Вирус на сайте, редирект, что делать как лечить! - страница 21 - Безопасность сайтов на Joomla

ок, спс

Для информации. 3 октября  какое-то скотво загадило Joomla шеллом.
Путь ...  httpdocs/plugins/editors/tinymce/jscripts/tiny_mce/plugins/example
base_db.php
Антивирем макхоста эта дрянь определяется как "Sanesecurity.Malware.21995.Backdoor.UNOFFICIAL"

Web Shell by oRb

Написано же.

Внезапно обнаружил, что мои сайты взломали. Слава Богу отделался ссылкоразмещением, а не удалением файлов или еще чего похуже. У себя на каждом взломанном сайте обнаружил простой загрузчик файлов uploader.php и еще вот этот файл base.php (приложено) в папке с правами 331. Кому интересно разобраться, что он делает?
Я пытался, но дойдя до регулярного выражения, почему-то не могу продвинуться дальше.
Данный файл также обнаружен в других дирректориях (1-2 копии) и с одной из копий в директории лежит поддирректория temp_override с различными php файлами, картинками и файлами со ссылками и текстом (явно рекламными). Судя по всему маленькая копия сайта на php и HTML.
Кому интересно, могу дать папку для анализа.

Вот пример работы на чужом сайте:
http://нмолодёжь.рф/
http://нмолодёжь.рф/header.php?do=skachat-emulyator-dosbox-1

А вообще эта хрень установлена уже на многих сайтах:
https://www.google.ru/search?q=joomla+2.5.27&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:ru:official&client=firefox-a&channel=sb&gfe_rd=cr&ei=YRVGVJz5F4qANN6VgpgH#newwindow=1&safe=off&rls=org.mozilla:ru:official&channel=sb&q=inurl:temp_override

У себя вычищаю потихоньку (несколько сайтов).

что он делает?

Бэкдор это (WSO Shell 2.5).

Доброго всем времени суток!
 !Умные дядьки помогите с решением одного вопроса, а именно на сайте периодически появляется скрипт выводящий порно рекламу в виде баннеров, выводит постояно на одних и тех же страницах, антивирус результатов не дает никаких. Решаю проблему временно так - когда появляется реклама то просто тупо открываю страницу в редакторе и чищу контент от стороннего кода тогда на время пропадает.
Что еще заметил после чистки контента скрипт не отображается в коде страницы но виден через FireBug, тоесть FireBug его показыает в коде страницы но по факту (если смотреть код страницы на прямую) его нет... Не могу понять где и что его выводит... Грешил и на редактор и на сам FireBug. Суждения сводились к тому зараза где то в редакторе, и стоит открыть редактор для редактирования контента как он добавляет в него свой пакостный скрипт,. вообщем без определенного опыта (которого у меня увы практически нет) тут не разберешься. Буду очень признателен за помощь! вот сам скрипта в фаербаге в коде страницы его сейчас нет. где и как найти пакость которая его выводит?
может сталкивался кто то уже с подобным?

Пробуй без редактора. Кстати а редактор стандартный ?

Пробуй без редактора. Кстати а редактор стандартный ?

нет редактор JCE 2.4.3. в смысле вобще без редакора?

Друзья помогите, есть 2 сайта на Joomla 2.5 (по моему) на одном хостинге.  Сначала ругался Яндекс и хостинг на вирусы, блокировал исходящую почту (интернет магазины), потом вообще пропал доступ даже к админке. На хостинге файлы есть я смотрел. В общем я не профессинал, как вы поняли, нужна помощь, пишите, договоримся. 

Всем привет !Такой случай у меня на сайте левая информация, и я не могу ее найти помогите пожалуйста ни охото начинать все заново.

<div style="height: 4px; overflow: hidden;position:absolute;"><span style="line-height:20px;"><a href="http://kredit-nalichnymi.info/" target="_blank">заявка на кредит онлайн</a>.<br> <a href="http://online-zayavka-na-kredit.com/" target="_blank">онлайн заявка на кредит наличными</a>.</span></div><div style="height: 4px; overflow: hidden;position:absolute;"><span style="line-height:20px;">Новые <a href="http://joomlan.ru/" target="_blank" >шаблоны для Joomla 3</a> на joomlan.ru.<br> <a href="http://my-wordpress.org" target="_blank">шаблоны Wordpress</a> </span></div><div class="blog"><article class="dd-post"><div class="dd-postcontent clearfix"><div class="category-desc"></div>

index.php шаблона смотрите

Всем привет !Такой случай у меня на сайте левая информация, и я не могу ее найти помогите пожалуйста ни охото начинать все заново.

не используйте варез, и будет счастье

не используйте варез, и будет счастье

А как без шаблонов быть?

index.php шаблона смотрите

Смотрел и в базе смотрел, как он на сайте появляется не пойму, я весь сайт скачал прошарил нет там ни чего.Видать правда такой шаблон палевый, что придется все переделывать.

