Проблема с хитрым вирусом - Безопасность сайтов на Joomla

Здравствуйте. Столкнулся с проблемой - хостинг без предупреждения отключил антивирус и я тут же словил какого-то паразита.
Вирус создал страницы с весьма откровенным контентом и куда-то их хитро спрятал. Не могу разыскать ни в материалах, ни даже в таблицах базы данных. Впервые сталкиваюсь с таким червём. Будьте добры, подскажите куда копать?

Адрес сайта: ****
Адрес одной из созданных страниц: *****

Да, кстати забыл сказать - мануально подключенный антивирус (Virusdie) на это безобразие совсем не ругается.

Скрипт дорвея. Что там у вас за Joomla? Какой версии?

Скрипт дорвея. Что там у вас за Joomla? Какой версии?

Спасибо за ответ! За последние дни, более-менее разобрался что к чему (хостеры предоставили логи и все сразу начало обретать смысл). Есть еще такой момент - я поюзал AI-bolit и он много чего интересного нашел. Поскольку использую вообще впервые, не совсем понимаю главный нюанс, посему вопрос, извините, очень и очень тупой - он в отчете ставит красную черту. Так вот вредоносный код находится за ней, я правильно понимаю?

Ну и если кто знает хорошую автоматическую лечилку (не уверен что такие вообще существуют) - буду признателен за совет.

Joomla 3.10, последняя. Собираюсь перебираться на 4-ку, но сперва надо пролечится.

Joomla 3.10, последняя

Патчи EOL установлены?

Какие компоненты?

На скриншоте скорее всего не оно.

ImunifyAV на максималках прогнать.

Спасибо за ответ! За последние дни, более-менее разобрался что к чему (хостеры предоставили логи и все сразу начало обретать смысл). Есть еще такой момент - я поюзал AI-bolit и он много чего интересного нашел. Поскольку использую вообще впервые, не совсем понимаю главный нюанс, посему вопрос, извините, очень и очень тупой - он в отчете ставит красную черту. Так вот вредоносный код находится за ней, я правильно понимаю?

Это просто детектит подозрительные фрагменты кода по базам, в данном случае мимо. Каждый случай надо индивидуально смотреть и проверять код, без знаний и понимания можно либо пропустить, либо лишнее удалить. Как вариант, можете скачать чистый архив Joomla и сравнивать с оригиналом, если не можете понять вирус или нет.

ImunifyAV, ровно как и Virusdie молчит.
Почти все компоненты были удалены.
Патчей EOL - нет.

Сделал полный бекап сайта и прогнал через обычный касперский. Он вирусы нашел, с Ai-bolit'ом совпадения есть. Проблема в том, что каспер ничего не лечит, а сразу удаляет. После этого сайт, благополучно перестает работать. Отослал на проверку в лабораторию Virusdie.

Патчей EOL - нет

https://github.com/TLWebdesign/Joomla-3-EOL-Security-Fixes/releases/ хотя уже поздно

не лечит

Это вручную перебирать надо

Здравствуйте, можете поставить на свой сайт компонент RSFirewall, и там есть возможность просканировать сайт, после чего будет отчет с файлами, которые заражены или имеют подозрительный код, вам их вручную придется исправить, также сам компонент имеет много полезных функций, и защит.

Также рекомендую поставить тяжелые пароли на ftp, базу данных и скрыть от всех глаз папку administrator, это базовая защита, вдруг что поменять хостинг, или попросить, чтоб хостинг произвел лечение сайта, иногда есть такие дополнительные функции, удачи, успехов

А, и кстати вы уверены, что это сделал вирус, может вы по пьяни дали данные от аккаунта администратора своему другу, который оказался хакером, вот вам и создали пару страниц. Зачастую так оно часто и происходит.

На скриншотах главная страница с неприличным заголовком, и сверху еще одна страница. В базе данных можно в поиске по базе данных поискать. Видел, что вы искали, но попробовать еще можно.

