[Решено] Помогите найти вирус на сайте

Тема в разделе "Joomla", создана пользователем tiranov07, 16 ноя 2015.

Статус темы:
Закрыта.
  1. tiranov07

    tiranov07

    Регистрация:
    12 фев 2013
    Сообщения:
    98
    Симпатии:
    22
    У себя на сайте начал замечать, что в статьях (и в материалах джумлы и в материалах к2), прямо в тексте в конце появились ссылки типа:

    <p><a class="content_link_usualy" href="http://joomla-opt.ru/" title="каталог шаблонов для Joomla" style="font-size: 10px;">подробнее</a></p>

    и судя по всему если это не во всех статьях, то по крайней мере во многих.

    и так сайт на joomla 2.5.13, шаблон был взят и переделан Yoo_Lava



    Может быть изначально в шаблоне был код вставлен, который добавляет ссылки. Хотя при разработке и первоначальной работе сайта такого я не замечал. Только вот спустя некоторое время.
    А может это работает какой нибудь бот, который автоматом залезает на сайт, если нащупывает уже известную уязвимость, и правит статью?
    Были ли еще у кого нибудь такие случаи ?
     
    Последнее редактирование: 16 ноя 2015
  2. tiranov07

    tiranov07

    Регистрация:
    12 фев 2013
    Сообщения:
    98
    Симпатии:
    22
    Пока по данному инциденту сам не разобрался. Есть подозрение, что пароль был простой и его просто подобрал какой нибудь бот, и автоматом отредактировал некоторые статьи. Есть подозрение что связанно именно с модулем К2 - возможно мне "повезло" скачать его не с самой лучшей раздачи. Буду проверять его.

    А пока, была поднята тема скрытых ссылок на главной странице, до которых у меня ранее не доходили руки. Так вот сейчас нашел, довольно таки полезную фишку. Возможно знают не все - поэтому выкладываю

    Ищем например с помощью тотал коммандера по файлам на сайте (в данном случае в шаблоне), предварительно выгрузив их на комп, фразу base64_decode
    и нашли строку

    Код:
    <?php 
    $mgp='gvijvsPSDsfDFSdss5dHYKoud78DFtbydy9ShghyiScdUYniU...Yjtuot3rentummorbwC5'
    echo base64_decode ($mgp);?>
    
    Теперь надо проверить - этот текст внутри одинарных кaвычек вставляем онлайн декодер http://base64.ru
    Это оказались как раз те ссылки, которые я искал, но не находил, потому что они были в файлах зашифрованы

    Удалил полностью <?php ... echo base64_decode ($mgp);?> и все.

    Это же решение можно найти и просто погуглив, но зачем ))
    --- Добавлено, 17 ноя 2015 ---
    В чате пользователь Zulus дал ссылку на уже поднимаемую тему, за что огромное ему спасибо. (И кстати мне еще раз урок больше внимания придавать поиску по сайту, а не гуглу)
    https://wmasteru.org/threads/Взломали-joomla-вирус-на-сайте.2174/

    Где первым делом советуют проверить наличие подозрительных php-файлов на сервере.
    И я тут же нашел пару подозрительных файлов в папке /images framework.php и joomla-library.php, где вообще подобных файлов в джумле вообще быть не должно.

    Пока я бросил только беглый взгляд на работу файлов, но уже видно что ничего в них полезного нет. Оставил себе на память на компе, а с сервака удалил.
    Проверил права на папку /images - 777. Возможно кто-то выставил во время работы временно, а потом забыл поправить, это уже неважно.

    Пишу это для того, что бы таких глупых ошибок не повторяли: Верстка и наполнение сайта контентом - это не конец работы. Надо всегда уделять большое внимание безопасности, особенно когда имеешь дело с популярными cms. Ну и как минимум постоянно проверять права на папки на сервере, и желательно пользоваться каким нибудь сервисов контроля версий, типа гитхаба.

    Еще раз спасибо всем за полезную инфу, ссылки и подзатыльники.
    Буду сидеть и латать дыры ))))
     
Статус темы:
Закрыта.