Вредоносный код выводит левые ссылки - как удалить?

Тема в разделе "Вопросы безопасности", создана пользователем Toywer, 29.07.2011.

  1. Offline

    Toywer Недавно здесь

    Регистрация:
    29.07.2011
    Сообщения:
    16
    Симпатии:
    0
    Пол:
    Мужской
    Ситуация неприятная.

    Вот код, который (подобный) выходит иногда на страницах (в статьях и в блоге статей):
    Ссылки, кстати, видно только в коде страницы.

    <ul class="menulinem">
    <li><a href="http://wpestu.ru/" tarhet="_blank">шаблоны joomla</a></li>
    <li><a href="http://migry.ru/" tarhet="_blank">мини игры</a></li>
    <li>скачать <a href="http://joomlashablony.ru/" tarhet="_blank">шаблоны joolma</a></li>
    <li>парикмахеру для стрижки<a href="http://parikmaker.ru/" tarhet="_blank">http://parikmaker.ru</a></li>
    <li><a href="http://felir.ru/" tarhet="_blank">прически и стрижки</a></li>
    <li><a href="http://jesign.ru/" tarhet="_blank">joomla шаблоны</a></li>
    </ul>
    <script language="JavaScript">
    eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('c(5.6!="d")1.2("<3 e=\'g/i\'>.k{b:9; 7-4:-8; f:0; 4:0;}</3>");h 1.2("a j");',21,21,'|document|write|style|left|self|name|margin|5000px!important|absolute|in|position|if|FrameInfo|type|top|text|else|css|frame|menulinem'.split('|'),0,{}))
    </script>

    А это то, что чаще на месте этого кода выходит:
    Код (CODE):
    1. <!--/0/--><!--/=/-->


    И вот вопрос - как от этой беды избавиться? Перерыл все файлы почти и поиском и ручками - результата никакого.
    Прошу помощи!!
     
  2.  
  3. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 813
    Симпатии:
    771
    Пол:
    Мужской
    А где адрес сайта?1.Сразу меняй пароль админки,и фтп.Если Винда на компе-скань на вирус.
     
  4. Offline

    Toywer Недавно здесь

    Регистрация:
    29.07.2011
    Сообщения:
    16
    Симпатии:
    0
    Пол:
    Мужской
    Как найти и удалить код?
     
  5. joomguru
    Offline

    joomguru Модератор => Cпециалист <=

    Регистрация:
    03.12.2010
    Сообщения:
    456
    Симпатии:
    76
    Пол:
    Мужской
    Искать нужно, значит не все файлы Joomla пересмотрел.
     
  6. Offline

    Toywer Недавно здесь

    Регистрация:
    29.07.2011
    Сообщения:
    16
    Симпатии:
    0
    Пол:
    Мужской
    Искать надо? - спасибо за дельный совет, конечно. :)

    Есть более приближенные рекомендации? Где именно искать? Как?
    То, что я пробовал и пересмотрел, конечно, только малая часть, ведь там тыщщи файлов ;-)
     
  7. ycsus
    Offline

    ycsus Недавно здесь => Cпециалист <=

    Регистрация:
    19.02.2011
    Сообщения:
    249
    Симпатии:
    33
    Пол:
    Мужской
    там помоему тока index.php и все .js файлы заражаются, а их не так уж и много
     
  8. Offline

    Toywer Недавно здесь

    Регистрация:
    29.07.2011
    Сообщения:
    16
    Симпатии:
    0
    Пол:
    Мужской
    Этого я не знаю.

    Знать бы, что именно искать еще )
     
  9. Offline

    bugmenot Недавно здесь => Cпециалист <=

    Регистрация:
    15.03.2009
    Сообщения:
    647
    Симпатии:
    39
    Пол:
    Мужской
    Toywer, Если не можешь найти, то просто поменяй заражённые файлы, на чистые из инсталляционного пакета.
     
