Вирус на Joomla - скрипт: eval(unescape..

[allmomente]

Поймал на одном из Joomla сайтов вирус. На всех страницах сайта, в т.ч. и в админке при просмотре исходного кода появилась такая хрень:

<div id=dgvxp><a href="Целая куча всяких ссылок</a></div><script type="text/javascript">eval(unescape('%64%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%6e%74%42%79%49%64%28%27%64%67%76%78%70%27%29%2e%69%6e%6e%65%72%48%54%4d%4c%20%3d%20%27%27%3b'));</script></div>

Перелопатив весь сайт, не нашел ни одного измененного индексного файла. Обновил джумлу до 1.5.14 - ничего не изменилось. Написал хостеру - нашли две картинки в кешах по запросу eval(unescape Эти картинки удалил, сайт полностью себе скачал... Больше суток уже сижу - пытаюсь найти, в какой файл скрипт засунули.
Если у кого есть мысли или опыт по убийству этой гадины - буду благодарен за помощь.

 

[puzer]

Попробуй сделать дамп mysql, и в нем поискать.
Может повезет.

 

[Bereza]

Мне когда то давно такую бяку прям в индекс.пхп вписывали...
Попробуй поиск не по именам файлов а по внутреннему содержанию...

 

[allmomente]

Попробуй поиск не по именам файлов а по внутреннему содержанию

Внутреннее содержание и ссылки скриптом меняются.

Я уже больше суток драймвивой по файлам, и гуглом по интернету эту гадину пытаюсь найти. Искал всяко-разно, насколько фантазии хватило.

Значительно усложнило жизнь то, что на данном хосте у меня более 20 сайтов... и почти все на Джумле... Зараженный сайт - в корне. Пришлось скачивать все А по пяти с лишним гигобайтов Драймвива очень медленно ищет. Так и не нашел

Перекрестившись - залил поверх чистый дистрибутив 1.5.14. Сторонний код пропал - не знаю, надолго ли...

 

[Bereza]

Попробуй поискать подозрительные строчки include ... В оснофных файлах и в шаблоне.

Сторонний код пропал - не знаю, надолго ли...

Меняй пароли, проверяй права на папки\файлы, ставь обновки, фиксы на свой скрипт... ну и бэкапь регулярно )))
ПС. в винде тоже есть поиск по внутреннему содержанию)) В фаре тоже есть...

 

[Noname1]

Была проблема один в один. Искал искал, ну ничего не нашел. Написал хостеру с просьбой о помощи, ответили мол попробуйте антивирем тщательно просканьте комп на наличие троянов. И действительно, нашел. Кстати пароли от фтп хранил в Тотал командере (я через него лью на серв файлы). Стараюсь больше не хранить. Пока тьфу тьфу тихо.

 

[marssss]

это не вирус в джумла, это внешний червь, который используя фтп пароли, которые лучше нигде не сохранять, вписывает в индексные файлы подобные забавные штуки
так что чаще меняйте пароли фтп, не сохраняйте их нигда, используйте хорошие антивирусы.
Добавлено через 1 минуту
самый просто способ лечения - это замена вайлов на сервере файлами из бэкапов.

ужасно задолбали эти вирусы

 

[allmomente]

Пароли ФТП я давно уже храню в тотал коммандере добавляя к паролю один лишний символ. При соединении этот символ убираю. Поэтому вряд-ли кража паролей произошла на компе. Этот вирус скорей всего попал с фронтенда.

 

[ruslanruslan]

С джумлой все банально просто.
Вы ставите себе сторонние расширения, типа галерей и всяких прочих джумловских примочек. А их ой-как много, и кстати из-за них мы джумлу, и любим. А на деле, их пишет кто-попало, при внимательном просмотре их php кода видим дыры повсеместно.
Например код такого типа: берут параметр из URL и прямо с его значением инклудят php файл. SQL injection много где возможно.
Релиз Джумлы с надписью stable - это хоть какая-то надежда, что он не дырявый, но это только ядро, и дополнительные компоненты, модули, плагины - все вы ставите с большим РИСКОМ.
Да и сама Джумла устроена так, что в ней постоянно новые exploits находят. Так что даже поставив stable релиз нужно ОБЯЗАТЕЛЬНО следить за Для просмотра ссылки Войди или Зарегистрируйся и проверять свой сайт.

 

[flam]

Какой хостинг и какие расширения у вас были установлены?

Не исключено, что вирь попал именно через кривой хостинг.