Здравствуйте! разобраться. Начну с самого начала.
Началось все с того, что зайдя на сайт silk-hair.ru (это мой сайт) 14 декабря я обнаружила всплывающий попандер (скорей всего партнерка been-layer) и баннер рекламы (какой-то clx.ru или что-то подобное) прикрепленный к моему баннеру (как потом выяснилось код был добавлен к этому баннеру в модуле php_mod), я все почистила, посторонний скрипт был в шаблоне и как уже сказала в баннере, который выводился с помощью php-mod. Больше мне реклама посторонняя не показывалась и я подумала, что все ок. Пароли от админки поменяла, от фтп поменяла, от хостинга jino.ru поменяла. Сообщили знакомые, что все равно всплывает баннер. Полезла смотреть шаблон, опять этот скрипт, удалила. Попандер все равно висит. Я так поняла, что его показ был заблокирован для моего IP (в скрипте мой IP был прописан - как его вообще узнали?)
Потом я обнаружила посторонний файл в директории, где лежат папки Joomla, примерно с таким именем aeirnvsd.xml (пустой, вес 0 байт), удалила. Пока работала на хостинге, залили еще одну папку, в которой был файл sape.php. все удалила. Пароли опять поменяла, в браузере не храню, все записано в текстовом файле).(это все происходило в течении нескольких дней). На папку "администратор" у меня стоял пароль (пароль ставиться на хостинге), смотрю появились еще два пользователя, которых я не создавала и которым открыт доступ). В админку я заходить могу, пароли от нее не меняли.
Попросила техподдержку сделать бэкап файлов за 12 число -не помогло. Сделали бэкап файлов и Базы данных за 8 число. Стало все ок! Реклама пропала, я опять поменяла пароли, какие только можно, доступ по фтп закрыла) он и всегда был закрыт). Свой комп просканировала на вирусы нодом - нашел и отправил в карантин. Прочитала, что вроде как базы данных заразить нельзя и я восстановила БД за более позднее число, жаль было терять статьи. Может в этом ошибка??
Все было нормально....Опять загрузили файл в директорию с Joomla 1ndex.php - троян (часть из его содержания прикреплена), удалила, в течении дня закачивали опять эти файлы с трояном, но с разным именем, то index..php, то fox.php, больше двух часов на сервере не лежали и я их удаляла, наверное не успевали встраиваться и с сайтом все ок. пароли меняю, обновила Joomla с 1.5.14 до 1.5.15 версии. После обновления вылезло два файла за директорию с папками Joomla, что-то наподобе viminfo (это так и надо для новой Joomla??) написано там, используйте этот файл, но осторожно, предлагалось раскоментировать строки.........не помню, я его удалила на фиг. Еще появился какой-то файл с содержанием этого постороннего скрипта и моим IP, удалила.
Вчера вечером закачали опять этот троян, обнаружила только утром, удалила, но наверное он успел встроить в index.php шаблона скрипт с всплывающим окном от been-layer.ru. Права на эту папку 444, каждый час проверяю, скрипт опять там, удаляю. Где может сидеть этот вирус и переписывать index.php? И как вообще заливают этот файл, пароли от фтп я поменяла и больше им не пользовалась.
комп сейчас сканирую аваларом. находит червей и троянов.
Что мне делать?
ГОТОВА ЗАПЛАТИТЬ! КТО ПОМОЖЕТ СПРАВИТЬСЯ!
[вложение удалено Администратором]
21.08.2025, 13:23:29