1. Уважаемые пользователи, прежде чем ответить в теме или создать новую,
    внимательно ознакомьтесь с правилами раздела

    Кому лень работать или руки не оттуда - пользуйтесь услугами специалистов
  2. Не задавайте глупых вопросов "Посоветуйте какой-нибудь компонент.."

    Есть JED!!! Ищите там!!!

Помощь Исправления запущенного процеса, маскирующегося под системный - crond.

Тема в разделе "Joomla", создана пользователем kussi, 18 ноя 2015.

Информация :
  • Уважаемые пользователи, прежде чем ответить в теме или создать новую, внимательно ознакомьтесь с правилами раздела
  • Не задавайте глупых вопросов "Посоветуйте какой-нибудь компонент.." Есть JED!!! Ищите там!!!
  • Аналоги ищите там же - на JED!!!
  • Новая версия? - У кого будет - тот выложит!
Статус темы:
Закрыта.
Модераторы: arman29, DMS, Genk0, NightHunter
  1. kussi

    kussi Постоялец

    Регистр.:
    15 май 2014
    Сообщения:
    60
    Симпатии:
    0
    Хостинг заблокировал домен, сайт на Joomla 3, написали вот такое:

    Был запущен процесс, маскирующийся под системный - crond.
    Обнаружили файлы, в которые первой строкой добавили сторонний код:

    components/com_banners/controller.php
    components/com_newsfeeds/newsfeeds.php
    components/com_users/models/registration.php
    components/com_finder/helpers/route.php
    components/com_k2/controllers/alias.php
    components/com_k2/views/itemlist/functions.php
    components/com_k2/templates/generic.php
    conns.php
    gallery.php
    images/joomlart/demo/cache.php
    layouts/joomla/content/associations.php
    libraries/legacy/utilities/xmlelement.php
    libraries/fof/model/dispatcher/behavior.php
    libraries/fof/download/adapter/fopen.php
    libraries/joomla/database/query.php
    libraries/joomla/facebook/status.php
    libraries/joomla/openstreetmap/elements.php
    libraries/joomla/language/stemmer.php
    libraries/joomla/utilities/buffer.php
    libraries/phputf8/mbstring/proxy.php
    libraries/vendor/composer/ClassLoader.php
    libraries/cms/html/object.php
    libraries/cms/html/language/inc.php
    libraries/cms/schema/changeset.php
    libraries/cms/component/inc.php
    media/overrider/css/option.php
    media/contacts/images/gallery.php
    modules/mod_jamasshead/tmpl/dirs.php
    modules/mod_k2_users/cache.php
    modules/mod_k2_content/tmpl/view.php
    modules/mod_k2_content/tmpl/gallery.php
    modules/mod_users_latest/tmpl/files.php
    plugins/system/highlight/diff.php
    plugins/authentication/gmail/alias.php
    plugins/content/emailcloak/emailcloak.php
    templates/ja_playmag/tpls/default.php
    templates/ja_playmag/error.php
    templates/ja_playmag/html/com_newsfeeds/functions.php

    Посоветуйте как это исправить? я совсем не понимаю, доступ к файлам открыт только через ФТП.
     
  2. joylord

    joylord Степной Волк

    Регистр.:
    27 дек 2012
    Сообщения:
    296
    Симпатии:
    151
    есть бекап для восстановления?
    1. Восстановить работоспособность - откатить бэкап.
    2. Поменять везде пароли.
    3. Не держать сохраненные пароли в фтп-менеджер.
    4. Установить фаерфолл.
    5. Запредить доступ к фтп-по ip (обратиться к хостеру)
    пароли храните в фтп-менеджере? :)
    если есть возможность - посмотрите по логам фтп, каким образом пошло заражение файлов.
     
    Последнее редактирование: 18 ноя 2015
  3. ddn128

    ddn128

    Регистр.:
    31 июл 2013
    Сообщения:
    401
    Симпатии:
    192
    1. Скачивай все файлы на комп.
    2. Скачивай утилиту Перейти по ссылке
    3. Лечи ней свой сайт - удаляй весь левый код ...
    4. Говоришь хостингу, что всё исправил
    5. Больше никогда не ставишь варёз, а если ставишь, то проверяешь Перейти по ссылке
    6. Ставишь компонент RSfirewall (или ему подобные) и каждый день любуешься отчётами, как он "отбил" очередную атаку
     
    kussi нравится это.
  4. kussi

    kussi Постоялец

    Регистр.:
    15 май 2014
    Сообщения:
    60
    Симпатии:
    0
    Проверила Ай-Болитом выдало отчет,тут целый список:
    Уязвимости в скриптах
    Эти файлы могут быть вредоносными или хакерскими скриптами
    Подозрение на вредоносный скрипт
    Подозрение на мобильный редирект, подмену расширений или автовнедрение кода
    и т.д.


    А каким образом их лечить то? Возможно есть какие-то примеры? Я вообще не понимаю:conf:. Больше года сайт работал и тут бабах(
     
  5. dimabik

    dimabik

    Регистр.:
    14 мар 2008
    Сообщения:
    983
    Симпатии:
    184
    Если честно айболит выдаст общие рекомендации это не означает что файл и заражен , в Джумле много файлов которые айболит именно и будет считать таковыми. Поэтому без специалиста с айболитом не справитесь.
     
  6. sindrom1974

    sindrom1974

    Регистр.:
    24 окт 2015
    Сообщения:
    407
    Симпатии:
    462
    Я так понял бекапа нет. Наверно самым правильным для Вас будет поиск тех кто лечит руками, видел похожую тему на форуме, там предлагал кто то услуги по лечению, или разместите в заказе услуг. К сожалению не существует волшебных программ, типа нажал и ЧУДО. По айболиту вам уже ответили выше. В каждой азбуке сайтоведении пишут про резервное копирование, это библия!
     
  7. joylord

    joylord Степной Волк

    Регистр.:
    27 дек 2012
    Сообщения:
    296
    Симпатии:
    151
    Надо обратиться к хостинг провайдеру. У них обязательно должны быть резервные копии, хотя бы за длительный период.
     
    Последнее редактирование: 18 ноя 2015
Статус темы:
Закрыта.