1. Уважаемые пользователи, прежде чем ответить в теме или создать новую,
    внимательно ознакомьтесь с правилами раздела

    Кому лень работать или руки не оттуда - пользуйтесь услугами специалистов
  2. Не задавайте глупых вопросов "Посоветуйте какой-нибудь компонент.."

    Есть JED!!! Ищите там!!!

Вирус на Joomla - скрипт: eval(unescape..

Тема в разделе "Joomla", создана пользователем allmomente, 18 авг 2009.

Информация :
  • Уважаемые пользователи, прежде чем ответить в теме или создать новую, внимательно ознакомьтесь с правилами раздела
  • Не задавайте глупых вопросов "Посоветуйте какой-нибудь компонент.." Есть JED!!! Ищите там!!!
  • Аналоги ищите там же - на JED!!!
  • Новая версия? - У кого будет - тот выложит!
Статус темы:
Закрыта.
Модераторы: arman29, DMS, Genk0
  1. allmomente

    allmomente

    Регистр.:
    14 май 2008
    Сообщения:
    152
    Симпатии:
    23
    Поймал на одном из Joomla сайтов вирус. На всех страницах сайта, в т.ч. и в админке при просмотре исходного кода появилась такая хрень:
    Код:
    <div id=dgvxp><a href="Целая куча всяких ссылок</a></div><script type="text/javascript">eval(unescape('%64%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%6e%74%42%79%49%64%28%27%64%67%76%78%70%27%29%2e%69%6e%6e%65%72%48%54%4d%4c%20%3d%20%27%27%3b'));</script></div> 
    Перелопатив весь сайт, не нашел ни одного измененного индексного файла. Обновил джумлу до 1.5.14 - ничего не изменилось. Написал хостеру - нашли две картинки в кешах по запросу eval(unescape Эти картинки удалил, сайт полностью себе скачал... Больше суток уже сижу - пытаюсь найти, в какой файл скрипт засунули.:nezn:
    Если у кого есть мысли или опыт по убийству этой гадины - буду благодарен за помощь.:thenks:
     
  2. puzer

    puzer Создатель

    Регистр.:
    5 июл 2008
    Сообщения:
    14
    Симпатии:
    4
    Попробуй сделать дамп mysql, и в нем поискать.
    Может повезет.
     
  3. Bereza

    Bereza

    Регистр.:
    9 май 2007
    Сообщения:
    222
    Симпатии:
    69
    Мне когда то давно такую бяку прям в индекс.пхп вписывали...
    Попробуй поиск не по именам файлов а по внутреннему содержанию...
     
  4. allmomente

    allmomente

    Регистр.:
    14 май 2008
    Сообщения:
    152
    Симпатии:
    23
    Внутреннее содержание и ссылки скриптом меняются.

    Я уже больше суток драймвивой по файлам, и гуглом по интернету эту гадину пытаюсь найти.:( Искал всяко-разно, насколько фантазии хватило.

    Значительно усложнило жизнь то, что на данном хосте у меня более 20 сайтов... и почти все на Джумле... Зараженный сайт - в корне. Пришлось скачивать все :eek: А по пяти с лишним гигобайтов Драймвива очень медленно ищет. Так и не нашел :nezn:

    Перекрестившись - залил поверх чистый дистрибутив 1.5.14. Сторонний код пропал - не знаю, надолго ли...
     
  5. Bereza

    Bereza

    Регистр.:
    9 май 2007
    Сообщения:
    222
    Симпатии:
    69
    Попробуй поискать подозрительные строчки include ... В оснофных файлах и в шаблоне.
    Меняй пароли, проверяй права на папки\файлы, ставь обновки, фиксы на свой скрипт... ну и бэкапь регулярно )))
    ПС. в винде тоже есть поиск по внутреннему содержанию)) В фаре тоже есть...
     
  6. Noname1

    Noname1 Создатель

    Регистр.:
    10 ноя 2006
    Сообщения:
    26
    Симпатии:
    2
    Была проблема один в один. Искал искал, ну ничего не нашел. Написал хостеру с просьбой о помощи, ответили мол попробуйте антивирем тщательно просканьте комп на наличие троянов. И действительно, нашел. Кстати пароли от фтп хранил в Тотал командере (я через него лью на серв файлы). Стараюсь больше не хранить. Пока тьфу тьфу тихо.
     
  7. marssss

    marssss Писатель

    Регистр.:
    6 апр 2009
    Сообщения:
    5
    Симпатии:
    0
    ужасно задолбали эти вирусы
     
  8. allmomente

    allmomente

    Регистр.:
    14 май 2008
    Сообщения:
    152
    Симпатии:
    23
    Пароли ФТП я давно уже храню в тотал коммандере добавляя к паролю один лишний символ. При соединении этот символ убираю. Поэтому вряд-ли кража паролей произошла на компе. Этот вирус скорей всего попал с фронтенда.
     
  9. ruslanruslan

    ruslanruslan Писатель

    Регистр.:
    20 июн 2008
    Сообщения:
    7
    Симпатии:
    1
    С джумлой все банально просто.
    Вы ставите себе сторонние расширения, типа галерей и всяких прочих джумловских примочек. А их ой-как много, и кстати из-за них мы джумлу, и любим. А на деле, их пишет кто-попало, при внимательном просмотре их php кода видим дыры повсеместно.
    Например код такого типа: берут параметр из URL и прямо с его значением инклудят php файл. SQL injection много где возможно.
    Релиз Джумлы с надписью stable - это хоть какая-то надежда, что он не дырявый, но это только ядро, и дополнительные компоненты, модули, плагины - все вы ставите с большим РИСКОМ.
    Да и сама Джумла устроена так, что в ней постоянно новые exploits находят. Так что даже поставив stable релиз нужно ОБЯЗАТЕЛЬНО следить за Joomla Vulnerabilty News и проверять свой сайт.
     
  10. flam

    flam Создатель

    Регистр.:
    28 фев 2008
    Сообщения:
    23
    Симпатии:
    4
    Какой хостинг и какие расширения у вас были установлены?

    Не исключено, что вирь попал именно через кривой хостинг.
     
Статус темы:
Закрыта.