Сайт на CMS Joomla заразился странным вирусов / PHP, Perl, Python

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / Сайт на CMS Joomla заразился странным вирусов

25 сообщений из 29, страница 1 из 2

все

Сайт на CMS Joomla заразился странным вирусов

#38344833

SweetApple

Гость

Добрый день, форумчане!

Есть сайт, созданный на CMS Joomla 1.5: http://ve***n2.ru/
С ним есть проблема... Если набрать вручную в адресной строке браузера veteran2.ru, то он открывается без проблем, но! Если ввести в Яндексе или в Гугле запрос "ve***n2.ru" и потом перейти по ссылке из поисковой системы, то происходит переадресация на вредоносный сайт, который просит либо отправить смс, либо сулит выигрыш...
Всю голову сломала, не могу понять, в какую сторону "копать", чтобы найти и излечить этот странный вирус. Может быть, у кого-то есть хотя бы примерные идеи?
На сайте нет файла htaccess, который, теоретически, мог бы осуществлять эту переадресацию. Подозрительные файлы и "лишний" код из js-скриптов удалены.

Модератор: URL откорректирован

...

Рейтинг:

0 / 0

26.07.2013, 11:17

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38344841

Програмёр

Участник

Откуда: Москва

Сообщения: 2 987

Рейтинг: 0 / 0

SweetApple,

или Вы решили разрекламировать свой сайт, или Вы что-то перепутали. Ввёл указанный запрос в яндекс, клацнул на первый результат (который ведёт на ve***n2.ru) и попал куда надо :)

...

Рейтинг:

0 / 0

26.07.2013, 11:21

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38344845

Electric200

Участник

Откуда: Киев

Сообщения: 679

Рейтинг: 0 / 0

Joomlaforum

...

Рейтинг:

0 / 0

26.07.2013, 11:23

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38344863

vkle

Участник

Откуда: Самара

Сообщения: 14 253

Рейтинг: 0 / 0

SweetAppleJoomla 1.5Пора бы обновиться. Давно пора.

...

Рейтинг:

0 / 0

26.07.2013, 11:29

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38344873

vkle

Участник

Откуда: Самара

Сообщения: 14 253

Рейтинг: 0 / 0

SweetAppleв какую сторону "копать"Ищите файлы по дате изменения.

...

Рейтинг:

0 / 0

26.07.2013, 11:33

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38344932

bazile

Участник

Сообщения: 3 121

Рейтинг: 0 / 0

SweetApple, посмотри ответы в обсуждении My Joomla Site Hacked with with Google redirect virus . Возможно у тебя тоже php инъекция. Как исправишь прочитай еще общие советы по защите джумлы . И проверь свой комп на вирусы.

...

Рейтинг:

0 / 0

26.07.2013, 12:00

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38345086

SweetApple

Гость

Програмёр, из Яндекса и Гугла Вы попали на нужный сайт? С разных компьютеров заходила - везде поисковая система перебрасывает на вредоносный сайт. Модифицированные файлы почистила от "лишнего" кода, но результата это не дало. Буду дальше искать...

...

Рейтинг:

0 / 0

26.07.2013, 13:06

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38345157

vkle

Участник

Откуда: Самара

Сообщения: 14 253

Рейтинг: 0 / 0

SweetApple,

С гугля попал на левый сайт. Собственно, потому и прикрыл адрес сайта, дабы не подхватил кто какую гадость.

SweetAppleМодифицированные файлы почистила от "лишнего" кодаВы уверены что нашли _все_ файлы? Определите приблизительную дату возникновения проблемы и ищите измененные в этот период файлы и смотрите что там не так. Задача эта не из простых. Либо, запросите у хостера резервную копию по состоянию до заражения. Очень часто бывает что получив доступ, в директорию сайта кладут какой-нить пхп-шелл отдельным файлом или в довесок к какому то существующему. Потому перед развертыванием из исправной резервной копии следует удалить все файлы. Или найти и просмотреть файлы, которые отсутствуют в резервной копии. Включая файлы яваскриптов. И картинок, каким бы странным это ни казалось.

Однако, это поможет только откатиться к состоянию исправного сайта. Дыры в коде останутся до тех пор, пока их не закроете или не перейдете на актуальную версию. Есть ли фиксы для этой неподдерживаемой версии - сказать затрудняюсь.

