Новости Joomla

Совет по Joomla: использовать выключенное состояние для кнопок в списках элементов админки

Онлайн-трансляции Joomla-разработки Игоря Бердичевского

20 лет Joomla: Ринат Кажетов

20 лет Joomla: Ринат Кажетов.В 2025 году Joomla исполнилось 20 лет

В 2025 году Joomla исполнилось 20 лет. Вокруг неё сложилось большое интернациональное русскоязычное сообщество. На сайте нашего сообщества и на Хабре к юбилею были собраны интервью с его видными представителями. Сегодня мы читаем интервью с Ринатом Кажетовым (@rkazhet). Ринат - один из администраторов чата русскоязычного Joomla-сообщества, из Казахстана. Это человек, который всегда знает или найдёт нужную ссылку, пристально следит за новостями в мире Joomla, многое узнаёт первым и просто очень отзывчивый человек. Интервью с Ринатом взял Евгений Сивоконь.

Читать интервью

1 2  Все   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 50 Ответов
  • 20390 Просмотров
*

kapotdj

  • Осваиваюсь на форуме
  • 20
  • 0 / 0
Re: Вирус на сайте ! js:Redirector-PB [Trj]
« Ответ #30 : 26.03.2012, 15:09:48 »
Главное пасс ftp поменять, разок не поменял как сказано выше вирус опять просочился! Теперь вроде нормально все!
Записан
*

Galyanoff

  • Захожу иногда
  • 252
  • 7 / 0
Re: Вирус на сайте ! js:Redirector-PB [Trj]
« Ответ #31 : 03.04.2012, 14:59:58 »
Второй раз уже сайт заразился.
Касперский интернет секьюрити лицензия, вирусов на компе нет, ftp пароли на компе не храню. И один хрен...
Восстанавливал сайт со старого бекапа, предварительно просканировал на вирусы, ничего не нашел. Несколько дней все было нормально, а щас опять вирус. Яндекс сайт блокирует, касперский ругается, а я уже не знаю что делать. Бесит.

Первый раз чистил вручную, удалял код, менял файлы с ява скриптами, также помогло ненадолго. Что это за зараза блин, руки бы оторвать создателям, лично бы выдрал!
Записан
*

wishlight

  • Гуру
  • 5074
  • 319 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: Вирус на сайте ! js:Redirector-PB [Trj]
« Ответ #32 : 03.04.2012, 17:55:49 »
Главное понять через что ломают.
Записан
*

Galyanoff

  • Захожу иногда
  • 252
  • 7 / 0
Re: Вирус на сайте ! js:Redirector-PB [Trj]
« Ответ #33 : 03.04.2012, 18:40:20 »
Цитата: wishlight от 03.04.2012, 17:55:49
Главное понять через что ломают.
Ну я то точно не пойму, не спец я в этом...

Могу только сказать, что использую Notepad++ и Total Commander 8.0 beta. Подключения в этих софтинах к четырем сайтам. Пароли там не храню. Вирус только на одном сайте появляется, следовательно не через них идет.
« Последнее редактирование: 03.04.2012, 18:43:42 от Galyanoff »
Записан
*

wishlight

  • Гуру
  • 5074
  • 319 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: Вирус на сайте ! js:Redirector-PB [Trj]
« Ответ #34 : 03.04.2012, 19:00:09 »
access log смотрите.
Записан
*

useruserov

  • Новичок
  • 9
  • 0 / 0
  • полоса черная, полоса черная, блин когда же белая
Re: Вирус на сайте ! js:Redirector-PB [Trj]
« Ответ #35 : 03.04.2012, 22:52:15 »
Я тож дважды сайт лечил :( Но как я понял у меня зараза попадала через второй фтп аккаунт. Я создавал второй ак для одного господина и забыл про него. Удалил второй ак поменял пасс на первом и все пока работает тьфуу, тьфуу, тьфуу.... Возможно у Вас тож есть ворой ак о котором забыли?
Записан
*

