Joomla вирус в cache

В серии статей Защита Joomla мы уже рассмотрели различные способы и средства защиты Joomla от хакерских атак и вирусов. Но что делать, если ваш сайт уже заражен? Как его вылечить?

В этой статье приведено пошаговое руководство лечения сайта на Joomla от вирусов (приведенные шаги актуальны и для сайтов на других CMS). Выполните все шаги, и ваш сайт будет восстановлен.

Кто и зачем заражает сайты вирусами?

Давайте, в первую очередь, разберемся в теоретических причинах заражения. Предположим, что у вас действительно не столь посещаемый сайт, чтобы заинтересовать хакеров (его посещают десятки – сотни человек ежедневно). Кто, зачем и как заразил ваш сайт?

Не стоит сразу перебирать врагов и конкурентов. Скорее всего, заражение вашего сайта – это случайность и опосредовано, виноваты в нем ВЫ (или веб-мастер, который отвечает за ваш сайт компании).

С большой долей вероятности точно также получилось и с вашим сайтом.

Невыполнение хотя бы одного из этих трех пунктов уже подвергает ваш сайт высокому риску.

Дальше в дело вступает лотерея. Предположим, в один прекрасный день кто-то обнаружил уязвимость в Joomla. Он отправил информацию о ней разработчикам Joomla. Они исправили уязвимость и выпустили обновленную версию. Через некоторое время о найденной уязвимости становится известно широкой публике, в которой встречаются и не очень хорошие личности. Одна из таких личностей пишет паука – программу, которая сканирует интернет на предмет поиска необновлённых сайтов с этой уязвимостью и, находя их, использует уязвимость для взлома.

Конечно, нельзя исключать и целенаправленной хакерской атаки на ваш сайт, но вероятность такой атаки очень мала по сравнению с тем, что вы поймали паука. Я бы сказал, 1% против 99%. С ростом популярности, посещаемости и показателей вашего сайта вероятность будет смещаться в сторону хакерской атаки, но пока ваш сайт не содержит ничего особо ценного, хакеры не будут тратить на него время, т.к. их время стоит дороже.

Мой сайт заражен. Что делать?

Ваш сайт заражен. Чтобы вылечить его, а предлагаю вам использовать инструкцию, состоящую из 10 шагов. Выполнять шаги нужно последовательно, а не в произвольном порядке.

Если ваш сайт заражен, то по уровню халатности вы попадаете в одну из двух категорий:

1. Я регулярно делаю резервные копии своего сайта / Я настроил регулярное резервное копирование на хостинге.
2. Резервные копии? Ээээ… Что это?

Если вы попали в первую категорию, то у меня для вас хорошие новости: вам не придется лечить сайт от вирусов. Просто восстановите резервную копию и переходите к шагу 7.

Если же вы попадаете во вторую категорию, то придется попотеть, либо потратиться на специалиста. Кроме того, для вас есть и очень плохая новость:

При чистке сайта от вирусов нет, и не может быть никакой гарантии полного излечения.

Давайте разберемся почему.

Представим столь популярные нынче фильмы про зомби. Один человек стал зомби, потом он покусал другого, тот третьего и так заразилось половина планеты. Спустя некоторое время человечество опомнилось и уничтожило всех зараженных. Воцарился мир и спокойствие. Спустя еще некоторое время оказалось, что в каком-то глубоком темном подвале оставался еще один зараженный, которого не смогли обнаружить. И затем в этот подвал зашел здоровый человек…

Примерно такой же принцип в заражении сайта. Файлы сайта, коих несколько тысяч, могут быть изменены. Также могут быть добавлены новые файлы, с названиями, которые себя ничем не выдают. Вирус может записать себя в любые каталоги и файлы файловой структуры сайта. Потом сайт почистят от вирусов. Все зараженные файлы удалят. Но где гарантия, что один из таких файлов не будет упущен? Ее нет. А такой файл может, в конечном итоге, привести к повторному заражению всего сайта.