...

Рейтинг:

0 / 0

26.07.2013, 13:37

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38345171

Програмёр

Участник

Откуда: Москва

Сообщения: 2 987

Рейтинг: 0 / 0

SweetApple,

попадаю куда надо. особенность лишь та, что я сижу на линуксе (debian). Может в этом причина нормального перехода (если да, тогда скорее Вам надо клиентские скрипты сайта смотреть, а не серверные).

...

Рейтинг:

0 / 0

26.07.2013, 13:43

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38345179

vkle

Участник

Откуда: Самара

Сообщения: 14 253

Рейтинг: 0 / 0

Програмёр,

А что, клиентские скрипты (яваскрипт) являются до такой степени платформозависимыми?

...

Рейтинг:

0 / 0

26.07.2013, 13:47

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38345208

Програмёр

Участник

Откуда: Москва

Сообщения: 2 987

Рейтинг: 0 / 0

vkleПрограмёр,

А что, клиентские скрипты (яваскрипт) являются до такой степени платформозависимыми?

В принципе нет... Но в чём иначе может быть причина тогда, что у меня всё норм?

...

Рейтинг:

0 / 0

26.07.2013, 14:00

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38345251

deblogger

Участник

Сообщения: 829

Рейтинг: 0 / 0

Програмёр,

В окружении. Посморите консоль, там наверно этот "вирус" жалуется на отсутствие чего-то привычного его автору.

...

Рейтинг:

0 / 0

26.07.2013, 14:24

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38345256

Програмёр

Участник

Откуда: Москва

Сообщения: 2 987

Рейтинг: 0 / 0

debloggerПрограмёр,

В окружении. Посморите консоль, там наверно этот "вирус" жалуется на отсутствие чего-то привычного его автору.

Неа ... не жалуется.

...

Рейтинг:

0 / 0

26.07.2013, 14:26

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38345265

Програмёр

Участник

Откуда: Москва

Сообщения: 2 987

Рейтинг: 0 / 0

debloggerПрограмёр,

В окружении. Посморите консоль, там наверно этот "вирус" жалуется на отсутствие чего-то привычного его автору.

пробовал с телефона зайти (android устройство), также попадаю на требуемый сайт. Или я что-то не так делаю, или проблема автора реально связана именно с виндой. Уже даже интересно... Кто-нить попробуйте с телефона зайти :)

...

Рейтинг:

0 / 0

26.07.2013, 14:31

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38345348

vkle

Участник

Откуда: Самара

Сообщения: 14 253

Рейтинг: 0 / 0

ПрограмёрИли я что-то не так делаюУ Вас, случаем, не заблокирована отправка реферера?

Под спойлером обмен заголовками

С реферером

Код: php

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.

$ wget -d -O /dev/null --header="Referer:http://yandex.ru/yandsearch?text=veteran2.ru&lr=51" http://veteran2.ru/
Setting --output-document (outputdocument) to /dev/null
Setting --header (header) to Referer:http://yandex.ru/yandsearch?text=veteran2.ru&lr=51
DEBUG output created by Wget 1.14 on linux-gnu.

URI encoding = «UTF-8»
--2013-07-26 15:02:00--  http://veteran2.ru/
Распознаётся veteran2.ru (veteran2.ru)... 217.65.8.42
Caching veteran2.ru => 217.65.8.42
Подключение к veteran2.ru (veteran2.ru)|217.65.8.42|:80... соединение установлено.
Created socket 4.
Releasing 0x080b66a8 (new refcount 1).

---request begin---
GET / HTTP/1.1
User-Agent: Wget/1.14 (linux-gnu)
Accept: */*
Host: veteran2.ru
Connection: Keep-Alive
Referer: http://yandex.ru/yandsearch?text=veteran2.ru&lr=51

---request end---
HTTP-запрос отправлен. Ожидание ответа...
---response begin---
HTTP/1.1 302 Found
Date: Fri, 26 Jul 2013 11:00:48 GMT
Server: Apache
Location: http://tinyurl.com/c2td3xs
Content-Length: 0
Keep-Alive: timeout=4, max=100
Connection: Keep-Alive
Content-Type: text/html

---response end---

Без него

Код: php

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.

