Сообщений в теме: 20

[Sliapy]

Я не настоящий сварщик, но всякие айболиты и прочее, по моему не богатому опыту, не ищут корень проблем - сами шеллы, в которых обычно просто какая-то форма для загрузки фигни на фтп. И такое никакими обновлениями по факту уже не исправить - файлы уже лежат на сервере, закрывается только дырка, через которую они туда изначально попали.

 

На последнем сайте, лечением которого занимался, пришлось тупо смотреть логи доступа к файлам и искать среди них то, что менее вероятно относится к CMS. 

 

Крайним вариантом была просто переустановка CMS и всех модулей и импорт всего контента туда.

Сообщение отредактировал Sliapy: 19 December 2015 - 14:15

[axeld]

Sliapy сказал(а) 19 Дек 2015 - 13:10:

Я не настоящий сварщик, но всякие айболиты и прочее, по моему не богатому опыту, не ищут корень проблем - сами шеллы, в которых обычно просто какая-то форма для загрузки фигни на фтп. И такое никакими обновлениями по факту уже не исправить - файлы уже лежат на сервере, закрывается только дырка, через которую они туда изначально попали.

 

На последнем сайте, лечением которого занимался, пришлось тупо смотреть логи доступа к файлам и искать среди них то, что менее вероятно относится к CMS. 

 

Крайним вариантом была просто переустановка CMS и всех модулей и импорт всего контента туда.

Согласен с вами во всем. Скорее всего придется так и сделать.

Пока переустановил на новый хостинг, подожду сутки, если все ok, то значит вредоносный файл был не в сайте, а где-то рядом.

[axeld]

Павел Акимов сказал(а) 19 Дек 2015 - 12:55:

 

а список компонентов подскажите? JCE не пробегал?

 

 

очень похоже на кнопку шаринга   ничего такого не ставили?

 

Отдельно не ставил,  сайт сканировал на предмет наличия вредоносного кода путем подставления кусков кода "str_rot13", "riny(onfr64_qrpbqr" и т.д.

Заражен только index.php , других не нашел.

 

Сейчас переставил на новый хостинг .  В течении суток будет ясно. Сайт http://svai-prom.ru/

Ursa сказал(а) 19 Дек 2015 - 12:33:

а откуда шаблон, если не секрет?

и чем проверяете, скажите, плз, интересно!

Шаблон "самописный", проверяю, всеми способами какие знаю.  Подставляю куски кода "str_rot13", "riny(onfr64_qrpbqr" и т.д. Айболитом тоже пробовал, находит , но не то. сайт http://svai-prom.ru/

[axeld]

Наверное вот сообщение, которое заслуживает внимание. Вирусы залетели 10-13 декабря. 

https://www.joomla.o...6-released.html

[jeyhunm]

Предложите грамотный компонент для определения вредоносного кода в джумле 

кто с чем сталкивался ?

 

aibolit некоторых картинок показывает с подозрительным скриптом,

··5···/·······^;·· ··uV··]I····X·T····]··<·····B·····m·9··e····Nn[j···5··j4H·j (P=)·Kc··U··S·Kv·y·#·····Jq····De_Jrd[·0·····y·m·=!···Vl···+····*^···· ·WMf1j··

что с ними делать?

 

спасибо.

[Павел Акимов]

айболит это хорошо!

 

Есть простой способ!

 

скачайте сайт на локальник и пробегитесь каспером. последние я так чистил... это единственный антивир который реагирует на такие штуки 100% все долбит! потом накатите поверх образ джумлы и на хостинг. далее смотрим логи! что куда лезет и пытается открыть блочим, устраняем причины и дырки. 

[jeyhunm]

в частности по картинке , а может там и ничего нет , просто бинар код картинки? ,

айболит выводит много нормальных кодов в качесте подозрительного ?

а касперский имеется виду бесплатный утилит ? 

nod 32 последний обновленный не потянет? ничего он у меня не находит 

[Павел Акимов]

jeyhunm сказал(а) 24 Дек 2015 - 19:59:

а касперский имеется виду бесплатный утилит ? 

Kaspersky Internet Security для всех устройств! там есть бесплатно 30 дней. могу я просканировать. Архив кидайте. 

Сообщение отредактировал Павел Акимов: 24 December 2015 - 21:42

[jeyhunm]

да, спасибо громадное конечно , я и сам могу сканировать, что то не хочется устанавливать этот касперский на комп.

спасибо еще раз. сейчас буду думать,

странно, неужели нод-32 слабоват в этом плане ?

[jeyhunm]

в общем касперский ничего не показал,

все чисто