Сканеры находят кучу вирусов на чистой Joomla - Безопасность сайтов на Joomla

Здравствуйте!

Решил на карантине заняться давно забытым старым – сайтами. Захотел совместить, так сказать, приятное (наличие свободного времени) с полезным. Реанимировал учётку на хостинге.  Там висело  несколько уже неактуальных сайтов и их бэкапы. Устанавливаю Joomla, чистый шаблон  (покупал  подписку Vtem), устанавливаю расширения из каталога – сначала по безопасности, рекомендованные здесь же в соседней теме,  потом остальные нужные. Проверяю встроенным в хостинг  Ай-болитом и на сайте antivirus-alarm. И вижу кучу вирусов. Делаю копию сайта, разворачиваю из сохранённого «чистого» архива (когда перед архивацией сканеры никакую гадость не показывали). Они тут же в развернутой копии находят много всего интересного. В то же время сканер virustotal совершенно чистый.

Так провозился неделю. Вирусы сканеры показывали не сразу, а после 2-5 установленных расширений. Сносил всё, расширения устанавливал в разном порядке, вирусы показывались после разных расширений, а не после какого-то  определенного.  Если удалить расширение, после которого появляются вирусы, в  antivirus-alarm их число уменьшается, но через несколько минут опять увеличивается.  Этот сайт antivirus-alarm конечно неоднозначный, но чтобы мониторил в таком массовом количестве (половина и больше баз красная)– вижу в первый раз. Так поэкспериментировал неделю.

Переписка с хостером особых результатов не дала. Кроме того, что у них нет специалиста по кибербезопасности, но есть изоляция сайтов,  даже если один сайт окажется заражен это не скажется на других.
Решил удалить  все свои старые сайты, архивы и базы. Т.е. оставил чистый от старых сайтов аккаунт, только с несколькими служебными, рекомендованными хостером каталогами. Установил чистую Joomla – уже автоматом средствами хостинга. Проверяю, опять какие-то трояны и прочая гадость

Проверяю Ай-Болитом – в нормальном режиме чисто, в параноидальном : Вредоносных скриптов 6, JS Вирусов 3. Результат, если надо, могу выставить. И это на чистой новой Joomla установленной на пустой аккаунт.

С другой стороны, virustotal не находит ничего. Вот и вопрос – может это действительно паранойя, забить и жить спокойно. Но никогда раньше ни Ай-болит, ни antivirus-alarm не реагировали на чистую новую CMS.  Или нужно хостера сменить, может ещё что-то предпринять?

Так параноидальный режим не зря так называется - он выдает много ложных срабатываний, например, агрится на все вхождения base64, но этот код не всегда является вредоносным. Тут нужно руками исследовать все те позиции, которые айболит находит. А с хостером переписываться на этот счет бессмысленно - они продают вам аренду, а не следят за сайтами. Что бы была ответственность за сайты, покупайте техподдержку. Но это совсем другой ценник. У меня она от 500 руб. в мес. стоит.

P/S Уже то, что сайты изолированы друг от друга, хорошо. Но лучше не верить на слово а проверить. Напишите скрипт, который должен получить содержимое директории на уровень выше корневой. Если получите - значит нет никакой защиты. Да и Virustotal немного для других задач предназначен.

SeBun, Спасибо! Если Virustotal не подходит, можете подсказать сервис для таких задач? На счет написать скритп, для меня это пока далеко, нет таких знаний. 

Не все коды однозначно вредоносны. Надо знать, что они выполняют.

Чтобы было понятно, ссылка на результат проверки ----- (уже всё поменял)

Это тестовая чистая свежеустановленная Joomla без сторонних расширений и шаблонов.
Для примера, прокатываю на этом сканере чужие сайты с этого форума. В основном чисто.   

Чтобы было понятно, ссылка на результат проверки http://antivirus-alarm.ru/proverka/?url=letsad.beget.tech

Это тестовая чистая свежеустановленная Joomla без сторонних расширений и шаблонов.
Для примера, прокатываю на этом сканере чужие сайты с этого форума. В основном чисто.   

Если установка чистая и ничего вредоносного не ставили, то все эти скрпты чисты как слеза.
Ну а чисто потому, что эти скрипты почти не используются.

jquery и иже с ним jquery-noconflict jquery-migrate - не счадно выпиливаются.
bootstrap template и прочие, тянет дефолтный шаблон.

А вот что там у вас забыл keepalive который нужен чтобы, поддерживать сесию когда посетитель находится на странице с формой вопрос.

А вот что там у вас забыл keepalive который нужен чтобы, поддерживать сесию когда посетитель находится на странице с формой вопрос.

 Так это всё в пакете Joomla_3.9.16-Stable-Full_Package сидит. Развернул как есть.

А откуда вы качали эту Joomla?

https://downloads.joomla.org/ru/

Развернул на другом хостинге. Там автоматическое развертывание CMS - результат тот же http://antivirus-alarm.ru/proverka/?url=a0430429.xsph.ru%2F

https://downloads.joomla.org/ru/

Ну значит все норм.
Сканеры сканером рознь. Тут код читать уметь надо.

К примеру многие, да большинство в чувствительных режимах покажут вам все base64. Это не значит что там вирус. Ибо к примеру так же Joomla кодирует ссылки в base64 для возврата после авторизации.

Развернул прошлую 3.9.15 версию Joomla. Всё чисто и красиво http://antivirus-alarm.ru/proverka/?url=letsad.bget.ru