Может кто глянет и поможет, единственная заморочка, сайт kinozalon.ru с 601 строчки, пожалуйста.

Может кто глянет и поможет, единственная заморочка, сайт kinozalon.ru с 601 строчки, пожалуйста.

Уже поздно глядеть, вам чистить сайт надо и устранять все после установки вареза, помочь конечно можно от 2500р. голая Joomla, полная стоимость оценивается через предоставленный ftp доступ.

 flyingspook need help , готов оплатить. skype: VasiliyIam

Всем привет.
Пока не могу решить проблему с мобильным редиректом.
Прописывается постоянно в /media/system/js/caption.js
вот такой кусок:
результат работы

Может кто сталкивался.Как лечить? Через какую дыру пролазиет.

Запрет 444 на запись в файл ставил ?
А что предпринимал по устранению, нахождению уязвимости ?

Я вот почитал первый стартовый пост и думается а как там что то изменится если в принципе чтобы изменить текс файла PHP нужен доступ к серверу.
Это или пароли кривые
или прямым текстом в файле хранятся   

Я вот почитал первый стартовый пост и думается а как там что то изменится если в принципе чтобы изменить текс файла PHP нужен доступ к серверу.
Это или пароли кривые
или прямым текстом в файле хранятся   

Увы, но вы очень и очень ошибаитесь!

Я вот почитал первый стартовый пост и думается а как там что то изменится если в принципе чтобы изменить текс файла PHP нужен доступ к серверу.
Это или пароли кривые
или прямым текстом в файле хранятся   

интернет изначально создавался, существует и будет существовать полностью открытым, и это означает что нету ни чего защищенного

ну так нечего открывать все порты на сервере если нужен только 80
и права на папку и владельцы придумали зрая
и вообще кто дает 777?

Запрет 444 на запись в файл ставил ?
А что предпринимал по устранению, нахождению уязвимости ?

444 это запрет или права?
если права то зачем права другим пользователям не отнесенных к группе?

Эх что там не работает 777 лучше всего так красиво пишется. 3 по 7

И в базу надо ходить только под рутом без рута не кошерно.
а лучше сразу на сайте выставить рута чтобы все видели 

Запрет 444 на запись в файл ставил ?
А что предпринимал по устранению, нахождению уязвимости ?

444 поставил.Обновил JCE и ALLvideo. Буду дальше смотреть. Появиться отпишусь.
Спасибо.

444 поставил.Обновил JCE и ALLvideo. Буду дальше смотреть. Появиться отпишусь.
Спасибо.

Не помогло.Опять прописался и права на файл в 777 установил

Не помогло.Опять прописался и права на файл в 777 установил

у вас на сайте шел и вам его надо найти удалить и обновить все расширения и движок, если что то не возможно обновить то закрыть все возможные уязвимости

На нескольких сайтах на разных аккаунтах аналогичная уязвимость, причину понять до сих пор не могу, т.к. через 2-3 дня оно выскакивает опять в разных файлах, т.е. не могу найти исполняемый файл, может кто уже избавлялся от аналогичного и подскажет, начало вирусного файла:

1: ./administrator/components/com_tags/tables/.menu.php
<?php $vAEEE99 = Array('1'=>'u', '0'=>'5', '3'=>'v', '2'=>'7', '5'=>'t', '4'=>'L', '7'=>'y', '6'=>'Y', '9'=>'W', '8'=>'g', 'A
2: ./administrator/components/com_banners/models/error92.php
<?php $vJ11WJD = Array('1'=>'d', '0'=>'m', '3'=>'b', '2'=>'o', '5'=>'4', '4'=>'x', '7'=>'T', '6'=>'p', '9'=>'i', '8'=>'C', 'A
3: ./modules/mod_finder/.system.php
<?php $vW0HWE8 = Array('1'=>'Y', '0'=>'v', '3'=>'R', '2'=>'l', '5'=>'V', '4'=>'1', '7'=>'B', '6'=>'J', '9'=>'S', '8'=>'K', 'A
4: ./modules/mod_users_latest/tmpl/user.php
<?php $vNAK6CG = Array('1'=>'y', '0'=>'6', '3'=>'c', '2'=>'X', '5'=>'Q', '4'=>'L', '7'=>'2', '6'=>'u', '9'=>'n', '8'=>'R', 'A

а версия Joomla актуальная ?
Встречается в скрипте ?  

а версия Joomla актуальная ?
Встречается в скрипте ? 

Код

return base64_decode(

Версия скорей всего не актуальная

Ищите шелы, удаляйте и обновляйте все, начало вирусного файла бывает разнообразными и каждый случай индивидуален, сканируйте файлы сайта, сканеры поиска и придуманы для этих целей