Тут есть несколько проблем. Во первых - я не пью. Во вторых, данные от аккаунта никому не давал.
Если по существу, то в материалах сайта всего этого нет, главная - пустая. Искал в базе по цитатам - ничего. Ресурсы находятся вообще непонятно где (скриншоты прилагаю, там для сравнения - расположение главной, обычного элемента и расположение этой страницы). Может где-то не там ищу по незнанию. Может как-то не так. Опробую RSFirewall, посмотрю что покажет, спасибо за совет, кстати.
Пока что каспер и aibolit хором ругаются на файл Libraries.php (Осторожно - вирус), и там действительно есть какой-то очень странно выглядящий код, но если я его вырезаю, сайт падает.

Здравствуйте, это нужно ждать специалистов, которые по коду сображают, так без знаний можно по удалять, ждите специалистов. Удачи, успехов.

ругаются на файл Libraries.php

И что там?

Здравствуйте, на 1 и 3 скриншоте проблема с самим шаблоном, поменяйте шаблон, он у вас какой-то хакнутый, этот удалите, русское порно там файл или страница в самом шаблоне, и на первом скриншоты index.php наверное шаблона заражон. Со 2 скриншотом не знаю, там нужно разобраться.

На 2 скриншоте, просто папка, в которой у вас скорее всего страница, возможно у вас дыра где-то, вот вам файлы и льют на хостинг. А в бщем вам нужно будет разобраться со всем этим.

И не устанавливайте непонятные расширения, в них сама суть взломов и опасностей, ставте только проверенеые, известных разработчиков.

Когда полечите, установите компонент Rsfirewall и папку administrator не забудьте скрыть от посторонних глаз. Удачи, успехов.

Хотел также сказать, что вам нужно в любом случае закрывать дыру, уязвимость, в расширении, библиотеки, или еще где либо, а то это может продолжаться очень долго, вот закроете, полечите, потом можно и шаблон поменять, или переустановить его заново, если вы ему доверяете, так что как-то так, удачи, успехов.

Пока что каспер и aibolit хором ругаются на файл Libraries.php (Осторожно - вирус), и там действительно есть какой-то очень странно выглядящий код, но если я его вырезаю, сайт падает.

Да, файл сплошной вирус) а падает сайт, потому что этот файл где-то вызывается. Ищите где и удаляйте этот вызов, это антивирусы детектить не будут.

Также может есть смысл, если сайт небольшой, лендинг, или сайт визитка, то может есть смысл заново пересоздать его, но в этот раз быть очень внимательным к дополнительным компонентам, модулям, плагина, в которых и могут быть уязвимости.

Да, файл сплошной вирус) а падает сайт, потому что этот файл где-то вызывается. Ищите где и удаляйте этот вызов, это антивирусы детектить не будут.

Именно так! Нашел вызов в парочке файлов, удалил и страницы с чужим контентом тут же исчезли. Потом, разумеется, и сам файл удалил.

Друзья, огромнейшее спасибо всем, кто принимал участие в обсуждении. Честно говоря, даже не надеялся, что так много людей с реально полезными советами откликнется. Всё пробовал, всё, так или иначе, помогало и учило. 
Понятно, что радоваться рано - дыра-то где-то осталась, но постараюсь учесть все ваши советы и закрыть её самостоятельно.

Ну, сейчас ваш сайт открывается нормально, http://pgtk-perm.ru/, а где удалили в расширении или где, если в самом расширении, то нужно подумать о его безопасности.

Вирус создал несколько .php файлов с указаниями на libraries.php, в папке Libraries и раскидал их в каталоги шаблона. Я убрал сперва сами запросы, убедился что всё работает, а потом начал удалять сами файлы, сверяясь с оригинальной структурой движка и чистым вариантом шаблона.
Есть вероятность, что дыра в самом шаблоне. Возможно переход на 4ку и смена шаблона решит проблему.

Ну сама папка Libraries содержит дополнительные библиотеки, типо fof, vendor, и так далее, это не расширения, но устанавливается иногда вместе с расширением, а сама уязвимость может быть где угодно, так же и в шаблоне, или каком-то компоненте, в общем удачи вам, успехов.

Sleepwalker, здравствуйте, установите компонент защиты и безопасности RSFirewall. Там каждая атака будет фиксироваться в журнале, журнал может автоматически очищаться, есть автоматический бан злоумышленников, оповещение через email адрес, сканирование сайта, оптимизация таблиц базы данных, и многое другое, советую, рекомендую.