Всё это не значит, что нужно опустить руки и пойти делать новый сайт. Всё-таки, шаги, описанные далее, позволяют в высокой долей вероятности вычистить весь вредоносный код, до последней строчки.

Подведем итог шага 1.

• Если вы делали резервные копии, найдите ту из них, которая еще не заражена и восстановите из нее сайт. Далее переходите к шагу 7.
• Если вы не делали резервные копии, будьте готовы к тому, что никто не даст вам 100% гарантии на полную отчистку сайта от вирусов. Переходите к шагу 2.

Если вы читаете данный шаг, то поздравляю, ваша халатность на высоте. Но нужно и в этом искать плюсы. Вы научитесь лечить сайты, а также узнаете много нового о работе с ними. Эти знания, определенно, будут вам полезны, как владельцу сайта.

На данном этапе вам нужно создать локальную копию файловой структуры сайта. Создайте на хостинге архив с фалами сайта и скачайте его на свой компьютер. Если вы не знаете, как это делается, обратитесь в тех. поддержку хостинга с просьбой создать и выслать вам копию сайта.

Стандартный Joomla-сайт состоит из двух частей:

• Файловая система сайта
• База данных

Вредоносный код может быть и в файлах и в базе данных, но всё-таки наиболее вероятно найти его в файлах.

После того, как вы скачали архив с файлами сайта и развернули у себя на локальном компьютере, проверьте его хорошим антивирусом, например Касперским. У антивирусных компаний есть бесплатные инструменты для разовых проверок. Воспользуйтесь одним из них:

Если у вас есть лицензионный обновленный антивирус на компьютере, то можете использовать его.

Антивирусы для операционных систем не предназначены для лечения сайтов, но, тем не менее, некоторую долю вирусов они могут обнаружить и удалить. Всё-таки, это наиболее профессиональные инструменты. Не стоит ими пренебрегать.

После проверки будет найдено несколько вирусов или не найдено ничего. Найденные зараженные файлы лечим (вручную отчищаем от вредоносного кода) или удаляем. Переходим к шагу 3.

На этом этапе разминка закончилась. Впереди рутиный и нудный труд. Пришло время проверить зараженный сайт специализированным средствами поиска вредоносного кода. К таковым относятся:

• AiBolit – бесплатный сканер вирусов и вредоносных скриптов. Он удобен тем, что может быть очень легко запущен под Windows.
• Manul – антивирусная утилита от Яндекса.

Советую использовать AiBolit, поскольку проект Manul закрыт Яндексом и более не обновляется. По результатам проверки для вас будет сгенерирован отчет о подозрительных файлах и уязвимостях.

1. Скачиваете с официального сайта AiBolit для Windows.
2. Копируйте файлы зараженного сайта в папку site.
3. Запускаете файл start.bat.

По результатам будет сгенерирован файл отчета AI-BOLIT-REPORT.html

Manul – это php-скрипт. Чтобы его запустить, нужен локальный web-сервер. Вы можете использовать для этих целей Open Server или Denwer. Далее следуйте инструкциям с официального сайта Manul.

Важно! Ни в коем случае не запускайте на локальном сервере зараженный сайт. Не вылеченные на данном этапе вредоносные скрипты могут размножиться.

После проверки сканерами, на руках у вас будет два отчета с подозрительными файлами. Будьте уверены: многие из них являются вирусами или содержат вредоносный код.

Далее следует довольно нудный этап. Нужно вручную пройтись по всем подозрительным файлам и проверить код, расположенный в них. Зачастую вредоносный код выделяется форматированием из основного. Код Joomla стройный и не содержит ничего лишнего. Код вредоносных скриптов часто внедряется без форматирования. Посмотрите пример ниже.

Код вредоносного скрипта:

Не бойтесь открывать зараженные php-файлы для просмотра через текстовый редактор. Пока не запущен интерпретатор PHP (локальный сервер, который может выполнить PHP-код), вирусы и вредоносные скрипты не представляют опасности.

