Вредоносное ПО - Безопасность сайтов на Joomla

Здравствуйте, нужна срочно помощь. Сегодня пришло письмо от администрации хостинга, на котором держится мой сайт.

На вашем аккаунте *** обнаружена системная работа вредоносного ПО.

        |-perl(21655,***)

*** 21655  0.0  0.0  24308  3920 ?        S    00:22   0:00 perl sys.pl

Используя данное вредоносное ПО, злоумышленники производят атаку сторонних серверов, рассылку спама и другие вредоносные действия.

Данные процессы принудительно завершены.

Вам необходимо в кратчайшее время провести аудит безопасной работы ваших сайтов и устранить
все возможные уязвимости.
В качестве первой меры по предотвращению повторения подобных случаев, пожалуйста, обновите все
используемые системы управления сайтами (CMS), включая темы, модули и плагины к ним.
Если вы не можете определить источник вредоносного заражения самостоятельно, вам необходимо обратиться к соответствующим
специалистам в поддержке вашей CMS.

Файлы ваших сайтов перенесены в папку "Infected".
Возобновление работы сайтов возможно только после того, как все уязвимости будут устранены.
О принятых мерах, пожалуйста, сообщите на secure@timeweb.ru




Не знаю что и как делать
В административную панель Joomla не могу попасть 403 Forbidden nginx/1.0.6

1. по ftp проверьте куда перенесли сайт
2. если знаний не хватает у вас, то закажите у кого-нить аудит сайта

Первым делом скачать сайт и бекап базы.
Потом искать вредоносное ПО.
Использовать логи, тех.поддержку хостинга.

Первым делом скачать сайт и бекап базы.
Потом искать вредоносное ПО.
Использовать логи, тех.поддержку хостинга.

тогда нулевым делом надо проверится на вирусы (cureit и подобные...), поменять пароль к ftp хоста, админки хостинга,а уже потом бэкапы, вычистка файлов и т.д. Так же не лишним было бы поговорить с хостером о том, каким образом был сломан сайт, обычно они идут на встречу

Скачал файлы сайта
Антивирус NOD32 тут же среагировал
подскажите, что дальше делать с этим

Скачал файлы сайта
Антивирус NOD32 тут же среагировал
подскажите, что дальше делать с этим

лечите вирусы на своем компе. желательно проверить все несколькими антивирусами, для полной уверенности. (не надо качать с варезников всякие nod32 и подобные), существует довольно много бесплатных вариаций - cureit от доктор web, касперски virus removal... тут спешка не нужна, главное результат.

Спасибо)
сейчас все сделаю
А дальше просто это все обратно загрузить?

Cureit выдал, что эти вирусы неизлечимые

Какие вирусы и в каких файлах?

C:\Users\Глебкин\Desktop\е е\public_html\system.php - PHP/WebShell.NAH троянская программа
C:\Users\Глебкин\Desktop\е е\public_html\images\M_images\system.php - PHP/WebShell.NAH троянская программа
C:\Users\Глебкин\Desktop\е е\public_html\modules\mod_helper\mod_helper.php - PHP/WebShell.NAH троянская программа
C:\Users\Глебкин\Desktop\е е\public_html\modules\mod_system\mod_system.php - PHP/WebShell.NAH троянская программа
C:\Users\Глебкин\Desktop\е е\public_html\templates\jv_dilo\https.pl - вероятно модифицированный Perl/IRCBot.B троянская программа
C:\Users\Глебкин\Desktop\е е\public_html\templates\jv_dilo\index.php - PHP/WebShell.NAH троянская программа
C:\Users\Глебкин\Desktop\е е\public_html\templates\jv_dilo\sys.pl - вероятно модифицированный Perl/IRCBot.B троянская программа
C:\Users\Глебкин\Desktop\е е\public_html\templates\jv_dilo\images\system32.pl - вероятно модифицированный Perl/IRCBot.B троянская программа
C:\Users\Глебкин\Desktop\е е\public_html\templates\jv_dilo\js\system32.pl - вероятно модифицированный Perl/IRCBot.B троянская программа

Если файлы не лечатся просто удали их (только запомни что именно удаляешь).
Далее скачай дистрибутив Joomla той же версии что и у тебя (плюс плагины/модули, что были использованы на сайте) и скопируй из них файлы, какие были у тебя заражены/удалены.