  10. Offline

    Toywer Недавно здесь

    Регистрация:
    29.07.2011
    Сообщения:
    16
    Симпатии:
    0
    Пол:
    Мужской
    Да, я об этом думал, но как-то ссыкотно, там у меня плагинов куча и модулей разных. Они повредятся?

    + вот еще скачал файлы обновления с .21 на .23 .. закачал, а не работает, блин.

    Я вот и не знаю, какие зараженные файлы, а какие нет.. это точно зараза или может к какому компоненту или к плагину в довесок?

    Странно, но эту проблему всего один чел в Инете обнародывал (еще этой зимой), но решил ее или нет я не знаю, связаться с ним не могу.

    Блин, ребятки, помогите, а!!!!!!!!!!!!!!!!!
     
  11. Offline

    bugmenot Недавно здесь => Cпециалист <=

    Регистрация:
    15.03.2009
    Сообщения:
    647
    Симпатии:
    39
    Пол:
    Мужской
    Ты не удаляй, а залей поверх, с заменой. Так хорошие файлы заменятся на хорошие, лохие - на хорошие, а остальные останутся как есть. Значит бояться не за что. Главное кидай всё в своё место.
     
  12. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 813
    Симпатии:
    771
    Пол:
    Мужской
    Это сработает если код выводится движком Джумла.А если шаблон?
     
  13. Offline

    bugmenot Недавно здесь => Cпециалист <=

    Регистрация:
    15.03.2009
    Сообщения:
    647
    Симпатии:
    39
    Пол:
    Мужской
    draff, ты прав, и шаблон тоже.
     
  14. shahin
    Offline

    shahin р-т => Cпециалист <=

    Регистрация:
    22.04.2010
    Сообщения:
    438
    Симпатии:
    38
    Пол:
    Мужской
    смотрите в папку images/stories нет ли там шелл файл. файл может и переименован как джипег. особо опасных дырок я на вашем сайте не нашел
     
  15. Offline

    Toywer Недавно здесь

    Регистрация:
    29.07.2011
    Сообщения:
    16
    Симпатии:
    0
    Пол:
    Мужской
    Спасибо. Действительно, задницу нашел в этой папке - удалил.
    Но <!--/0/--><!--/=/--> как было, так и осталось.
     
  16. shahin
    Offline

    shahin р-т => Cпециалист <=

    Регистрация:
    22.04.2010
    Сообщения:
    438
    Симпатии:
    38
    Пол:
    Мужской
    это на сайте видно? или в исходнике? там простые теги для комментирования кода.
     
  17. Offline

    Toywer Недавно здесь

    Регистрация:
    29.07.2011
    Сообщения:
    16
    Симпатии:
    0
    Пол:
    Мужской
    Да, все только в исходнике!!
    Да, простые теги для комментирования, но иногда на этом же месте непонятный код и ссылки (в первом посте указал). И вот откужа все это берется хотел бы и узнать, и удалить эту хрень.
     
  18. Offline

    Toywer Недавно здесь

    Регистрация:
    29.07.2011
    Сообщения:
    16
    Симпатии:
    0
    Пол:
    Мужской
    Менял шаблон, все тоже самое.
     
  19. Offline

    Toywer Недавно здесь

    Регистрация:
    29.07.2011
    Сообщения:
    16
    Симпатии:
    0
    Пол:
    Мужской
    Неужели так никто и не поможет?
     
  20. Offline

    bugmenot Недавно здесь => Cпециалист <=

    Регистрация:
    15.03.2009
    Сообщения:
    647
    Симпатии:
    39
    Пол:
    Мужской
    Toywer, мы думаем. Я так и не нашёл адрес сайта. Хотелось наглядно посмотреть.
     
  21. shahin
    Offline

    shahin р-т => Cпециалист <=

    Регистрация:
    22.04.2010
    Сообщения:
    438
    Симпатии:
    38
    Пол:
    Мужской
    если вы нашли и удалили то что я вам сказал тогда этот код будет просто на исходнике и не будет вводит на страницу ничего. а может у вас там еще залили файлы? смотроте внимательно.
     

Поделиться этой страницей

Загрузка...