Если зараженных файлов найдено слишком много, можно воспользоваться такой хитростью: уточните текущую версию Joomla на вашем сайте, скачайте именно эту версию с официального сайта. Скопируйте файлы скачанной версии в папку с зараженной, переписывая совпадения. Таким образом, вы сможете переписать большую часть зараженных файлов оригинальными. Аналогичным образом можно заменить файлы крупных расширений Joomla. Более подробно это описано в шаге 5.

Перед удалением зараженных файлов, аккуратно записывайте фрагменты кода вредоносных скриптов и названия файлов, в которых они найдены, в отдельный файл. Они понадобятся нам на следующих шагах.

Данный шаг может отнять много времени, а также может быть сложен для тех, кто не очень хорошо разбирается в PHP-коде. Общий совет: если сомневаетесь вредоносный перед вами скрипт или нет, считайте, что да. Не бойтесь удалять зараженные файлы Joomla и расширений. На следующих шагах мы их восстановим. Исключение составляют лишь файлы, находящиеся в каталоге используемого вами шаблона сайта. Их не получится восстановить и работать с ними нужно очень осторожно.

Когда все файлы из отчетов проверены/отчищены/удалены, проведите сканирование файловой структуры сайта повторно. Не должно быть найдено ничего. После этого можно переходить к шагу 4.

Теперь пришла пора постепенно включать голову. Надеюсь, что вы последовали моему совету, на предыдущем шаге и копировали фрагменты кода вредоносных скриптов в отдельный файл.

Если вирус, которым заражен ваш сайт, писал не гений, а скорее всего это так, то от файла к файлу зараженные фрагменты кода должны, так или иначе, повторяться. Этим мы и воспользуемся для того чтобы найти то, что пропустили сканеры и антивирусы.

Для выполнения данного шага нам понадобится программа Total Commander или любая другая утилита, умеющая искать по файлам. Я все же советую использовать Total Commander.

Открыв файловую структуру сайта через Total Commander, переходим в Команды –> Поиск файлов…

Здесь нам интересны две вкладки.

Позволяет указать текст, который нужно искать в файлах. У вас уже есть сохраненные фрагменты кода вируса. Смекаете? Выбираем фрагмент и ищем его повторения в файлах по всей файловой системе сайта. Будьте уверены, что-то найдется. Далее проверяем найденные файлы, чистим/удаляем.

Еще одна прекрасная возможность найти все зараженные файлы – использовать дату изменения файла. Посмотрите еще раз внимательно отчет AiBolit. Он показывает дату создания/изменения подозрительных файлов. Вероятнее всего все зараженные файлы были созданы примерно в недельный временной промежуток или даже в один день. Вычислите его, а затем задайте на вкладке Дополнительно этот промежуток или день. Так вы сможете определить все подозрительные файлы.

Данный способ не является полностью надежным, поскольку качественные вирусы могут изменять дату своего создания, но попробовать его, определенно, стоит. Мне он очень помогает.

После выполнения всех описанных действий можно выполнять шаг 5.

Этапы тут следующие:

1. Откройте админку зараженного сайта (старого, не отчищенного!) и перейдите в Расширения –> Менеджер расширений –> Управление.
2. Перепишите себе все установленные сторонние расширения и их версии. Запишите версию Joomla.
3. Скачайте Joomla заданной (не последней!) версии и все расширения заданных версий.
4. Обновите вручную файловую структуру Joomla путем копированием скачанной версии с заменой.
5. Обновите вручную файловую структуру расширений путем копирования с заменой.

На данный момент, мы сделали всё, что было в наших силах, чтобы отчистить и восстановить файловую структуру сайта. Пришло время базы данных. Переходим к шагу 6.

Вредоносный код может содержаться не только в файлах сайта, но и в его базе данных. Чистить базу, в некоторой степени, сложнее, чем файловую структуру. Я бы выделил два этапа:

1. Скачать дамп базы данных сайта и проверить его вручную. Вы можете скачать через PhpMyAdmin базу данных сайта в виде текстового файла и открыть ее через Nodepad++ или другой текстовый редактор. Данный файл желательно просмотреть на предмет присутствия странных фрагментов, проверить на наличие опасных элементов, таких, как iframe.
2. В таблице #__users базы данных сайта, найти всех пользователей с правами суперадминистратора и проверить, нет ли там посторонних.