$ wget -d -O /dev/null  http://veteran2.ru/
Setting --output-document (outputdocument) to /dev/null
DEBUG output created by Wget 1.14 on linux-gnu.

URI encoding = «UTF-8»
--2013-07-26 15:04:10--  http://veteran2.ru/
Распознаётся veteran2.ru (veteran2.ru)... 217.65.8.42
Caching veteran2.ru => 217.65.8.42
Подключение к veteran2.ru (veteran2.ru)|217.65.8.42|:80... соединение установлено.
Created socket 4.
Releasing 0x080b65e0 (new refcount 1).

---request begin---
GET / HTTP/1.1
User-Agent: Wget/1.14 (linux-gnu)
Accept: */*
Host: veteran2.ru
Connection: Keep-Alive

---request end---
HTTP-запрос отправлен. Ожидание ответа...
---response begin---
HTTP/1.1 200 OK
Date: Fri, 26 Jul 2013 11:02:59 GMT
Server: Apache
Set-Cookie: ca0696b1c5491f029e248ceb37de0b74=h94mv96ghv3909e388cp6hvuu3; path=/
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
Expires: Mon, 1 Jan 2001 00:00:00 GMT
Last-Modified: Fri, 26 Jul 2013 11:02:59 GMT
Cache-Control: post-check=0, pre-check=0
Pragma: no-cache
Keep-Alive: timeout=4, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html; charset=utf-8

---response end---

...

Рейтинг:

0 / 0

26.07.2013, 15:06

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38345403

Програмёр

Участник

Откуда: Москва

Сообщения: 2 987

Рейтинг: 0 / 0

vkle,

Нет, у меня хром отправляет referer при переходе:
хромGET / HTTP/1.1
Host: veteran2.ru
Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.71 Safari/537.36
Referer: https://www.google.ru/
Accept-Encoding: gzip,deflate,sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: [идентификатор]
If-Modified-Since: Fri, 26 Jul 2013 11:22:40 GMT

Даже уже не знаю... Сейчас у себя попробую через wget страничку получить :)

...

Рейтинг:

0 / 0

26.07.2013, 15:29

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38345414

vkle

Участник

Откуда: Самара

Сообщения: 14 253

Рейтинг: 0 / 0

хромReferer: https://www.google.ru/ С таким реферером дрянь не работает

...

Рейтинг:

0 / 0

26.07.2013, 15:33

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38345422

Програмёр

Участник

Откуда: Москва

Сообщения: 2 987

Рейтинг: 0 / 0

Програмёрvkle,

Даже уже не знаю... Сейчас у себя попробую через wget страничку получить :)

Хм, а wget'ом получил то же что и у Вас (с редиректом) :) прикольно блин.

Вот что выдаёт один из инэтовских сервисов проверки заголовков запроса:

сервисНа этой странице представлены HTTP-заголовки полученные от вас.

Ваш IP: [мой ip]
Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate,sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Host: foxtools.ru
Referer: https://www.google.ru/
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.71 Safari/537.36

Так что referer точно отправляется. Другая причина должна быть...

...

Рейтинг:

0 / 0

26.07.2013, 15:36

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38345431

vkle

Участник

Откуда: Самара

Сообщения: 14 253

Рейтинг: 0 / 0

Програмёр,

А чего реферер у Вас такой короткий? Там же от гугля длиннючая строка должна быть. От яндекса покороче.

...

Рейтинг:

0 / 0

26.07.2013, 15:41

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38345449

Програмёр

Участник

Откуда: Москва

Сообщения: 2 987

Рейтинг: 0 / 0

vkleПрограмёр,

А чего реферер у Вас такой короткий? Там же от гугля длиннючая строка должна быть. От яндекса покороче.

Вы про это?
url в хром https://www.google.ru/#newwindow=1&sclient=psy-ab&q=veteran2.ru&oq=vetera&gs_l=serp.3.0.35i39j0l3.4338.7918.0.9189.13.10.3.0.0.0.316.1563.1j7j1j1.10.0....0.0..1c.1.20.psy-ab.o_uHom3ylUg&pbx=1&bav=on.2,or.r_qf.&fp=e1a0687bf4f59675&biw=1366&bih=387&bvm=pv.xjs.s.en_US.MpiVkF51mpA.O
Так там же https://www.google.ru/ и всё остальное это хэш, вот хром его и упускает видимо

...

