Вломали сайт на Joomla 2.5 Появляется код в файлах .js

Тема в разделе "Мегафлуд", создана пользователем Tippmann, 27 дек 2013.

  1. Tippmann

    Tippmann Создатель

    Регистр.:
    17 фев 2010
    Сообщения:
    35
    Симпатии:
    15
    На моём сайте (http://www.actionpoint.biz) вчера был обнаружен гуглом вредоносный код. Первое, куда он был добавлен, файл jquery-ui-1.8.16.custom.min.js в компоненте soccomments (pkg_soccomments_v1.3_J17-25, http://socext.com/download/soccomments.html).

    Затем стал появляться в других *.js файлах. (http://actionpoint.biz/media/system/js/mootools-more.js, http://actionpoint.biz/components/com_virtuemart/assets/js/jquery.noConflict.js, http://www.actionpoint.biz/media/system/js/mootools-more.js, http://www.actionpoint.biz/components/com_virtuemart/assets/js/jquery.noConflict.js)

    Меня дезориентируют следующие данные:

    Во-первых, дата и время «Последнее изменение» файлов, которые подверглись модификации, осталось нетронутым. Как такое возможно? Все файлы имеют права доступа к фалу стандартные (0644), к папкам тоже (0755).

    Во-вторых, по логам сервера нет ни единой записи постороннего доступа к ФТП. Даже попыток нет. Доступ к ФТП привязан к моему IP.

    Я не пойму как вообще происходит заражение? Через какую дырку? Что я не закрыл, что так легко нашпиговали JSфайлы? Подскажите пожалуйста. Скажите, какие дополнительные данные вам показать, чтобы было яснее картинка.

    Спасибо заранее.
     
  2. Dimann

    Dimann NO REFUNDS!

    Регистр.:
    18 фев 2008
    Сообщения:
    156
    Симпатии:
    67
    да не факт, что вообще взломали. возможно ложное срабатывание. отправь файлы на проверку другими сервисами.
    еще вариант: плаг скачивался с оффсайта? если сливать с "левых" сайтов, то они могут сразу оказаться "зараженными" (могут закладочку добавить).
     
  3. Tippmann

    Tippmann Создатель

    Регистр.:
    17 фев 2010
    Сообщения:
    35
    Симпатии:
    15
    Непонятно. Доктором вебером (http://vms.drweb.com/online/) проверил - всё нормально. Пишет даже что редиректа нет, в противовес гуглу.

    НО! Вот файлы (см. вложение). Не сложно сравнить и увидеть дополнительный код. В другие JS вставлены такиеже фрагменты.

    Плагины и компоненты скачивал всё с оф. сайта.

    Главный вопрос как? при тех условиях что я перечислил в файлы Js УДАЁТСЯ вставить дополнительный код???
     

    Вложения:

    • 1.rar
      Размер файла:
      572 байт
      Просмотров:
      5
  4. Tippmann

    Tippmann Создатель

    Регистр.:
    17 фев 2010
    Сообщения:
    35
    Симпатии:
    15
    Вот что пишет "HTTP логе доступа":
    Код:
    ...Line 338: 66.249.84.51 - - [28/Dec/2013:00:52:30 +0200] "GET /components/com_virtuemart/assets/js/facebox.js HTTP/1.0" 200 10401 "http://actionpoint.biz/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB7.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
        Line 339: 66.249.84.51 - - [28/Dec/2013:00:52:30 +0200] "GET /components/com_virtuemart/assets/js/vmsite.js HTTP/1.0" 200 3309 "http://actionpoint.biz/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB7.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
        Line 341: 66.249.84.51 - - [28/Dec/2013:00:52:30 +0200] "GET /modules/mod_iceslideshow/assets/script_16.js HTTP/1.0" 200 16402 "http://actionpoint.biz/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB7.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"...


    Т.е. сразу, после того как я восстанавливаю резервную копию, начинается заражение.

    Я пароли сменил. Через что происходит заражение не пойму. Что и как перекрыть??