После этого нужно развернуть и запустить сайт на локальном сервере (шаг 7).

Поскольку я, в некоторой степени, параноик, советую на этом шаге запускать сайт на локальном сервере с отключенным интернетом.

Перед запуском нужно морально быть готовым к тому, что сайт запустится с ошибками. Возможно, вы удалили какой-то файл Joomla или расширения во время чистки, но при этом не восстановили его в дальнейшем. Ничего страшного в этом нет. Главное, чтобы запустилась админка. Если это произошло, делаем следующее:

1. Обновляем Joomla до последней версии путем установки обновления через менеджер расширений Joomla.
2. Обновляем все расширения до последних версий путем установки обновлений через менеджер расширений Joomla.

После этого сайт должен работать корректно и без ошибок. Если что-то осталось, исправляем вручную и переходим к шагу 8.

• Пароли администраторов
• Пароль на сервере базы данных
• Пароль FTP
• Пароль от панели управления хостингом

На этом всё, ваш сайт отчищен. Осталось убедиться, что уязвимость, которая привела к заражению, закрыта.

Снова включаем голову (да знаю, она у вас уже устала и ничего не соображает). Что же всё-таки привело к заражению? В начале статьи я дал пару мыслей на этот счет.

Постарайтесь понять, где на вашем сайте могут быть уязвимости. Не обязательно быть большим специалистом. Важно просто здраво мыслить.

Советую проверить домашний компьютер на вирусы, а также обратить внимание на хостинг, на котором размещен сайт. Какие о нем отзывы в интернете? Быть может, причиной заражения стал плохо настроенный сервер.

Если вы видите какие-то, пусть даже теоретические причины заражения, то будет правильным избавиться от них до перезапуска сайта.

Если вы дошли до этого шага, то поздравляю! Это большой путь. Теперь вы гораздо больше знаете о сайтах и их безопасности. Полностью удалите с хостинга зараженную копию сайта и перенесите туда отчищенную. Также замените базу данных, если вы вносили в нее изменения.

Первую неделю я советую отслеживать изменения в файловой системе на предмет повторного появления вируса. Вероятность того, что какой-то из зараженных файлов всё-таки остался, всегда существует.

Если ничего не помогает.

Но что делать, если даже после чистки и восстановления сайта вирусы появляются вновь? Здесь есть два варианта:

1. Вы можете отдать уже отчищенную копию специалистам по безопасности, чтобы они проверили ее на предмет того, что упущено вами.
2. Вы можете создать новый сайт (в некоторых случаях это может быть дешевле), но надеюсь, что до этого, всё-таки, не дойдет.

Главный вывод.

Надеюсь, данная статья помогла вам вылечить сайт от вирусов или, по крайней мере, дала большее представления о безопасности, возможных уязвимостях и способах их устранения.

Главное, что нужно делать, чтобы не оказаться один на один с взломанным сайтом – регулярное резервное копирование. Позаботьтесь о том, чтобы у вас на компьютере хранилась хотя бы одна резервная копия за каждый месяц, и спите спокойно ;-).

Достаточно часто вижу в интернете следующие рекомендации: "чтобы очистить сайт Joomla от вирусов залейте поверх сайта чистый движок Joomla, той же версии что и сайт, без папки инсталляции." При этом уверяют, что этот метод поможет на все 100%. Уверяю вас, не поможет, даже на 1%. Объясняю почему:

1. Во время работы с сайтом вы наверняка устанавливали различные расширения Joomla (модули, плагины, компоненты). Когда вы зальете движок джумла поверх сайта в надежде очистить сайт Joomla от вирусов, то перезапишутся только те файлы, которые были в дистрибутиве Joomla.

