Joomla удаление вирусов

Статья устарела !!!
Новая инструкция по лечению и удалению вирусов !!!

Писал на тему удаления вирусов из Джумлы и ранее, но вопросов задавали много, поэтому разберу еще один случай со все тем же "iframe write вирусом" другой модификации. В этот раз, тревогу забил клиент, "слишком долго стал грузиться сайт на Джумле". Ни Яндекс, ни Гугл на тот момент вирусов на сайте не находили, версия с вирусом еще не проиндексировалась. Уважаю! Открыв первый попавшийся на глаза js, в конце файла я увидел ;document.write('<iframe src="http://gemexmud…

Далее расчехляем scan.php запускаем и наблюдаем то же самое более 300 js файлов. Картина привычная, я не стал лезть в логи сервера и сразу начал искать eval() и base64 в php файлах. Новый  сюрприз. Файлов оказалось больше 50. eval() используют и некоторые стандартные модули Джумлы, но их немного. К тому же подозрительные файлы имели рэндомные названия из букв и цифр. Проверив несколько файлов я убедился, что они заражены. На это указывала инструкция

Файлов много, удалять поштучно желания не было, я добавил новую функцию в свой scan.php . И удалял файлы c вирусом таким путем.

Кроме того, в файле одного из модулей mod_flashrotator.php обнаружил вот такой код, привожу фрагмент

Из любопытства декодировал.  А там редиректор траффика. Красивая вещь. Клиент попадающий на сайт через поисковики, редиректится сайт на какой то SMS подписки.

Все эти включения удалил вручную из файла. Ну а затем, прошелся по всем js файлам, как описано в предыдущей серии. Далее опять некоторые отличия. В настройках веб сервера было указано, не хранить лог файлы. А жаль, наверняка было бы что нибудь, вроде:

Или это

Нет логов и найти уязвимость, через которую залили вирус нельзя. Что можно сделать в таком случае? Поднять версию Джумлы. Она оказалась последней (Joomla 2.5.9). Поднять версию плагинов. Тут я нашел сразу несколько древних плагинов, которые не обновлялись с версии 1.5, включая тот самый flashrotator.

Пункт с обновлением плагинов Джумлы — важнейший! Большая часть вирусов лезет через плагины. Если вы почистили сайт от вирусов, но не обновили плагины высокая вероятность, что завтра же, сайт заразят. Если новой версии плагина нет, то есть смысл поискать уязвимости самому или доверить это дело профи.

И есть еще один пункт защиты, пассивный, через .htaccess . Некоторые варианты уязвимостей можно отсечь таким путем. В документации Joomla указано несколько вариантов, вплоть до самых параноидальных.  Но с ними нередко возникают проблемы.  Мой вариант выглядит попроще. Он фактически склеен из некоторых мануалов, прикрывает лишь самые одиозные уязвимости.  + E-Tag "оптимизация" для статичных файлов

Вы можете обратиться ко мне за помощью в лечениии сайта.
Стоимость работы всего 800 руб.
Работа займет 1.5 — 2часа.
 

Вы получаете:
— поиск и устранение вируса и вредоносного кода

— устранение уязвимости

— 6 месяцев гарантии

 

Контакты

icq 346469836

fstrange.ru

cure@fstrange.ru

You may also like...

  • disqus_EdILVKgo33

    Сегодня обратился к автору блога за помощью удалить похожий вирус с сайта, был редирект на сайт обновления мобильношго флэш плейра. Сделал все быстро, расценки реально скромные. Огромный респект. Просто взял и сделал, без всяких понтов.

  • Здравствуйте. Столкнулся с этой ситуацией. Обнаружил кучу файлов с рандомными названиями. Их в каждой папке десятки, а иногда и больше 100. Почти у всех только такой код:< ? php echo "#!!#";. Только в некоторых нашел такой же как у Вас в статье. Открывал несколько js файлов ничего там не нашел, правда есть одно но, в конце вместо одной ; почему-то так ;;;;;;;;;;;;;; в общем очень длинная строка из точки с запятой. Прошу совета или помощи в данной ситуации. Спасибо.

    • Сложно сказать что либо заочно.

      Сам код < ? php echo "#!!#"; опасности не представляет. Хотя сотни таких файлов однозначно работа вируса.
      Надо искать источник.
      Проверяйте php файлы на eval( . Среди найденных наверняка будут с вредоносным кодом.

  • Здравствуйте!

    Примерно та же самая ерунда на сайте zdips.ru

    Готов заплатить, сколько возьмете?

    С уважением, Алексей Рыбак

    • час-два времени, рублей 600

  • Rympel

    Написал вам на почту, пока ответа нет, может не дошло или в спам попало Посмотрите пожалуйста. Если что, черкните мне на почту.

  • Олег

    Добрый день… похожая фигня с сайтом как с вами связаться можно?

    • Проблему решили?

  • Pingback: Джумла поиск вирусов()