Joomla удаление вирусов

Статья устарела !!!
Новая инструкция по лечению и удалению вирусов !!!

Писал на тему удаления вирусов из Джумлы и ранее, но вопросов задавали много, поэтому разберу еще один случай со все тем же "iframe write вирусом" другой модификации. В этот раз, тревогу забил клиент, "слишком долго стал грузиться сайт на Джумле". Ни Яндекс, ни Гугл на тот момент вирусов на сайте не находили, версия с вирусом еще не проиндексировалась. Уважаю! Открыв первый попавшийся на глаза js, в конце файла я увидел ;document.write('<iframe src="http://gemexmud…

Далее расчехляем scan.php запускаем и наблюдаем то же самое более 300 js файлов. Картина привычная, я не стал лезть в логи сервера и сразу начал искать eval() и base64 в php файлах. Новый  сюрприз. Файлов оказалось больше 50. eval() используют и некоторые стандартные модули Джумлы, но их немного. К тому же подозрительные файлы имели рэндомные названия из букв и цифр. Проверив несколько файлов я убедился, что они заражены. На это указывала инструкция

Файлов много, удалять поштучно желания не было, я добавил новую функцию в свой scan.php . И удалял файлы c вирусом таким путем.

Кроме того, в файле одного из модулей mod_flashrotator.php обнаружил вот такой код, привожу фрагмент

Из любопытства декодировал.  А там редиректор траффика. Красивая вещь. Клиент попадающий на сайт через поисковики, редиректится сайт на какой то SMS подписки.

Все эти включения удалил вручную из файла. Ну а затем, прошелся по всем js файлам, как описано в предыдущей серии. Далее опять некоторые отличия. В настройках веб сервера было указано, не хранить лог файлы. А жаль, наверняка было бы что нибудь, вроде:

Или это

Нет логов и найти уязвимость, через которую залили вирус нельзя. Что можно сделать в таком случае? Поднять версию Джумлы. Она оказалась последней (Joomla 2.5.9). Поднять версию плагинов. Тут я нашел сразу несколько древних плагинов, которые не обновлялись с версии 1.5, включая тот самый flashrotator.

Пункт с обновлением плагинов Джумлы — важнейший! Большая часть вирусов лезет через плагины. Если вы почистили сайт от вирусов, но не обновили плагины высокая вероятность, что завтра же, сайт заразят. Если новой версии плагина нет, то есть смысл поискать уязвимости самому или доверить это дело профи.

И есть еще один пункт защиты, пассивный, через .htaccess . Некоторые варианты уязвимостей можно отсечь таким путем. В документации Joomla указано несколько вариантов, вплоть до самых параноидальных.  Но с ними нередко возникают проблемы.  Мой вариант выглядит попроще. Он фактически склеен из некоторых мануалов, прикрывает лишь самые одиозные уязвимости.  + E-Tag "оптимизация" для статичных файлов

Вы можете обратиться ко мне за помощью в лечениии сайта.
Стоимость работы всего 800 руб.
Работа займет 1.5 — 2часа.
 

Вы получаете:
— поиск и устранение вируса и вредоносного кода

— устранение уязвимости

— 6 месяцев гарантии

 

Контакты

icq 346469836

fstrange.ru

cure@fstrange.ru

You may also like...