Рейтинг:

0 / 0

26.07.2013, 15:46

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38345455

vkle

Участник

Откуда: Самара

Сообщения: 14 253

Рейтинг: 0 / 0

Хотя, у меня и с полным реферером от гугля не работает. Наверно, SweetApple вырезала этот кусок дряни :)
С реферером от яндекса по-прежнему редирект присутствует.

...

Рейтинг:

0 / 0

26.07.2013, 15:47

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38345461

Програмёр

Участник

Откуда: Москва

Сообщения: 2 987

Рейтинг: 0 / 0

при переходе с яндекса вот:
GET / HTTP/1.1
Host: veteran2.ru
Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.71 Safari/537.36
Referer: http://yandex.ru/yandsearch?lr=213&text=veteran2.ru
Accept-Encoding: gzip,deflate,sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: [id кукисов]
If-Modified-Since: Fri, 26 Jul 2013 11:45:22 GMT

У вируса скорее всего какая-то проверка на платформу стоит, другой причины не нахожу.

...

Рейтинг:

0 / 0

26.07.2013, 15:49

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38345466

vkle

Участник

Откуда: Самара

Сообщения: 14 253

Рейтинг: 0 / 0

ПрограмёрВы про это?
url в хром https://www.google.ru/#newwindow=1&sclient=psy-ab&q=veteran2.ru&oq=vetera&gs_l=serp.3.0.35i39j0l3.4338.7918.0.9189.13.10.3.0.0.0.316.1563.1j7j1j1.10.0....0.0..1c.1.20.psy-ab.o_uHom3ylUg&pbx=1&bav=on.2,or.r_qf.&fp=e1a0687bf4f59675&biw=1366&bih=387&bvm=pv.xjs.s.en_US.MpiVkF51mpA.O
Так там же https://www.google.ru/ и всё остальное это хэш, вот хром его и упускает видимоХм... Это хром так рисует. Мазила дает иной вид: FF https://www.google.com/search?q=sql.ru&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:ru:official&client=firefox-a

...

Рейтинг:

0 / 0

26.07.2013, 15:50

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38345486

vkle

Участник

Откуда: Самара

Сообщения: 14 253

Рейтинг: 0 / 0

Програмёр,

Ахаха, вот оно:

Ваш реферер от Яндекса

Код: php

Referer: http://yandex.ru/yandsearch?lr=213&text=veteran2.ru

Мой

Код: php

Referer:http://yandex.ru/yandsearch?text=veteran2.ru&lr=51

Обратите внимание, что параметры text и lr идут в разном порядке. Видимо, дрянь сию писал начинающий :-)

...

Рейтинг:

0 / 0

26.07.2013, 15:57

| Ответить | Цитировать | Написать

Сайт на CMS Joomla заразился странным вирусов

#38345562

Програмёр

Участник

Откуда: Москва

Сообщения: 2 987

Рейтинг: 0 / 0

vkleПрограмёр,

Ахаха, вот оно:

Ваш реферер от Яндекса

Код: php

Referer: http://yandex.ru/yandsearch?lr=213&text=veteran2.ru

Мой

Код: php

Referer:http://yandex.ru/yandsearch?text=veteran2.ru&lr=51

Обратите внимание, что параметры text и lr идут в разном порядке. Видимо, дрянь сию писал начинающий :-)

Хреновенький вирус однако . Это же какие дыры должны быть, что бы начинающий мог так легко в них попасть...

...

Рейтинг:

0 / 0

26.07.2013, 16:21

| Ответить | Цитировать | Написать

25 сообщений из 29, страница 1 из 2

все

Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / Сайт на CMS Joomla заразился странным вирусов

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=23&msg=38345461&tid=1463577]:	0ms
get settings:	6ms
get forum list:	9ms
check forum access:	2ms
check topic access:	2ms
track hit:	35ms
get topic data:	7ms
get forum data:	2ms
get page messages:	75ms
get tp. blocked users:	1ms
others:	238ms

total:	377ms