Все расширения, которые вы устанавливали останутся в том же виде. Именно там может находиться вирус. Чаще всего вирус проникает на сайт именно через уязвимости в расширениях сторонних разработчиков. А если вы скачивали расширения где попало, то вы сами могли занести вирус на сайт.

2. Злоумышленники могли забросить на сайт какие-то свои файлы. Они тоже останутся в неизменном виде и никуда не денутся с сайта.

3. Шаблон вы наверняка поменяли. Он у вас тоже не перезапишется. Не исключена вероятность, что вредоносный код будет именно в шаблоне. Хотя следует отметить, что попадание вируса на сайт через шаблон более характерно для сайтов на Wordpress. На сайт Joomla вирусы чаще всего попадают через уязвимости в плагинах.

Надеюсь, я вас убедила, что не стоит тратить время и заливать поверх сайта чистый движок Joomla.

А теперь о том, что нужно делать, чтобы очистить сайт Joomla от вирусов. Притом делать нужно будет строго в том порядке, который у меня описан ниже. Шаг вправо, шаг влево. нет не попытка побега, а вероятность, что ваш сайт тут же будет заражен снова.

1. Включаете на своем компьютере антивирус и очищаете свой компьютер от вирусов. Вирус у вас в компьютере наверняка сидит, а возможно и не один. В подавляющем большинстве случаев вирус на сайт попадает именно с зараженного компьютера.

2. Меняете все пароли доступа к сайту. (Читайте как поменять пароль администратора Joomla).

3. Делаете резервную копию сайта.

4. Все сносите и устанавливаете чистый движок Joomla, притом той же самой версии, которая у вас была установлена на последний момент. Если у вас была версия Joomla 2.5.9 и вы ее не обновляли до 2.5.14, то устанавливаете Joomla 2.5.9. (Читайте как загрузить сайт на хостинг быстро)

При установке движка Joomla необходимо учесть такую особенность, как префиксы. Если в Joomla 1.5 по умолчанию установлен префикс "Jos_", то в Joomla 1.7 и Joomla 2.5 префиксы разные и генерируются автоматически. Делается это для большей безопасности Joomla.

Поэтому если у вас Joomla 1.7 или 2.5, то при установке движка Joomla необходимо указать с какими именно префиксами сайт должен работать. Для этого при установке в поле "Префикс таблиц" сразу указать префикс своей базы данных.

Впрочем если вы сразу не прописали префиксы с которыми сайт должен работать, то в дальнейшем вы сможете изменить их в файле конфигурации, там есть строка:

5. После того, как вы установили движок Joomla, идете в phpMyAdmin, в свою базу данных, удаляете оттуда все таблицы, которые создала Joomla и загружаете туда свою последнюю базу данных из резервной копии.

Если вы все сделали правильно, то сайт у вас заработал, все материалы отображаются корректно. Но. Все расширения и шаблон, которые вы устанавливали ранее нужно устанавливать заново. Брать из резервной копии ничего нельзя, там может быть вирус. Идете на сайт extensions.joomla.org и скачиваете все расширения оттуда. Это официальный сайт Joomla.

Лечится следующим образом:
В файле editor.php находим строку:
if ($temp = $plugin->onDisplay($editor, $this->asset, $this->author))
Заменяем на следующую:
if (method_exists($plugin,'onDisplay') && $temp = $plugin->onDisplay($editor, $this->asset, $this->author))

Путь к файлу: libraries/joomla/html/editor.php

Если и после этого вы не можете создавать и редактировать материалы, то скачиваете и устанавливаете JCE редактор, после этого точно все заработает.

Начинаете с кнопок социальных сетей. Именно в них обычно запрятаны перенаправления на другие сайты либо обфусицированный код. Если у вас установлены кнопки социальных сетей от odnaknopka.ru, то именно с нее и начинайте.

В общей сложности на то чтобы очистить свой сайт Joomla от вирусов уйдет не более одного дня. Во всяком случае так было у меня. Я экспериментировала с Joomla 1.5 и с Joomla 2.5. Притом у меня перед глазами не было такой четкой инструкции, что и как нужно делать. При возникновении проблем приходилось еще искать информацию в интернете.