Galyanoff

  • Захожу иногда
  • 252
  • 7 / 0
Re: Вирус на сайте ! js:Redirector-PB [Trj]
« Ответ #36 : 04.04.2012, 00:11:09 »
Цитата: useruserov от 03.04.2012, 22:52:15
Я тож дважды сайт лечил :( Но как я понял у меня зараза попадала через второй фтп аккаунт. Я создавал второй ак для одного господина и забыл про него. Удалил второй ак поменял пасс на первом и все пока работает тьфуу, тьфуу, тьфуу.... Возможно у Вас тож есть ворой ак о котором забыли?
второго нет, но по этому акку был доступ и у клиента, только пароль то я менял, ему не говорил, он предпочел чтоб я админил сайт. А как быть с паролем от cPanel? через нее может попасть вирус?
Записан
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: Вирус на сайте ! js:Redirector-PB [Trj]
« Ответ #37 : 04.04.2012, 09:47:16 »
Конечно Да.
cPanel -это интерфейс хостинга,и скрипт получит права управления,записи,чтения файлов.
Записан
*

nixsystem

  • Захожу иногда
  • 207
  • 10 / 0
Re: Вирус на сайте ! js:Redirector-PB [Trj]
« Ответ #38 : 04.04.2012, 12:08:21 »
Зачастую cPanel (у адекватных хостеров) работает через https, что означает что весьма проблематично что-то туда задить где-то в промежутке, перехватив, данные сессию и прочее.
Если стоит антивирус, который обновляется, и при проверке компа ничего не находит (продукты касперского сам пользую, проблем не возникало) то можно с уверенностью исключить возможность такого пути заражения.
Если вы восстанавливаете из backup то не исключено, что код, позволяющий злоумышленнику вносить изменения на сайт уже в нем содержится.
Поиск зловреда можно выполнить этой утилитой.
Лог поиска выложите тут, тогда можно будет сказать в чем проблема и как зараза на сайт пробирается.
Записан
*

Lipa

  • Осваиваюсь на форуме
  • 16
  • 0 / 0
Re: Вирус на сайте ! js:Redirector-PB [Trj]
« Ответ #39 : 05.04.2012, 10:19:02 »
Ничего не получается - сайты перезаражаются снова. Никто еще до источника заразы не докопался?
Записан
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: Вирус на сайте ! js:Redirector-PB [Trj]
« Ответ #40 : 05.04.2012, 11:52:16 »
Цитата: Lipa от 05.04.2012, 10:19:02
Ничего не получается - сайты перезаражаются снова. Никто еще до источника заразы не докопался?
А кто ж будет искать,кроме тебя.Делай как советовал nixsystem.
Заливаешь файл fls.php в корень сайта,и запускаешь my_site.ru/fls.php
результат работы скрипта будет выведен в браузер.Скопируешь,выкладывай в эту тему,или открывай свою,под спойлер
Записан
*

Lipa

  • Осваиваюсь на форуме
  • 16
  • 0 / 0
Re: Вирус на сайте ! js:Redirector-PB [Trj]
« Ответ #41 : 05.04.2012, 12:05:56 »
Походу нешел источник заразы в корне некоторых сайтов web.config.txt Видимо оттуда ноги растут
Код
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
   <system.webServer>
       <rewrite>
           <rules>
               <rule name="Joomla! Rule 1" stopProcessing="true">
                   <match url="^(.*)$" ignoreCase="false" />
                   <conditions logicalGrouping="MatchAny">
                       <add input="{QUERY_STRING}" pattern="base64_encode[^(]*\([^)]*\)" ignoreCase="false" />
                       <add input="{QUERY_STRING}" pattern="(&gt;|%3C)([^s]*s)+cript.*(&lt;|%3E)" />
                       <add input="{QUERY_STRING}" pattern="GLOBALS(=|\[|\%[0-9A-Z]{0,2})" ignoreCase="false" />
                       <add input="{QUERY_STRING}" pattern="_REQUEST(=|\[|\%[0-9A-Z]{0,2})" ignoreCase="false" />
                   </conditions>
                   <action type="CustomResponse" url="index.php" statusCode="403" statusReason="Forbidden" statusDescription="Forbidden" />
               </rule>
               <rule name="Joomla! Rule 2">
                   <match url="(.*)" ignoreCase="false" />
                   <conditions logicalGrouping="MatchAll">
                     <add input="{URL}" pattern="^/index.php" ignoreCase="true" negate="true" />
                     <add input="{URL}" pattern="/component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$" />
                     <add input="{REQUEST_FILENAME}" matchType="IsFile" ignoreCase="false" negate="true" />
                     <add input="{REQUEST_FILENAME}" matchType="IsDirectory" ignoreCase="false" negate="true" />
                   </conditions>
                   <action type="Rewrite" url="index.php" />
               </rule>
           </rules>
       </rewrite>
   </system.webServer>
</configuration>
Записан
*

