanager_ext/classes/phpthumb/phpthumb.class.php
String:: $_POST[

File: /home/cp033251/public_html/plugins/editors/jce/tiny_mce/plugins/spellchecker/rpc.php
String:: $_POST[

File: /home/cp033251/public_html/plugins/editors/jce/tiny_mce/plugins/rj_insertcode/geshi/geshi/thinbasic.php
String:: NCC

File: /home/cp033251/public_html/plugins/editors/jce/tiny_mce/plugins/rj_insertcode/geshi/geshi/csharp.php
String:: WebControls

File: /home/cp033251/public_html/plugins/editors/jce/tiny_mce/plugins/rj_insertcode/php/rj_common.php
String:: $_POST[

File: /home/cp033251/public_html/components/com_aicontactsafe/models/message.php
String:: phpinfo()

File: /home/cp033251/public_html/components/com_mailto/controller.php
String:: $_POST[

File: /home/cp033251/public_html/components/com_jcomments/tpl/default/tpl_comment.php
String:: confirm(

File: /home/cp033251/public_html/libraries/joomla/html/toolbar/button/confirm.php
String:: confirm(

File: /home/cp033251/public_html/libraries/joomla/environment/request.php
String:: $_POST[

Done

Записан

draff

Гуру
5801
434 / 7
ищу работу

Re: Вирус на сайте ! js:Redirector-PB [Trj]

« Ответ #44 : 05.04.2012, 13:47:01 »

Выбрал особо опасные,и особеннее thinbasic.php,выделил курсивом.Выложи его под спойлер

Спойлер

[свернуть]

Записан

Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart Интеграция Retailcrm | Отзывы

Galyanoff

Захожу иногда
252
7 / 0

Re: Вирус на сайте ! js:Redirector-PB [Trj]

« Ответ #45 : 05.04.2012, 15:45:36 »

thinbasic.php

Спойлер

[свернуть]

Записан

draff

Гуру
5801
434 / 7
ищу работу

Re: Вирус на сайте ! js:Redirector-PB [Trj]

« Ответ #46 : 05.04.2012, 16:57:07 »

Вроде чисто в коде файла.Но вопрос о необходимости плагина?

Записан

Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart Интеграция Retailcrm | Отзывы

Galyanoff

Захожу иногда
252
7 / 0

Re: Вирус на сайте ! js:Redirector-PB [Trj]

« Ответ #47 : 05.04.2012, 17:09:49 »

Цитата: draff от 05.04.2012, 16:57:07

Вроде чисто в коде файла.Но вопрос о необходимости плагина?

я уж и не помню зачем он мне был нужен, вполне возможно, что установил просто все с одного пакета. Но ведь проблема то не в нем? Удалить то можно, а толку?

Записан

Galyanoff

Захожу иногда
252
7 / 0

Re: Вирус на сайте ! js:Redirector-PB [Trj]

« Ответ #48 : 05.04.2012, 21:59:13 »

Так что, не помог сканнер значит...

« Последнее редактирование: 05.04.2012, 23:05:31 от Galyanoff »

Записан

AleksandrXXXXX

Осваиваюсь на форуме
24
0 / 0

Re: Вирус на сайте ! js:Redirector-PB [Trj]

« Ответ #49 : 07.04.2012, 16:29:57 »

подскажите пожалуйста а вообще сама функция вредоносная или нет?
Array.prototype.slice.call(arguments).join(","))},
просто вроде с вирусом все файлы заменил а пару файлов остались с вот такой вот функцией
Array.prototype.slice.call(arguments).join(","))},
у остальных код был длинный и стояли в конце файлов а эти в середине и после них нет таких символов как в вирусе...
файлы
1: ./administrator/components/com_csvimproved/assets/js/jquery.js
2: ./modules/mod_artimagecycle/js/jquery.js
3: ./modules/mod_goboslide/js/jquery.js

и ещё...
заменил все пароли, заменил все *.js файлы, поискал eval(base64_decode ни чего не нашёл...
что ещё можно и нужно сделать чтобы опять не заразиться...
а то паразитическая зараза после того как я переписал все *.js взял и базу удалил...

Записан

draff

Гуру
5801
434 / 7
ищу работу

Re: Вирус на сайте ! js:Redirector-PB [Trj]

« Ответ #50 : 07.04.2012, 21:57:42 »

Цитата: Galyanoff от 05.04.2012, 17:09:49

я уж и не помню зачем он мне был нужен, вполне возможно, что установил просто все с одного пакета. Но ведь проблема то не в нем? Удалить то можно, а толку?

http://joomlaforum.ru/index.php/topic,195980.msg1102121.html#msg1102121

Записан

Удалю вирус с сайта. Обновление Joomla!, JoomShopping, Virtuemart Интеграция Retailcrm | Отзывы

Скрипт для поиска вирусов и вредоносных скриптов на сайте "AI-Bolit" Автор revisium	Ответов: 110 Просмотров: 72427	30.08.2023, 12:53:33 от SeBun
Вирус редирект или взлом с редиректом Joomla 3.10 Автор Wany205	Ответов: 1 Просмотров: 4257	25.05.2023, 08:49:57 от Театрал
Re: Кажется вирус на сайте Автор motokraft	Ответов: 24 Просмотров: 5537	04.05.2022, 14:04:17 от ProtectYourSite
Хостинг пишет, что найден вирус в /media/com_media/js/media-manager-es5.js Автор AlexP750	Ответов: 6 Просмотров: 3872	22.02.2022, 11:38:15 от AlexP750
Спам, вирус или дело в браузере Google Автор alekcae	Ответов: 13 Просмотров: 2477	16.05.2021, 18:52:24 от alekcae

🏆 Открыто голосование за Joomla в премии CMS Critic People’s Choice Awards 2025

👩‍💻 Релиз JoomGallery 4.3.0 - компонент галереи изображений для Joomla.

👩‍💻 Вместе мы развиваем Joomla: станьте Joomfluencer!

Похожие темы