Програмёрforward12спасибо всем за мысли и советы. Но я так понимаю что у злоумышленников универсальный инструмент по внедрению файлов. Сегодня нашел вредоносный файл в папке совсем другого компонента.
components/com_ninjarsssyndicator/s31e09.php(255) : runtime-created function(1) : eval()'d code:1]
Вот этот вот код часто встречался в других файлах. Только он раньше использовался дл редиректов.
Начало всегда одинаковое eval(base64 ну а дальше уже шифрованное тело скрипта.
Я скрипт прибыил и закрыл доступ к этой папке. Дата изменения файла тоже февраль. Не верю что два компонента ставились в один день и оба компонента с вирусами.

Да нету никакого универсального инструмента ). Просто дырок много... и пока все не будут закрыты такая хрень будет происходить. Если злоумышленник не ломает твой сайт вручную (а я уж сомневаюсь, что он так намеренно ломает именно этот сайт без какого либо смысла (получения прибыли)), то это делает некий автоматический инструмент через какую-то из известных дырок. У нас на сайте одном такая же хрень была (он не на joomla), так админ просто закрыл eval, а я когда пришёл и увидел, конечно не одобрил решения, но пока времени нету туда влезть, я просто забил и работаю дальше.

А этот злобный код весит и ничего сделать не может :) Сидит, бедный, в заключении и полном одиночестве.

я думаю дырок не много а одна. через которую все ходят и заливают файлы. то что файлов несколько ..это легко мог один человек залить, имено в расчёте на то, что при трабле, админ найдет один файл, удалит и успокоиться, другие выискивать не будет.

у вас там случаем элфаиндер не используеться??? распространёный способ заливать свои файлы...лей сколько хочешь.

netwindalex564657498765453, серьезно. вы не задумывались над тем, что при архивировании дата модификации почему-то записывается в файл и потом восстанавливается при разархивировании ?

я бы прокоментировал, да трудно понять мысль и к какому именно посту моему она относиться.

==
могу лишь сказать, что точно помещая файл в архив,

МАНЫ

ну тоесть это не дань, а лишь действие по умолчанию. при толкании таром в архив, хочешь вкачестве mtime берёшь из файла, хочешь текущую

при разорхивировании, есть опция -m(--touch) - понятно что она делает :) - касаеться разархивированых файлов, и эта датавремя станет временем извлечения из архива.

--у тебя походу почти верное отношение к политике партии вплане atime,mtime,ctime
это не тоже что стикибит у файлов. по сути у этих характеристик файлов, чисто прикладное значение. тоесть логика ядра ОС не завязана на эти вещи. и когда они автоматом обновляються. у этих величин прикладное значение. по умолчанию всё настроенно так, чтобы это было время последнего доступа, время актуальности данных, и время последних действий с "системным обьектом" файл.(ctime) - то что относиться не к данным файла, а к самому обьекту в файловой системе.

netwindalex564657498765453, я просто пытался узнать о топикстартера какую именно из характеристик файла он использует для оценки времени модификации злоумышленником.
а в качестве примера приводил архиватор, который прекрасно восстанавливает mtime. это же самое может сделать и злоумышленник

:) мог, но зачем!? раз залил архив, значит и мог скрипт лить, раз смог разархивировать - значит мог и тачем установить любое время модификации.

а мог и архивом...

а теперь всёх удевлю.

в php.ini директива
disable_functions
запрещает использование пхп функций.

А теперь затаите дыхание - eval, это не функция, о конструкция языка!

netwindforward12, ну значит теперь уже посмотри на значение disable_function и опубликует. там же никаких секретов нет.
Даже если конкретно этому злоумышленнику надоест, придет и другой.

Вообще, вы все делает неправильно. боретесь со следствием, а не с причиной.
Вам бы стоило установить joomla с нуля, перенести дизайн и содержимое, минимизировать число расширений, не использовать ворованные шаблоны. И регулярно обновлять все эти компоненты.

Но это слишком трудозатратно. Поэтому весь веб и в говне у нас.

тада, я и писал уже автору, что ерундой занимаеться... видать упорный тип.


АВТОРУ

1код шифруеться бейс64 или подобное чтото, чтобы он был не читаем, чтобы профан заглянул в файл и закрыл не утруждуя себя вниканием в суть дела. если он не будет зашифрован, раз
вы ищите вручную, то на вашем сайте нету автомтического обнаружения лишнего кода.

поэтому запретом скрывать код, бейс64, он может его как датафайл сохранить рядом и грузить...и другие - вы увеличиваете защиту аж на 0.000000000000000000%

2.запретом прегриплейс, это фактически тоже что и 1. чтоб заглянувший в код не понял
что он делает, не зная про модификатор е, подумал что какаято подмена текста в тексте.

итого, вы мучали форумчан два дня, а продвижения в тематике топика - защита сайта,
результат нулевой.

правда грубая сила с правами, это лучше чем ничего.

forward12netwindforward12, ну значит теперь уже посмотри на значение disable_function и опубликует. там же никаких секретов нет.
Даже если конкретно этому злоумышленнику надоест, придет и другой.

Вообще, вы все делает неправильно. боретесь со следствием, а не с причиной.
Вам бы стоило установить joomla с нуля, перенести дизайн и содержимое, минимизировать число расширений, не использовать ворованные шаблоны. И регулярно обновлять все эти компоненты.

Но это слишком трудозатратно. Поэтому весь веб и в говне у нас.
сайт писал не я. Я там только мелкие правки вносил. И я не его владелец. Связи с владельцем у меня не будет еще дней 10. Смтп пока отключен так что спамма нет.
Проанализировал логи сервера. Теперь я знаю IP злоумышленника (если это не ботнет).
Злоумышленник живет в одном городе со мной.
Я согласен с вами что надо бы джумлу всю перепотрошить. Но я без согласия владельца это делать не могу. В идеале ее уберем вообще, и все будет на самодельных скриптах + чистый хтмл.

ты по логам посмотрел?? каким?
раз живёт с тобой в одном городе, вполне окажеться при дальнейшем изыскании, что ты же и есть....(всмысле либо залил файлы с нужными вместе взяв откудато, либо логи попутал, и не те логи за основу взял.) - ибо злоумышленики кидающие подобный код, они из какого нибудь занзибара, тайваня, китая... (прокся анонимная)

forward12alex564657498765453пропущено...


ты по логам посмотрел?? каким?
раз живёт с тобой в одном городе, вполне окажеться при дальнейшем изыскании, что ты же и есть....(всмысле либо залил файлы с нужными вместе взяв откудато, либо логи попутал, и не те логи за основу взял.) - ибо злоумышленики кидающие подобный код, они из какого нибудь занзибара, тайваня, китая... (прокся анонимная)
я смотрел по логам сервера аппач, по логу access. Так вот там пост запрос на вредоносный скрипт, и в параметрах отправка мейла. Ну как я мог такое сделать? Как я мог спутать сам с собой?

или страница сайта просматриваемая , аджаксом сделала этот запрос...притом не обязательно твоего зайста.