А что можно сделать тем, у кого сайт не на Joomla, а на Wordpress? Не секрет, что движок Wordpress наиболее популярен среди пользователей рунета. С уверенностью могу сказать, что аналогично можно очистить от вирусов не только сайт Joomla, но и Wordpress тоже.

Но там уже будут свои подводные камни. Какие именно я не знаю. Сайтов на Wordpress у меня сейчас нет. Поэтому в данном случае Google вам в помощь. Чистых вам сайтов.

А Вы уверены, что ваш "Любимый сайт" не рассылает втихаря спам?

Началось вся котовасия с того, что попал я однажды в бан на любимом форуме и вроде бы ни за что! После обращения к хозяину данного ресурса, от него пришло сообщение, что да, действительно бан есть и кинул ссылочку, в которой говорилось, что один из моих сайтов, который соответственно сидел на одном со мной ip заражен StealRat Infection.

Раньше я не сталкивался с такой Какой, начал изучать тему. Кстати, проверить ваш ip на данную заразу можно тут abuseat.org, где собственно и говорилось:

We have detected that this IP is NATting for, or is infected itself, with the "StealRat" malware. StealRat is usually found on UNIX or xxxBSD web servers running the Drupal, Wordpress or Joomla Content Management Systems (CMS).

In short, you have to:

• Secure the computer against further reinfection - which means making sure that all CMS installations on the computer are up-to-date and kept up to date. Almost all Stealrat infections are via security holes in stale CMS software.
• Find the StealRat infection and remove it.

Мы обнаружили, на этом IP NATting , или он заражен " StealRat" вредоносной программой. StealRat обычно находится на UNIX или xxxBSD веб-серверах , работающих под управлением Drupal, Wordpress или Joomla .

Короче говоря, вы должны :

1 Об езопасить компьютер от дальнейшего повторного заражения - это означает, что нужно убедиться, что все обновления CMS установлены до последних . Почти все Stealrat инфекции проникают с помощью дыр безопасности CMS, которая не обновляется .
2 Найти инфекции StealRat и удалите его.

Ну конечно первым делом я начал искать сами нежелательные файлы. Обнаружил много всего "интересного", включая шелл скрипт. Он лежал на двух виртуальных хостах, прятался под WordPress (а все сайты у меня на джумле, хотя и стоял до лета 2015 блог на вордпрессе, но то, что он остался от старого блога исключено, т. к. всё полностью сносилось, кроме того, папка от вордпресса в корне джумлы ну явно бросается в глаза) Итак, путь где он лежал:

На самом деле, запустив скрипт, волосы дыбом встали! Не понимаю каким образом, но он мог всё! Причем читал файлы, которые разрешено читать только root и легко перемещался по всему серверу до корня. Название сия чуда Dark Shell. Следов в логах о его установке не нашёл! Каким образом попал ко мне осталось загадкой.

Второе (или первое), что прям бросается в глаза в корне сайта папка Hot. Перейдя по ссылке в браузере - китайский сайт на моём домене! Причем, в индексе у гугла уже было порядка нескольких тысяч проиндексированных страниц. Вот состав папки

Дальнейшие поиски обнаружили скрипт, красиво спрятавшийся тут:

Соответственно такого модуля я в глаза не видел никогда.

Стандартный джумловский шаблон Beez3 тоже был нашпигован всякой хренью..

Тут лежал файл XPqSkLmt.php , который по всей видимости название своё поимел случайным образом.

В процессе совместных поисков выяснилось, что данному виду инфекции было подвержено огромное количество сайтов, которые были сделаны на Joomla. Проникал вирус на сайты при помощи уязвимости нулевого дня, которая была обнаружена в Джумле начиная с версии 1.5 и заканчивая 3.4.5! Как видим, уязвимость просуществовала почти десяток лет. Подробнее про неё можно почитать например тут.

