Вирус на сайте - Безопасность сайтов на Joomla

Добрый день!

Утро началось с того, что при попытке изменить страницу сайта через админку аваст стал высыпать тонны грозных предупреждений, а содержимое страницы в редакторе показывается в виде хтмл-кода.

При просмотре самого сайта вроде бы побочных эффектов не замечено.

Проверка онлайн-антивирусами показала, что следующие файлы заражены вирусом, который аваст знает под именем JS.Redirector, а DrWeb как JS.Siggen.192
http://*/media/system/js/mootools.js
http://*/media/system/js/caption.js
http://*/modules/mod_jvslideshow/assets/js/jd.gallery.js
http://*/modules/mod_jvslideshow/assets/js/jd.gallery.transitions.js
http://*/modules/mod_rokslideshow/tmpl/rokslideshow.js
http://*/modules/mod_hxdmoomenu/assets/js/hxdmoomenu.js
http://*/modules/mod_hxdmoomenu/assets/js/mootools.bgiframe.js

Подскажите, пожалуйста, как мне от этого избавиться?

Ааа, такая же фигня. Онлайн сканнер Dr.Web нашел вирус JS.Siggen.192.

http://*.ru//plugins/content/excel_price_content/shadowbox.js infected with JS.Siggen.192
http://*.ru//plugins/system/tabber/js/script_mt11.js infected with JS.Siggen.192
http://*.ru//media/system/js/mootools.js infected with JS.Siggen.192
http://*.ru//media/system/js/modal.js infected with JS.Siggen.192
http://*.ru/plugins/system/mediaobject/js/mediaobject-150.js infected with JS.Siggen.192
http://*.ru//components/com_k2/js/k2.js infected with JS.Siggen.192
http://*.ru/modules/mod_up/js/jquery.js infected with JS.Siggen.192
http://*.ru//modules/mod_swmenupro/DropDownMenuX_Packed.js infected with JS.Siggen.192

Что делать то теперь?

Вижу один вариант. Снести все к чертям, и восстановиться с резервной копии.

1) Как сносить и ставить Joomla - не имею ни малейшего понятия
2) Резервной копии, разумеется, нет. Кстати, как её делать (и, соответственно, разворачивать) тоже не знаю

1) Как сносить и ставить Joomla - не имею ни малейшего понятия

В таком случае Вам лучше обратиться к человеку, который в этом разбирается.

2) Резервной копии, разумеется, нет. Кстати, как её делать (и, соответственно, разворачивать) тоже не знаю

Тогда о чём речь? Обратитесь к хостеру, у них должна быть резервная копия. Вопрос только в том, как давно на сайте поселился вирус, а то нормальной резервной копии может и не оказаться. Резервную копию сайта на Joomla удобно делать с помощью Akeeba Backup (см. на JED).

2) Поселился, скорее всего, вчера, когда на сайт заходили в фтп через IE...

1) Надо самому учиться.

Без копии совсем никак? Если я правильно понял, то файлы *.js - это что-то типа некомпилированных dll, если их нагуглить и положить на сайт взамен испорченных? Или просто поискать в них во всех одинаковые функции (раз вирус один и тот же, то и функция должна быть одна и та же)?

Если нет бэкапов то:
Выкачай через фтп-клиент полностью все файлы и просканируй их локальным антивирусом.
Удали все подозрительный файлы и замени их на хорошие, из установочного архива Joomla или архивов сторонних компонентов.
Удали все файлы на сервере, и залей копию уже измененного сайта обратно на сервер через фтп-клиент.
Да.. и проверьте компьютер через который до этого заходили.

и искать двери

Внимание, правильный ответ!

Если внимательно рассмотреть несколько инфицированных *.js, то будет видно, что в каждом из них снизу дописана одна строчка, которая имеет вид что-то вроде "var c980c5a="";function k12ac3ee95430(){var v6a2e64=String,pc66bb=Array.prototype.slice.call(arguments).join(""),b5d4bb8=pc66bb.substr(11,3)-615," и так далее. Если удалить эту строчку, то всё должно быть хорошо. Сейчас допишу обработку по исправлению всех таких файлов и отчитаюсь.

Сегодня утром такая же бяка была. Написал хостеру, откатили на неделю назад. Скачал архивом, проверил антивирусами, чисто. А вот до отката везде были JS скрипты трояновские. Страницы открывались все только исходным кодом. Эпидемия что ли?

Конкретно эту дрянь Касперский не обнаруживает...

Конкретно эту дрянь Касперский не обнаруживает...

Вот как раз у меня Касперски и "разорался во всю глотку" при попытке зайти на сайт что со стороны админки, что с пользовательской стороны. Еще Malwarebytes Anyti-Malware сработал. А всякие Нод и Аваст ноль эмоций

нод32 тоже орет на эту гадость

Проверить комп антивирусами (желательно разными, 3-4), сменить все пароли к FTP, админке. Я еще и к БД сменил пароль

Уважаемые, пожалуйста, отпишитесь с какой версией Joomla такая беда.

СКАЖИТЕ КАК УДАЛИТЬ ЕГО ИЛИ КАК ЗАЩИТИТЬСЯ ОТ НЕГО?

Я бы ручками, при помощи Far-менеджера,  по списку из первого поста


З.Ы. /* кстати, Вам можно обновиться до   1.5.25 (через ФТП заливаете с заменой файлов)... но потом всё равно надо их просмотреть

Главное найти файл который их постит  а если не найти то..............
Тема здесь

Кароче, ещё одно подтверждение тезису "Люди, делайте бекапы!"

Та же фигня 7 марта случилась на 1.5.25 + k2 + DatsoGallery 1.8.4 + aiContactSafe. На другом сайте на этом же хостинге на этом же аккаунте все нормально, но кроме k2 там компоненты другие.

6 марта пострадали 2 сайта 1.5.22-23. Все js заражены, ужосHAX...
Поудалял фпанике руками, восстановил из бэкапа/проапдейтил до 1.5.25... А с уязвимостью-то как быть, по статистике доктора Веба JS.Siggen.192   91.54%   . Внятной информации в сети не нашел - как затыкать дыру?!

У некоторых наших клиентов обнаружено заражение вирусом JS.Siggen.192, в связи с чем несколько советов и рекомендаций:

1. Вирус заражает *.JS файлы дописывая в конец файла свое тело и может быть вычищен руками

2. Заражение происходит по FTP, т. е. через дырявый FTP-клиент, в связи с чем требуется ативирусная проверка компа с которого Вы ходите по FTP на свой сайт, смена FTP-пароля и, желательно, смена FTP-клиента на лицензионный или официально бесплатный (например FAR Manager)

3. Проблема касается не только Joomla, также отмечены заражения Wordpress