Да, и могут быть просто лишние файла вирусов/троянов их просто удаляй.

Давайте начнем сначала - у вас варезные шаблоны, компоненты, модули, плагины были на сайте?

Спасибо
Эти файлы вообще были лишние, сторонние в смысле
Я их просто удалил
Проблема только в одном один файл templates\jv_dilo\index.php
Он то как раз не сторонний, что с ним делать? Шаблон этот не нашел я

Давайте начнем сначала - у вас варезные шаблоны, компоненты, модули, плагины были на сайте?

Нет, вроде бы, не варезные

Нет, вроде бы, не варезные

То есть этот шаблон Вы купили?

Еще стоит сравнить размер файлов в корне сайта с размером этих же файлов из предыдущего бекапа или из архива с Joomla. Бывает, что в них внедряется вредоносный код.
Файл .htaccess тщательно проверить.
Сменить все пароли относящиеся к сайту, хостингу обязательно.
Сделать поиск по ".pl" и удалить все файлы с таким расширением, кроме тех файлы, которые сам делал.

В файле templates\jv_dilo\index.php скорее всего кусок левого кода, который надо удалить. Сравни этот файл с этим же файлом из предыдущего бекапа сайта.

Шаблон дефолтный был уже в Joomla 1.5
Качал Joomla кстати говоря с этого сайта, не знаю, отнести это к варезному или нет, познания у меня в этой области пока скудные.
Но сайт проработал почти год без проблем

Еще стоит сравнить размер файлов в корне сайта с размером этих же файлов из предыдущего бекапа или из архива с Joomla. Бывает, что в них внедряется вредоносный код.
Файл .htaccess тщательно проверить.
Сменить все пароли относящиеся к сайту, хостингу обязательно.
Сделать поиск по ".pl" и удалить все файлы с таким расширением, кроме тех файлы, которые сам делал.

В файле templates\jv_dilo\index.php скорее всего кусок левого кода, который надо удалить. Сравни этот файл с этим же файлом из предыдущего бекапа сайта.

.pl удалил уже
А проблема ещё в том, что backup'а у меня нет и где его взять я понятия не имею
Я его не делал никогда

файл .htaccess вообще отсутствует

Я его не делал никогда

попросите чистый бэкап у хостера (обычно у них он есть).

jv_dilo - это не дефолтный шаблон (но это лирика, хотя если хотите сделать чтото серьезное не стоит экономить, чтобы в итоге не получить таких проблем).
Если есть старые бэкапы еще рабочего сайта, то как дали совет чуть выше, просто возьмите их от туда.

И делайте регулярные бэкапы.

файл .htaccess вообще отсутствует

значит присутствует htaccess.txt

значит присутствует htaccess.txt

Нет, отсутствует вообще
даже в поиске проверил
Ничего вообще

Нет, отсутствует вообще
даже в поиске проверил
Ничего вообще

Значит стоит хотя бы дефолтный скопировать.

попросите чистый бэкап у хостера (обычно у них он есть).

Есть бэкапы только за последние 3 дня, но они уже испорченные
"Чистого" нет, уже спросил у хостера

Есть бэкапы только за последние 3 дня, но они уже испорченные
"Чистого" нет, уже спросил у хостера

Тогда вариант 1 - чистить )))

Тогда вариант 1 - чистить )))

Почистил
Только одно, что делать с файлом templates\jv_dilo\index.php

Почистил
Только одно, что делать с файлом templates\jv_dilo\index.php

тоже видимо почистить. а что с ним не так?

PHP/WebShell.NAH троянская программа

PHP/WebShell.NAH троянская программа

посмотрите код, уберите его из этого файла.
Если мыслить шире - я бы поменял шаблон на неварезный.

посмотрите код, уберите его из этого файла.
Если мыслить шире - я бы поменял шаблон на неварезный.

Ну хорошо
я удалил этот шаблон
Что мне дальше делать?
Я все почистил
Загрузить обратно этот сайт через файловый менеджер на хостинг? И что потом делать