Помощь Исправления запущенного процеса, маскирующегося под системный - crond.

[kussi]

Хостинг заблокировал домен, сайт на Joomla 3, написали вот такое:

Был запущен процесс, маскирующийся под системный - crond.
Обнаружили файлы, в которые первой строкой добавили сторонний код:

components/com_banners/controller.php
components/com_newsfeeds/newsfeeds.php
components/com_users/models/registration.php
components/com_finder/helpers/route.php
components/com_k2/controllers/alias.php
components/com_k2/views/itemlist/functions.php
components/com_k2/templates/generic.php
conns.php
gallery.php
images/joomlart/demo/cache.php
layouts/joomla/content/associations.php
libraries/legacy/utilities/xmlelement.php
libraries/fof/model/dispatcher/behavior.php
libraries/fof/download/adapter/fopen.php
libraries/joomla/database/query.php
libraries/joomla/facebook/status.php
libraries/joomla/openstreetmap/elements.php
libraries/joomla/language/stemmer.php
libraries/joomla/utilities/buffer.php
libraries/phputf8/mbstring/proxy.php
libraries/vendor/composer/ClassLoader.php
libraries/cms/html/object.php
libraries/cms/html/language/inc.php
libraries/cms/schema/changeset.php
libraries/cms/component/inc.php
media/overrider/css/option.php
media/contacts/images/gallery.php
modules/mod_jamasshead/tmpl/dirs.php
modules/mod_k2_users/cache.php
modules/mod_k2_content/tmpl/view.php
modules/mod_k2_content/tmpl/gallery.php
modules/mod_users_latest/tmpl/files.php
plugins/system/highlight/diff.php
plugins/authentication/gmail/alias.php
plugins/content/emailcloak/emailcloak.php
templates/ja_playmag/tpls/default.php
templates/ja_playmag/error.php
templates/ja_playmag/html/com_newsfeeds/functions.php

Посоветуйте как это исправить? я совсем не понимаю, доступ к файлам открыт только через ФТП.

 

[joylord]

есть бекап для восстановления?
1. Восстановить работоспособность - откатить бэкап.
2. Поменять везде пароли.
3. Не держать сохраненные пароли в фтп-менеджер.
4. Установить фаерфолл.
5. Запредить доступ к фтп-по ip (обратиться к хостеру)
пароли храните в фтп-менеджере?
если есть возможность - посмотрите по логам фтп, каким образом пошло заражение файлов.

 

[ddn128]

1. Скачивай все файлы на комп.
2. Скачивай утилиту Для просмотра ссылки Войди или Зарегистрируйся
3. Лечи ней свой сайт - удаляй весь левый код ...
4. Говоришь хостингу, что всё исправил
5. Больше никогда не ставишь варёз, а если ставишь, то проверяешь Для просмотра ссылки Войди или Зарегистрируйся
6. Ставишь компонент RSfirewall (или ему подобные) и каждый день любуешься отчётами, как он "отбил" очередную атаку

 

[kussi]

1. Скачивай все файлы на комп.
2. Скачивай утилиту Для просмотра ссылки Войди или Зарегистрируйся
3. Лечи ней свой сайт - удаляй весь левый код ...
4. Говоришь хостингу, что всё исправил
5. Больше никогда не ставишь варёз, а если ставишь, то проверяешь Для просмотра ссылки Войди или Зарегистрируйся
6. Ставишь компонент RSfirewall (или ему подобные) и каждый день любуешься отчётами, как он "отбил" очередную атаку

Проверила Ай-Болитом выдало отчет,тут целый список:
Уязвимости в скриптах
Эти файлы могут быть вредоносными или хакерскими скриптами
Подозрение на вредоносный скрипт
Подозрение на мобильный редирект, подмену расширений или автовнедрение кода
и т.д.


А каким образом их лечить то? Возможно есть какие-то примеры? Я вообще не понимаю. Больше года сайт работал и тут бабах(

 

[dimabik]

Если честно айболит выдаст общие рекомендации это не означает что файл и заражен , в Джумле много файлов которые айболит именно и будет считать таковыми. Поэтому без специалиста с айболитом не справитесь.

 

[sindrom1974]

Я так понял бекапа нет. Наверно самым правильным для Вас будет поиск тех кто лечит руками, видел похожую тему на форуме, там предлагал кто то услуги по лечению, или разместите в заказе услуг. К сожалению не существует волшебных программ, типа нажал и ЧУДО. По айболиту вам уже ответили выше. В каждой азбуке сайтоведении пишут про резервное копирование, это библия!

 

[joylord]

Надо обратиться к хостинг провайдеру. У них обязательно должны быть резервные копии, хотя бы за длительный период.