Форум Сайтостроение Безопасность

Вирус на сайте - Белый монитор

Q
На сайте с 13.04.2011
Offline
36
qweber
1834

Доброго времени суток !

Распишу всё подробно.

Изначально сайт на локалке работал и работает отлично, всё отображалось , заходил в админку. Перекинул сайт на хостинг, отображается всё нормально, но при заходе в админку выдаёт белый экран.

Что бы не включать и не отключать плагины и модули решил поискать сразу на сайте текст " base64_decode " , данный код был найден аж в 21 файле, но меня заинтересовали лишь два :

1)

<?php

$pml='кракозябры типа diBpZD';

echo base64_decode($pml);?>

в файле \templates\rt_crystalline\html\com_content\article\default.php

2)

if (function_exists('ImageCreateFromGIF')){

if ($tempfilename = $this->GetTempName()){

if ($fp_tempfile = @fopen($tempfilename, 'wb')){

fwrite($fp_tempfile, base64_decode('R0lGODlhAQABAIAAAH//AP///ywAAAAAAQABAAACAUQAOw==')); // very simple 1px GIF file base64-encoded as string

fclose($fp_tempfile);

// if we can convert the GIF file to a GD image then GIF create support must be enabled, otherwise it's not

$gd_info['GIF Read Support'] = (bool) @ImageCreateFromGIF($tempfilename);

}

unlink($tempfilename);

}

}

\plugins\content\rokbox\imagehandler.php

В остальных 19 файлах, см. фото.

http://tver-it.ru/images/1.png

код такого плана

if (!JUri::isInternal(base64_decode($return))) {

$return = null;

}

или

if (preg_match('#\.\.#', base64_decode($recordId))) {

return JError::raiseError(500, JText::_('COM_TEMPLATES_ERROR_SOURCE_FILE_NOT_FOUND'));

}

И так , наконец то вопрос , как избавиться от белого экрана, удаление кода ни к чему не привело,

логи вот

custom.log

65.55.24.220 - - [29/Apr/2013:18:40:22 +0400] "GET / HTTP/1.1" 200 1682 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"

46.188.9.165 - - [29/Apr/2013:20:02:05 +0400] "GET / HTTP/1.0" 200 1644 "http://mysite/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"

46.188.9.165 - - [29/Apr/2013:20:02:06 +0400] "GET / HTTP/1.0" 200 1644 "http://forum.mysite/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)"

173.199.120.147 - - [29/Apr/2013:20:44:09 +0400] "GET /reestr HTTP/1.1" 404 439 "-" "Mozilla/5.0 (compatible; AhrefsBot/4.0; +http://ahrefs.com/robot/)"

errors.log

[Mon Apr 29 18:05:12 2013] [error] [client 208.115.111.69] File does not exist: /var/home/mysite/www/struktura

[Mon Apr 29 20:44:09 2013] [error] [client 173.199.120.147] File does not exist: /var/home/mysite/www/reestr

[Mon Apr 29 22:22:05 2013] [error] [client 66.249.78.177] File does not exist: /var/home/mysite/www/informatsiya-advokatam

[Mon Apr 29 23:08:19 2013] [error] [client 173.199.120.147] File does not exist: /var/home/mysite/www/struktura

Надеюсь всё подробно расписал

siv1987
На сайте с 02.04.2009
Offline
427
siv1987
#1

qweber, а чего вы взяли что это вирус? Логи белого экрана показывайте

6666
На сайте с 10.01.2005
Offline
505
6666
#2

qweber,

1. Движок DLE? Скачали на варезнике?

2. Плагины там же?

3. Айболитом проверяли?

4. Сколько сайтов на хостинге?

---------- Добавлено 30.04.2013 в 01:25 ----------

qweber:
File does not exist: /var/home/mysite/www/struktura

А он там есть, этот файл, смотрели? Что в папке?

Каждое мое сообщение проверила и одобрила Елена Летучая. (c) Для меня очень важно все что Вы говорите! (http://surrealism.ru/123.mp3) .
Взламывают сайт. Не знаю Скрипт для поиска шеллов Перенос записей и настроек
K5
На сайте с 21.07.2010
Offline
209
kgtu5
#3

удалять код не надо, шаблон и остальное работать перестанет, эти вставки с копирайтами...

вывод ошибок сделайте в configuration.php в самое начало после <?php

ini_set("display_errors","1");

ini_set("display_startup_errors","1");

ini_set('error_reporting', E_ALL);

p.s. могу помочь исправить белый экран

---------- Добавлено 30.04.2013 в 00:26 ----------

6666, joomla сразу видно (...com-content...)...

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
Откуда берутся Warnings при Белый кран белый экрана Не работает cron
6666
На сайте с 10.01.2005
Offline
505
6666
#4
kgtu5:
joomla сразу видно

Точно. Так фришный же движок. Скачать еще раз с офсайта и посмотреть код. Если он там есть... то значит... и так далее.. не?

K5
На сайте с 21.07.2010
Offline
209
kgtu5
#5

в шаблонах и доп. модулях шифруют копирайты, в движке такого нет...

Q
На сайте с 13.04.2011
Offline
36
qweber
#6

академик siv1987 скажу проще - НЕ СМЕШНО .... - он меня понял

R
На сайте с 24.01.2008
Offline
180
Алексей
#7

ТС попробуйте простой вариант перезалить админку и оригинального движка, если не поможет и нужна будет помощь стучите, проверим сайт на вирусы + дадим рекомендации!

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov
K5
На сайте с 21.07.2010
Offline
209
kgtu5
#8

ТС скорее всего siv1987 прав, это не вирус, а криво закаченный движок, да и посмотреть причину "белого экрана" написано как...

RO
На сайте с 13.07.2009
Offline
88
RedOK
#9

всё верно, это всем известный вирус curverd.hands.white.screen.js

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий