Просто удали из index.php эту строчку и все норм! Было такое... Как бороться не знаю... Я один раз удалил, больше не мучали тьфу..тьфу...

Сообщение отредактировал Mars - 26.4.2009, 14:34

Дык в том то и дело, уже 3ий раз удаляю. И снова появляется!

Такого рода вирусы по следующей схеме работают. Ты цепляешь вирус сначала на свой локальный компьютер, тот сканирует куки и ищет пароли доступа по ftp. Все что найдет, собирает в общей базе, откуда централизовано в файлы с определенными именами (включающие слово index и ряд других во всех папках) вешается фрейм.

Делать надо следующее по шагам:
1. Вычисти свой компьютер.
2. Замени пароль на ftp
3. Очисти сайт (весь!). Фрейм у тебя не только в index.php. Запусти поиск по содержанию текста в файле.

В сумме это поможет.

Спасибо! Дейтсительно, во всех файлах индекс находится этот код (( ПРидется чистить все. Подскажите пожалуйста, как так запустить поиск по содержанию текста в файле?

Сейчас все с фтп выкачаю и проверю. да?

поменяйте пароли FTP, не храните пароли на компе.

Начал подозревать, что все дела в компоненте com_joomlaxplorer. Он оставля у меян с версии 12. В 15ой его уже нету.... Прочитал по нему инфу, версия этого компонента 1.6.0 дырявая как решето, а у меня стоит 1.5.1 вообще. Так что будем надеяться что дело было в нем....

Спросил у хостера про шеллы, он сказал, что шеллы вообще на хостинге отключены для безопасности.


сделал, нашел несколько вирей.


сделал.


с этим пока проблема.... не знаю весь или нет, но часть очистил путем замены файлов на оригинальные.

Найти на ftp файлы с нужным текстом можно и без выкачивания содержания. Способов наверно много, но я использую Total Commander. Подключаешься по ftp (там кнопка прямо на панели) - у тебя содержимое открывается в одной из панелей программы. После этого запускаешь search (из директории Commands) и там в одной из опций можешь задать текст для поиска (кусок текста, который тебе инжектировали). После этого сиди и жди, пока программа будет искать

С джкмлой это никак не связано) Это проблема возникла либо у вас на машине, илбо у кого-то кто имеет доступ к фтп, после этого троян увёл все пароли. Поэтому, советую также сменить пароль и к админке

А толку, что отключены? =) Наверняка у них просто включен php safe_mode и отключены функции system(), passthru(), exec() и тому подобные. В любом случае, от взлома это не спасет.
Скорее всего на вашем сайте присутствует так называемый web-shell, с помощью которого злоумышленник вставляет iframe-код в индексы, либо backdoor, спрятанный в скриптах самой jooml'ы.
Если это так, вполне вероятно, что взлом мог быть произведен через "соседей" - то есть сайты, находящиеся на одном сервере с вашим сайтом. Как вариант.

В любом случае, рекомендую детально просмотреть логи сервера на предмет доступа к фтп не с вашего ip, а так же веб-сервера, на предмет возможных попыток взлома через http.

Сообщение отредактировал vMaster - 26.4.2009, 23:27