Вломали сайт на Joomla 2.5 Появляется код в файлах .js

Tippmann

Постоялец
Регистрация
17 Фев 2010
Сообщения
47
Реакции
32
На моём сайте (Для просмотра ссылки Войди или Зарегистрируйся) вчера был обнаружен гуглом вредоносный код. Первое, куда он был добавлен, файл jquery-ui-1.8.16.custom.min.js в компоненте soccomments (pkg_soccomments_v1.3_J17-25, Для просмотра ссылки Войди или Зарегистрируйся).

Затем стал появляться в других *.js файлах. (Для просмотра ссылки Войди или Зарегистрируйся, Для просмотра ссылки Войди или Зарегистрируйся, Для просмотра ссылки Войди или Зарегистрируйся, Для просмотра ссылки Войди или Зарегистрируйся)

Меня дезориентируют следующие данные:

Во-первых, дата и время «Последнее изменение» файлов, которые подверглись модификации, осталось нетронутым. Как такое возможно? Все файлы имеют права доступа к фалу стандартные (0644), к папкам тоже (0755).

Во-вторых, по логам сервера нет ни единой записи постороннего доступа к ФТП. Даже попыток нет. Доступ к ФТП привязан к моему IP.

Я не пойму как вообще происходит заражение? Через какую дырку? Что я не закрыл, что так легко нашпиговали JSфайлы? Подскажите пожалуйста. Скажите, какие дополнительные данные вам показать, чтобы было яснее картинка.

Спасибо заранее.
 
да не факт, что вообще взломали. возможно ложное срабатывание. отправь файлы на проверку другими сервисами.
еще вариант: плаг скачивался с оффсайта? если сливать с "левых" сайтов, то они могут сразу оказаться "зараженными" (могут закладочку добавить).
 
да не факт, что вообще взломали. возможно ложное срабатывание.
Непонятно. Доктором вебером (Для просмотра ссылки Войди или Зарегистрируйся) проверил - всё нормально. Пишет даже что редиректа нет, в противовес гуглу.

НО! Вот файлы (см. вложение). Не сложно сравнить и увидеть дополнительный код. В другие JS вставлены такиеже фрагменты.

Плагины и компоненты скачивал всё с оф. сайта.

Главный вопрос как? при тех условиях что я перечислил в файлы Js УДАЁТСЯ вставить дополнительный код???
 

Вложения

  • 1.rar
    572 байт · Просмотры: 5
Вот что пишет "HTTP логе доступа":
Код:
...Line 338: 66.249.84.51 - - [28/Dec/2013:00:52:30 +0200] "GET /components/com_virtuemart/assets/js/facebox.js HTTP/1.0" 200 10401 "http://actionpoint.biz/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB7.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
    Line 339: 66.249.84.51 - - [28/Dec/2013:00:52:30 +0200] "GET /components/com_virtuemart/assets/js/vmsite.js HTTP/1.0" 200 3309 "http://actionpoint.biz/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB7.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
    Line 341: 66.249.84.51 - - [28/Dec/2013:00:52:30 +0200] "GET /modules/mod_iceslideshow/assets/script_16.js HTTP/1.0" 200 16402 "http://actionpoint.biz/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB7.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"...

Т.е. сразу, после того как я восстанавливаю резервную копию, начинается заражение.

Я пароли сменил. Через что происходит заражение не пойму. Что и как перекрыть??
 
Назад
Сверху