Lipa

  • Осваиваюсь на форуме
  • 16
  • 0 / 0
Re: Вирус на сайте ! js:Redirector-PB [Trj]
« Ответ #42 : 05.04.2012, 12:13:53 »
Нет. Ламер я - это новой версии файл.
Записан
*

Galyanoff

  • Захожу иногда
  • 252
  • 7 / 0
Re: Вирус на сайте ! js:Redirector-PB [Trj]
« Ответ #43 : 05.04.2012, 13:41:21 »
Выкладываю лог сканера с зараженного сайта
Код
Sheel and Basic Backdoor Script Finder www.1000in1.net

File: /home/cp033251/public_html/administrator/components/com_ninjaxplorer/include/fun_ftpauthentication.php
String:: $_POST[

File: /home/cp033251/public_html/administrator/components/com_ninjaxplorer/include/js_admin.php
String:: confirm(

File: /home/cp033251/public_html/administrator/components/com_ninjaxplorer/include/javascript.php
String:: confirm(

File: /home/cp033251/public_html/administrator/components/com_ninjaxplorer/include/fun_list.php
String:: confirm(

File: /home/cp033251/public_html/administrator/components/com_akeeba/views/buadmin/view.html.php
String:: confirm(

File: /home/cp033251/public_html/administrator/components/com_swmenupro/ImageManager/Classes/ImageManager.php
String:: $_POST[

File: /home/cp033251/public_html/administrator/components/com_swmenupro/admin.swmenupro.html.php
String:: confirm(

File: /home/cp033251/public_html/administrator/components/com_aicontactsafe/views/attachments/view.html.php
String:: confirm(

File: /home/cp033251/public_html/administrator/components/com_xmap/ajaxResponse.php
String:: $_POST[

File: /home/cp033251/public_html/administrator/components/com_jcomments/admin.jcomments.html.php
String:: confirm(

File: /home/cp033251/public_html/administrator/components/com_jcomments/admin.jcomments.php
String:: $_POST[

File: /home/cp033251/public_html/administrator/components/com_content/admin.content.html.php
String:: confirm(

File: /home/cp033251/public_html/administrator/components/com_joomlapack/views/buadmin/view.html.php
String:: confirm(

File: /home/cp033251/public_html/administrator/components/com_joomlapack/helpers/sajax.php
String:: $_POST[

File: /home/cp033251/public_html/administrator/components/com_trash/admin.trash.html.php
String:: confirm(

File: /home/cp033251/public_html/modules/mod_reformal/joomla/elements/verific.php
String:: eval(base64_decode

File: /home/cp033251/public_html/modules/mod_reformal/joomla/elements/newfile.php
String:: eval(base64_decode

File: /home/cp033251/public_html/kickstart.php
String:: $_POST[

File: /home/cp033251/public_html/plugins/content/captcha_systems/secureimage/securimage.php
String:: $_POST[

File: /home/cp033251/public_html/plugins/content/captcha_systems/securImage2/securimage.php
String:: $_POST[

File: /home/cp033251/public_html/plugins/editors/jce/tiny_mce/plugins/imgmanager_ext/classes/phpthumb/phpthumb.functions.php
String:: phpinfo()

File: /home/cp033251/public_html/plugins/editors/jce/tiny_mce/plugins/imgmanager_ext/classes/phpthumb/phpthumb.class.php
String:: $_POST[

File: /home/cp033251/public_html/plugins/editors/jce/tiny_mce/plugins/spellchecker/rpc.php
String:: $_POST[

File: /home/cp033251/public_html/plugins/editors/jce/tiny_mce/plugins/rj_insertcode/geshi/geshi/thinbasic.php
String:: NCC

File: /home/cp033251/public_html/plugins/editors/jce/tiny_mce/plugins/rj_insertcode/geshi/geshi/csharp.php
String:: WebControls

File: /home/cp033251/public_html/plugins/editors/jce/tiny_mce/plugins/rj_insertcode/php/rj_common.php
String:: $_POST[

File: /home/cp033251/public_html/components/com_aicontactsafe/models/message.php
String:: phpinfo()

File: /home/cp033251/public_html/components/com_mailto/controller.php
String:: $_POST[

File: /home/cp033251/public_html/components/com_jcomments/tpl/default/tpl_comment.php
String:: confirm(

File: /home/cp033251/public_html/libraries/joomla/html/toolbar/button/confirm.php
String:: confirm(