На других сайтах обнаруживался несколько иной код, который вставлялся в файлы, поэтому везде поиск вируса будет индивидуальным.

Но у всех в логах при атаке присутствуют вхождения "JDatabaseDriverMysql", "eval(chr("

Вот пример строчки из лога

Вот и пришло время заняться тем, до чего раньше руки не доходили - безопасностью.

После очистки сайта от инородных включений, для быстрого мониторинга сайтов на какие-либо изменения я установил Watcher4site

Watcher4site - система, которая позволяет отслеживать все изменения файлов на вашем сайте. Позволяет обнаруживать проникновение вирусов на сайт и все изменения файлов (скриптов). Распространяется бесплатно с открытым исходным кодом. Легко устанавливается и имеет простой интерфейс. Для работы требуется PHP и MySQL. Ссылка на проект.

Удобная и очень простая штучка. Сканирует все файлы на хосте, записывает их MD5 хэш и при каждом запуске сравнивает с существующим. Есть возможность автоматизировать и запускать по крону.

Тем временем атаки с попытками использования уязвимости нулевого дня приобрели массовый характер joomlaforum весь завален сообщениями об атаках. Но при "правильной" настройке сервера, в частности, при проведении вышеуказанных атак, при отключенной функции eval, сервер просто "не скушает" данный запрос и ничего страшного не произойдёт.

В качестве PS: тот факт, что вирус попал ко мне на сайт, показывает важность правильной настройки не только CMS, но и самого сервера. Не стоит пренебрегать первоначальной настройкой Apache, PHP и т. п. Ну а лично я получил очередной хороший (или плохой) опыт.

Участник

108 сообщений

1 - проверяем лишние файлы в корне
2- проверяем индекс.пхп
3 - проверяем папку images там не должно быть файлов не картинок кроме index.html
4 - проверяем роботс

какая версия джумлы?

Основатель

3 372 сообщений

• Из Санкт-Петербурга

1) нужно понять, когда появился вирус.
2) восстановить бекап сайта на тот момент, когда не было вируса.

Если не получается определить дату, возьмите копию за 2 недели назад или за месяц и опубликуйте. Хостинги обычно автоматически делают бекапы.

Участник

108 сообщений

Версия Joomla! 2.5.17, проверил images, там был файл .htaccess удалил, роботс пока найти не могу, индекс вроде нормал

А вот такая конструкция и должна быть?

Участник

108 сообщений

Доступ по SSH есть у вас?
Если нет - скачайте сайт себе на компьютер и менеджером типа Total Commander поищите .php файлы, содержащие
или
Увидите файл со сложными буквами вроде SGVsbG8sIHdvcmxk, это и есть источник заразы.
Удалите эти строки (если сомневаетесь стоит ли тереть - выложите сюда файл, подскажем что можно тереть, а что нельзя, бывает, что-то нужное кодируется).

Залейте обратно сайт на хостинг.
Обновите CMS до актуальной версии.

Участник

108 сообщений

Участник

108 сообщений

Участник

108 сообщений

Активный участник

1 513 сообщений

• Из Futurama

Участник

108 сообщений

El Marshal Che (24 Июнь 2014 - 16:51) писал:

Доступ по SSH есть у вас?
Если нет - скачайте сайт себе на компьютер и менеджером типа Total Commander поищите .php файлы, содержащие
или
Увидите файл со сложными буквами вроде SGVsbG8sIHdvcmxk, это и есть источник заразы.
Удалите эти строки (если сомневаетесь стоит ли тереть - выложите сюда файл, подскажем что можно тереть, а что нельзя, бывает, что-то нужное кодируется).

Залейте обратно сайт на хостинг.
Обновите CMS до актуальной версии.

как я Вас понял, что стакими обохначениями строки нужно удалять?

Вот нашел еще такие файлы, можно ли их удалять?
4face838a8d6e3441d4b605d11d0e2af.js он находиться public_html\modules\mod_accordion_menu\cache\91

Dmitriy165 сказал: