[Помогите] Взломали Joomla -вирус на сайте

Тема в разделе "Joomla", создана пользователем Zulus, 21 дек 2012.

?

Подвергался ли Ваш сайт заражению вирусом?

  1. Да

    42 голосов
    64,6%
  2. Нет

    18 голосов
    27,7%
  3. Не знаю

    5 голосов
    7,7%
  4. Мне все равно

    0 голосов
    0,0%
  1. sjer

    sjer

    Регистрация:
    17 янв 2013
    Сообщения:
    108
    Симпатии:
    84
    Я востанавливаю сайт после заражения так.
    Покупаю новый хостинг, заливаю цмс чистую той же версии и накатываю базу данных старого сайта и кружу картинки.
     
  2. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    681
    Симпатии:
    686
    Тоже купил новый хостинг, часть сайтов перенес на новый. И каждый сайт обновлял, заражение у меня пошло с сайтов что были сделаны на joomla 1.5. Перенес их в первую очередь (обновив до J2.5).
     
  3. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.349
    Симпатии:
    1.380
    я всё же проникся идеей vds'a или сервака (если деньги позволяют). Объясню почему:
    Т.к. вы на хостинге не один, то банально ваши сайты (если это нужно злоумышленнику) могут ломануть через соседей.
    + вы сами следите за дырами в ПО и обновляетесь до стабильной версии с багфиксами.
     
  4. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    681
    Симпатии:
    686
    Согласен, могут и через соседей.
    Для меня пока эти варианты дороговаты. Надеюсь со временем получится или свой сервак поставить, или vds оплачивать, но пока приходится мириться и работать с тем что есть.
     
  5. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.349
    Симпатии:
    1.380
    vds не так уж и дорог, за 10$ можно выдрать с 512 оперативы и 20 гигами.

    вы ж хостеру всёравно платите, я думаю больше 10$. Но тут еще такая штука, там то вы можете предъявить саппорту за баги и ляпы, а тут сам себе хозяин.

    p.s. Ну это просто моё мнение. Я пользуюсь и серваком и vds, и обычным хостингом. Хостинг именно потому, что за 1$ я не должен парится за его работу.
     
    Lasted edited by : 23 сен 2014
  6. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    681
    Симпатии:
    686
    Конечно не в тему, обсуждение хостинга в другом разделе, но все же, подскажите vds за 10$.
     
  7. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.349
    Симпатии:
    1.380
    например тут: http://vds64.com/vds
    но это не самый лучший вариант. Много предложений по vds можно найти на сёрче и более выгодные.
     
    Lasted edited by : 23 сен 2014
    Zulus нравится это.
  8. mailmoney

    mailmoney

    Регистрация:
    18 янв 2013
    Сообщения:
    3
    Симпатии:
    0
    А я вылечил много сайтиков клиентов уже джумла вордпресс и все остальное что лежит рядом. Мой совет - не храните вы по 100 сайтов на одном хостинге за 1500 тыс в год. Вот попадает этот вирусик на один сайт от джумлы, и тут же все выше по папке прописывает htaccess - и кучу всего, врезультате чистить приходится все. Как - думаю все случаи по разному. Где то и руками приходится.
     
  9. seadon

    seadon

    Регистрация:
    12 янв 2013
    Сообщения:
    26
    Симпатии:
    4
    Да, но давайте учитывать, что для этого необходимо обладать хоть малейшими навыками системного администрирования
    Либо искать ВДС, где администрирование включено в стоимость, обычно у серьезных хостеров предлагается доп опцией
     
  10. Uzeyir

    Uzeyir

    Регистрация:
    14 янв 2013
    Сообщения:
    29
    Симпатии:
    3
    У меня такое один раз бывало. Скачал весь сайт, проверил касперским и он нашел 2 вируса и один троян. После удаления опять закачал. Вроде сейчас спокойно.
     
  11. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    681
    Симпатии:
    686
    Пробовал проделать то же самое, из 4-х рабочих сайтов, касперский нашел заразу только на одном (тот что у меня был на J1.5), на остальных "зараза" была, но антивмрус никак не реагировал на нее (там был просто левый код с редиректом для мобильных устройств на сторонние сайты).
    Причем по FTP не смог войти в ту папку, в которой антивирус показал вирус. Удалил ее полностью.
     
  12. Grek

    Grek

    Регистрация:
    18 янв 2013
    Сообщения:
    171
    Симпатии:
    18
    У меня тоже была зараза на сайтах Joomla. Подхватил через ftp клиент (первый раз через Тотал, второй раз, что удивило, через ФайлЗиллу). Позаражало сайты (4 шт вроде), которые были в списке менеджера. Теперь пароли не храню в менеджерах)
    Вирус прописывался двумя файлами в каждой папке Джумлы, заменял index.html. Пришлось выкачать сайт, и синхронизировать каталоги с бекапом. Вроде всю заразу таким образом выкосил.
     
  13. sanyaberkut

    sanyaberkut

    Регистрация:
    11 дек 2012
    Сообщения:
    94
    Симпатии:
    19
    Ещё когда просматривал свои сайты после взлома одного нашол зараз у ещё на нескольких (было несколько клонов одного сайта)
    выходить что вредоносный файл был залит месяцев 5 назад а только сейчас проявилса.
    Теперь проверял все сайты на наличия данного файлика так как не сразу вирус проявлялса.
    И все сайты которые были подвержены такой атаке были на верссии до 1,5,24
     
  14. Yuriy

    Yuriy

    Регистрация:
    25 дек 2012
    Сообщения:
    20
    Симпатии:
    0
    И от чего тут защита?
     
  15. sanyaberkut

    sanyaberkut

    Регистрация:
    11 дек 2012
    Сообщения:
    94
    Симпатии:
    19
    например можно запретить віполнения скриптов в папке где он находится, или сделать блокировку для некоторых ip адресов или наобором разрешить только некоторым
     
  16. Deamelfuse

    Deamelfuse

    Регистрация:
    18 янв 2013
    Сообщения:
    14
    Симпатии:
    4
    Если перебрасывает на другой сайт

    1. Копируем все файлы cms на комп.
    2. Делаем backup БД и тоже её на комп в туже папку что cms файлы
    3. Открываем total commander
    4. Заходим в в папку где архив БД и самого сайта (п. 1,2)
    5. Нажимаем alt+F7
    6. Поле "Искать файлы" пустым, а вот в поле "С текстом" вписываем адрес сайта на который перебрасывает, нажимаем "начать поиск"
    7. Находит список файлов. На кажом файле нажимаем F4 (править), через ctrl+F ищем адрес сайта на который перебрасывает (открывается через блокнот)
    8. Удаляем ненужное.
    9. Если редирект найден в файлах cms, просто заменяем файлы на сервере, которые были хакнуты.
    10. Если в БД, то опять же таки убиваем всё ненужное и заменяем БД
     
  17. sanyaberkut

    sanyaberkut

    Регистрация:
    11 дек 2012
    Сообщения:
    94
    Симпатии:
    19

    у меня на одно сайте похожее было, оказалось редирект был прописан в файле htaccess
    и самое главное не сразу заметил, они эти строки отодвинули в файле так что на экране небыло видно, не сразу додумываешся горизонтальной полосой прокрутки прокрутить
     
  18. Zulus

    Zulus Команда форума

    Регистрация:
    20 дек 2012
    Сообщения:
    681
    Симпатии:
    686
    В файлах так же могут быть зашифрованные ссылки в base64, это тоже надо учесть.
     
  19. sanyaberkut

    sanyaberkut

    Регистрация:
    11 дек 2012
    Сообщения:
    94
    Симпатии:
    19
    либо икать по ключевому слову <iframe>
    а потом в том что найдёт перебрать и удалить то что вредоносное
     
  20. SteadyUp

    SteadyUp

    Регистрация:
    28 янв 2013
    Сообщения:
    11
    Симпатии:
    0
    У меня ломали джумлу 2.5 - при чем заражали именно сайт где был взлом, хотя рядом на том же хостинге лежали другие сайты - их не тронули, значит 100% автоматически, значит через уязвимость, обновил версию до 2.7 - и все норм