File: /home/cp033251/public_html/libraries/joomla/environment/request.php
String:: $_POST[

Done
Записан
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: Вирус на сайте ! js:Redirector-PB [Trj]
« Ответ #44 : 05.04.2012, 13:47:01 »
Выбрал особо опасные,и особеннее thinbasic.php,выделил курсивом.Выложи его под спойлер
Спойлер
[свернуть]
Записан
*

Galyanoff

  • Захожу иногда
  • 252
  • 7 / 0
Re: Вирус на сайте ! js:Redirector-PB [Trj]
« Ответ #45 : 05.04.2012, 15:45:36 »
thinbasic.php
Спойлер
[свернуть]
Записан
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: Вирус на сайте ! js:Redirector-PB [Trj]
« Ответ #46 : 05.04.2012, 16:57:07 »
Вроде чисто в коде файла.Но вопрос о необходимости плагина?
Записан
*

Galyanoff

  • Захожу иногда
  • 252
  • 7 / 0
Re: Вирус на сайте ! js:Redirector-PB [Trj]
« Ответ #47 : 05.04.2012, 17:09:49 »
Цитата: draff от 05.04.2012, 16:57:07
Вроде чисто в коде файла.Но вопрос о необходимости плагина?
я уж и не помню зачем он мне был нужен, вполне возможно, что установил просто все с одного пакета. Но ведь проблема то не в нем? Удалить то можно, а толку?
Записан
*

Galyanoff

  • Захожу иногда
  • 252
  • 7 / 0
Re: Вирус на сайте ! js:Redirector-PB [Trj]
« Ответ #48 : 05.04.2012, 21:59:13 »
Так что, не помог сканнер значит...
« Последнее редактирование: 05.04.2012, 23:05:31 от Galyanoff »
Записан
*

AleksandrXXXXX

  • Осваиваюсь на форуме
  • 24
  • 0 / 0
Re: Вирус на сайте ! js:Redirector-PB [Trj]
« Ответ #49 : 07.04.2012, 16:29:57 »
подскажите пожалуйста а вообще сама функция вредоносная или нет?
Array.prototype.slice.call(arguments).join(","))},
просто вроде с вирусом все файлы заменил а пару файлов остались с вот такой вот функцией
Array.prototype.slice.call(arguments).join(","))},
у остальных код был длинный и стояли в конце файлов а эти в середине и после них нет таких символов как в вирусе...
файлы
1: ./administrator/components/com_csvimproved/assets/js/jquery.js
2: ./modules/mod_artimagecycle/js/jquery.js
3: ./modules/mod_goboslide/js/jquery.js

и ещё...
заменил все пароли, заменил все *.js файлы, поискал eval(base64_decode ни чего не нашёл...
что ещё можно и нужно сделать чтобы опять не заразиться...
а то паразитическая зараза после того как я переписал все *.js взял и базу удалил...

Записан
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: Вирус на сайте ! js:Redirector-PB [Trj]
« Ответ #50 : 07.04.2012, 21:57:42 »
Цитата: Galyanoff от 05.04.2012, 17:09:49
я уж и не помню зачем он мне был нужен, вполне возможно, что установил просто все с одного пакета. Но ведь проблема то не в нем? Удалить то можно, а толку?
http://joomlaforum.ru/index.php/topic,195980.msg1102121.html#msg1102121
Записан
1 2  Все   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Скрипт для поиска вирусов и вредоносных скриптов на сайте "AI-Bolit"

Автор revisium

 Ответов: 110
Просмотров: 71261 		Последний ответ 30.08.2023, 12:53:33
от SeBun
Вирус редирект или взлом с редиректом Joomla 3.10

Автор Wany205

 Ответов: 1
Просмотров: 3467 		Последний ответ 25.05.2023, 08:49:57
от Театрал
Re: Кажется вирус на сайте

Автор motokraft

 Ответов: 24
Просмотров: 5102 		Последний ответ 04.05.2022, 14:04:17
от ProtectYourSite
Хостинг пишет, что найден вирус в /media/com_media/js/media-manager-es5.js

Автор AlexP750

 Ответов: 6
Просмотров: 3500 		Последний ответ 22.02.2022, 11:38:15
от AlexP750
Спам, вирус или дело в браузере Google

Автор alekcae

 Ответов: 13
Просмотров: 2105 		Последний ответ 16.05.2021, 18:52:24
от alekcae