Вирус на Joomla - скрипт: eval(unescape..

Статус
В этой теме нельзя размещать новые ответы.
allmomente написал(а):
Сторонний код пропал - не знаю, надолго ли...
Нажмите для раскрытия...
подожди немного, а так во первых нигде не должно быть прав на запись у папок\файлов, пароли символов на 20, поищи по файлам следующее eval(gzinflate, eval(base64_decode, закрой вход в админку htpasswd, ставь последнюю версию жомлы.
 
flam написал(а):
Какой хостинг и какие расширения у вас были установлены?
Не исключено, что вирь попал именно через кривой хостинг.
Нажмите для раскрытия...
Хостинг - Агава. Тариф - профи. Это далеко не кривой хостинг.
Так что и не в хостинге дело

Добавлено через 1 минуту
ssoleg написал(а):
подожди немного, а так во первых нигде не должно быть прав на запись у папок\файлов, пароли символов на 20, поищи по файлам следующее eval(gzinflate, eval(base64_decode, закрой вход в админку htpasswd, ставь последнюю версию жомлы.
Нажмите для раскрытия...

Больше вирус не появляется. А Джумлу - постоянно обновляю.
 
У меня было такое. Но там лечилось выкидыванием строчки из index.php. Пароль увели у моего напарника с помощью троя. Теперь у меня стоит Каспер на компе и плюс к нему еще использую Malware bytes. (Для просмотра ссылки Войди или ЗарегистрируйсяОно бесплатное и прекрасно уживается с любым антивирусом вместе. Но несмотря на все это очень удачно ищет самые последние вирусы. Не знаю как они умудряются, но Каспер еще не успевает добавить с свои базы, а эти уже их успешно бьют. Поэтому только связка Каспер + Malwarebytes позволяет мне выжить.
 
1. Поменяйте пароль на доступ к фтп
2. С большой вероятностью, вы найдете эту гадость в файлах с расширениями .html .php .htm и тп, во всех директориях до 3 уровня
около стандартных html тегов body html </body> </html>, могут быть и другие привязки...

Трояном, tcp дампом или другим способом, тырится пароль на фтп, далее bot сканит через фтп файлы на наличие этих тегов и дописывает к ним свой код. Примерно так это работает...
Уже разок вычищал подобное гамно...
 
  • Заблокирован
  • #15
allmomente написал(а):
Внутреннее содержание и ссылки скриптом меняются.
Я уже больше суток драймвивой по файлам, и гуглом по интернету эту гадину пытаюсь найти.:( Искал всяко-разно, насколько фантазии хватило.
Значительно усложнило жизнь то, что на данном хосте у меня более 20 сайтов... и почти все на Джумле... Зараженный сайт - в корне. Пришлось скачивать все :eek: А по пяти с лишним гигобайтов Драймвива очень медленно ищет. Так и не нашел :nezn:
Перекрестившись - залил поверх чистый дистрибутив 1.5.14. Сторонний код пропал - не знаю, надолго ли...
Нажмите для раскрытия...

Попробуй тотал командером поиск по тексту "id=dgvxp" задать
 
progreccor написал(а):
использую Malware bytes. (Для просмотра ссылки Войди или ЗарегистрируйсяОно бесплатное... очень удачно ищет самые последние вирусы. Не знаю как они умудряются, но Каспер еще не успевает добавить с свои базы, а эти уже их успешно бьют.
Нажмите для раскрытия...
Только что установил эту штуковину и начал проверять. Первая же быстрая проверка выявила у меня 20 штук вредителей. Ужаснах! Спасибо за рекомендацию.
 
У меня похожая фигня. Я закачал всю джумлю с сервера, теперь проверяю все файлы по содержанию, исправляю вручную. Когда все исправлю - залью по новой.
Если кто подскажет, как это сделать автоматом - буду благодарен!
 
Paulus написал(а):
У меня похожая фигня. Я закачал всю джумлю с сервера, теперь проверяю все файлы по содержанию, исправляю вручную. Когда все исправлю - залью по новой.
Если кто подскажет, как это сделать автоматом - буду благодарен!
Нажмите для раскрытия...

Просто перезалить Жумлу заменив все файлы.
 
allmomente написал(а):
Обновил джумлу до 1.5.14 - ничего не изменилось.
Нажмите для раскрытия...
Ну это не самая последняя версия джумлы, а до 1.5.15 никак нельзя было обновить?
allmomente написал(а):
Хостинг - Агава. Тариф - профи. Это далеко не кривой хостинг.
Нажмите для раскрытия...
Чем больше компании - тем меньше до пользователей дел. Для меня название Агава ничего не говорит, вот если бы сказал сайт на дедике крутится это уже было бы лучше. Было правильней отловить трафик от этих и других (на будущее)
скриптов, но это гимор, и хостер вряд ли будет этим заниматься. Возможно ссылки могли прописаться с другого зараженного сайта, размещенного на этом же сервере, тогда смена паролей и прав на файлы могут не помочь - это уже будет на совести хостера. Бывали случаи когда сайт заражал весь сервер, хостер его удалял, а другим почему-то забывал сказать, типа сами разберайтесь.
Strogiy написал(а):
Попробуй тотал командером поиск по тексту "id=dgvxp" задать
Нажмите для раскрытия...
На месте вируса я бы одноименные слова не писал dgvxp, банально просто будет отловить. Смотри человеко не значимые слова, типа конечно dgvxp.
ssoleg написал(а):
поищи по файлам следующее eval(gzinflate, eval(base64_decode
Нажмите для раскрытия...
Таким способом можно и нужные скрипты убить. Толку таким способом искать, если не знаешь, что искать.
Мини инструкшен:
Сравни все фалы до заливки на хост и "вирусованные" программой типа Araxis Merge - так найдешь, где именно прописан скрипт (возможно еще, что-нибудь может отловиться), потом не трудно будет заменить багованные файлы.
Поставь в джумлу, например, RSFirewall, по крайней мере за сам двиг будешь спокоен.
Смени пароли, проверь права на файлы, обнови двиг до самой последней версии - само собой разумеется, просто напоминание.
 
rostunov написал(а):
Просто перезалить Жумлу заменив все файлы.
Нажмите для раскрытия...

Неужели придется все переустанавливать? И компоненты, и модули?
Нет ли программы для автоматического вырезаныя ненужного кода (он везде одинаковый)?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху