Гость
Войти | Профиль | Очистить
Целевая тема:
Создать новую тему:
Автор:
Действия ...
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / Сайт на CMS Joomla заразился странным вирусов / 25 сообщений из 29, страница 1 из 2
  1  все
26.07.2013, 11:17
    #38344833
SweetApple
SweetApple
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
Добрый день, форумчане!

Есть сайт, созданный на CMS Joomla 1.5: http://ve***n2.ru/
С ним есть проблема... Если набрать вручную в адресной строке браузера veteran2.ru, то он открывается без проблем, но! Если ввести в Яндексе или в Гугле запрос "ve***n2.ru" и потом перейти по ссылке из поисковой системы, то происходит переадресация на вредоносный сайт, который просит либо отправить смс, либо сулит выигрыш...
Всю голову сломала, не могу понять, в какую сторону "копать", чтобы найти и излечить этот странный вирус. Может быть, у кого-то есть хотя бы примерные идеи?
На сайте нет файла htaccess, который, теоретически, мог бы осуществлять эту переадресацию. Подозрительные файлы и "лишний" код из js-скриптов удалены.

Модератор: URL откорректирован
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 11:21
    #38344841
Програмёр
Програмёр
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
SweetApple,

или Вы решили разрекламировать свой сайт, или Вы что-то перепутали. Ввёл указанный запрос в яндекс, клацнул на первый результат (который ведёт на ve***n2.ru) и попал куда надо :)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 11:23
    #38344845
Electric200
Electric200
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
Joomlaforum
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 11:29
    #38344863
vkle
vkle
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
SweetAppleJoomla 1.5Пора бы обновиться. Давно пора.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 11:33
    #38344873
vkle
vkle
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
SweetAppleв какую сторону "копать"Ищите файлы по дате изменения.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 12:00
    #38344932
bazile
bazile
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
SweetApple, посмотри ответы в обсуждении My Joomla Site Hacked with with Google redirect virus . Возможно у тебя тоже php инъекция. Как исправишь прочитай еще общие советы по защите джумлы . И проверь свой комп на вирусы.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 13:06
    #38345086
SweetApple
SweetApple
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
Програмёр, из Яндекса и Гугла Вы попали на нужный сайт? С разных компьютеров заходила - везде поисковая система перебрасывает на вредоносный сайт. Модифицированные файлы почистила от "лишнего" кода, но результата это не дало. Буду дальше искать...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 13:37
    #38345157
vkle
vkle
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
SweetApple,

С гугля попал на левый сайт. Собственно, потому и прикрыл адрес сайта, дабы не подхватил кто какую гадость.

SweetAppleМодифицированные файлы почистила от "лишнего" кодаВы уверены что нашли _все_ файлы? Определите приблизительную дату возникновения проблемы и ищите измененные в этот период файлы и смотрите что там не так. Задача эта не из простых. Либо, запросите у хостера резервную копию по состоянию до заражения. Очень часто бывает что получив доступ, в директорию сайта кладут какой-нить пхп-шелл отдельным файлом или в довесок к какому то существующему. Потому перед развертыванием из исправной резервной копии следует удалить все файлы. Или найти и просмотреть файлы, которые отсутствуют в резервной копии. Включая файлы яваскриптов. И картинок, каким бы странным это ни казалось.

Однако, это поможет только откатиться к состоянию исправного сайта. Дыры в коде останутся до тех пор, пока их не закроете или не перейдете на актуальную версию. Есть ли фиксы для этой неподдерживаемой версии - сказать затрудняюсь.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 13:43
    #38345171
Програмёр
Програмёр
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
SweetApple,

попадаю куда надо. особенность лишь та, что я сижу на линуксе (debian). Может в этом причина нормального перехода (если да, тогда скорее Вам надо клиентские скрипты сайта смотреть, а не серверные).
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 13:47
    #38345179
vkle
vkle
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
Програмёр,

А что, клиентские скрипты (яваскрипт) являются до такой степени платформозависимыми?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 14:00
    #38345208
Програмёр
Програмёр
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
vkleПрограмёр,

А что, клиентские скрипты (яваскрипт) являются до такой степени платформозависимыми?

В принципе нет... Но в чём иначе может быть причина тогда, что у меня всё норм?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 14:24
    #38345251
deblogger
deblogger
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
Програмёр,

В окружении. Посморите консоль, там наверно этот "вирус" жалуется на отсутствие чего-то привычного его автору.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 14:26
    #38345256
Програмёр
Програмёр
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
debloggerПрограмёр,

В окружении. Посморите консоль, там наверно этот "вирус" жалуется на отсутствие чего-то привычного его автору.

Неа ... не жалуется.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 14:31
    #38345265
Програмёр
Програмёр
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
debloggerПрограмёр,

В окружении. Посморите консоль, там наверно этот "вирус" жалуется на отсутствие чего-то привычного его автору.

пробовал с телефона зайти (android устройство), также попадаю на требуемый сайт. Или я что-то не так делаю, или проблема автора реально связана именно с виндой. Уже даже интересно... Кто-нить попробуйте с телефона зайти :)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 15:06
    #38345348
vkle
vkle
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
ПрограмёрИли я что-то не так делаюУ Вас, случаем, не заблокирована отправка реферера?

Под спойлером обмен заголовками

С реферером
Код: php
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
$ wget -d -O /dev/null --header="Referer:http://yandex.ru/yandsearch?text=veteran2.ru&lr=51" http://veteran2.ru/
Setting --output-document (outputdocument) to /dev/null
Setting --header (header) to Referer:http://yandex.ru/yandsearch?text=veteran2.ru&lr=51
DEBUG output created by Wget 1.14 on linux-gnu.

URI encoding = «UTF-8»
--2013-07-26 15:02:00--  http://veteran2.ru/
Распознаётся veteran2.ru (veteran2.ru)... 217.65.8.42
Caching veteran2.ru => 217.65.8.42
Подключение к veteran2.ru (veteran2.ru)|217.65.8.42|:80... соединение установлено.
Created socket 4.
Releasing 0x080b66a8 (new refcount 1).

---request begin---
GET / HTTP/1.1
User-Agent: Wget/1.14 (linux-gnu)
Accept: */*
Host: veteran2.ru
Connection: Keep-Alive
Referer: http://yandex.ru/yandsearch?text=veteran2.ru&lr=51

---request end---
HTTP-запрос отправлен. Ожидание ответа...
---response begin---
HTTP/1.1 302 Found
Date: Fri, 26 Jul 2013 11:00:48 GMT
Server: Apache
Location: http://tinyurl.com/c2td3xs
Content-Length: 0
Keep-Alive: timeout=4, max=100
Connection: Keep-Alive
Content-Type: text/html

---response end---



Без него
Код: php
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
$ wget -d -O /dev/null  http://veteran2.ru/
Setting --output-document (outputdocument) to /dev/null
DEBUG output created by Wget 1.14 on linux-gnu.

URI encoding = «UTF-8»
--2013-07-26 15:04:10--  http://veteran2.ru/
Распознаётся veteran2.ru (veteran2.ru)... 217.65.8.42
Caching veteran2.ru => 217.65.8.42
Подключение к veteran2.ru (veteran2.ru)|217.65.8.42|:80... соединение установлено.
Created socket 4.
Releasing 0x080b65e0 (new refcount 1).

---request begin---
GET / HTTP/1.1
User-Agent: Wget/1.14 (linux-gnu)
Accept: */*
Host: veteran2.ru
Connection: Keep-Alive

---request end---
HTTP-запрос отправлен. Ожидание ответа...
---response begin---
HTTP/1.1 200 OK
Date: Fri, 26 Jul 2013 11:02:59 GMT
Server: Apache
Set-Cookie: ca0696b1c5491f029e248ceb37de0b74=h94mv96ghv3909e388cp6hvuu3; path=/
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
Expires: Mon, 1 Jan 2001 00:00:00 GMT
Last-Modified: Fri, 26 Jul 2013 11:02:59 GMT
Cache-Control: post-check=0, pre-check=0
Pragma: no-cache
Keep-Alive: timeout=4, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html; charset=utf-8

---response end---

...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 15:29
    #38345403
Програмёр
Програмёр
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
vkle,

Нет, у меня хром отправляет referer при переходе:
хромGET / HTTP/1.1
Host: veteran2.ru
Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.71 Safari/537.36
Referer: https://www.google.ru/
Accept-Encoding: gzip,deflate,sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: [идентификатор]
If-Modified-Since: Fri, 26 Jul 2013 11:22:40 GMT


Даже уже не знаю... Сейчас у себя попробую через wget страничку получить :)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 15:33
    #38345414
vkle
vkle
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
хромReferer: https://www.google.ru/ С таким реферером дрянь не работает
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 15:36
    #38345422
Програмёр
Програмёр
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
Програмёрvkle,

Даже уже не знаю... Сейчас у себя попробую через wget страничку получить :)

Хм, а wget'ом получил то же что и у Вас (с редиректом) :) прикольно блин.

Вот что выдаёт один из инэтовских сервисов проверки заголовков запроса:

сервисНа этой странице представлены HTTP-заголовки полученные от вас.

Ваш IP: [мой ip]
Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip,deflate,sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Host: foxtools.ru
Referer: https://www.google.ru/
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.71 Safari/537.36


Так что referer точно отправляется. Другая причина должна быть...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 15:41
    #38345431
vkle
vkle
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
Програмёр,

А чего реферер у Вас такой короткий? Там же от гугля длиннючая строка должна быть. От яндекса покороче.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 15:46
    #38345449
Програмёр
Програмёр
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
vkleПрограмёр,

А чего реферер у Вас такой короткий? Там же от гугля длиннючая строка должна быть. От яндекса покороче.

Вы про это?
url в хром https://www.google.ru/#newwindow=1&sclient=psy-ab&q=veteran2.ru&oq=vetera&gs_l=serp.3.0.35i39j0l3.4338.7918.0.9189.13.10.3.0.0.0.316.1563.1j7j1j1.10.0....0.0..1c.1.20.psy-ab.o_uHom3ylUg&pbx=1&bav=on.2,or.r_qf.&fp=e1a0687bf4f59675&biw=1366&bih=387&bvm=pv.xjs.s.en_US.MpiVkF51mpA.O
Так там же https://www.google.ru/ и всё остальное это хэш, вот хром его и упускает видимо
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 15:47
    #38345455
vkle
vkle
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
Хотя, у меня и с полным реферером от гугля не работает. Наверно, SweetApple вырезала этот кусок дряни :)
С реферером от яндекса по-прежнему редирект присутствует.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 15:49
    #38345461
Програмёр
Програмёр
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
при переходе с яндекса вот:
GET / HTTP/1.1
Host: veteran2.ru
Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.71 Safari/537.36
Referer: http://yandex.ru/yandsearch?lr=213&text=veteran2.ru
Accept-Encoding: gzip,deflate,sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: [id кукисов]
If-Modified-Since: Fri, 26 Jul 2013 11:45:22 GMT

У вируса скорее всего какая-то проверка на платформу стоит, другой причины не нахожу.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 15:50
    #38345466
vkle
vkle
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
ПрограмёрВы про это?
url в хром https://www.google.ru/#newwindow=1&sclient=psy-ab&q=veteran2.ru&oq=vetera&gs_l=serp.3.0.35i39j0l3.4338.7918.0.9189.13.10.3.0.0.0.316.1563.1j7j1j1.10.0....0.0..1c.1.20.psy-ab.o_uHom3ylUg&pbx=1&bav=on.2,or.r_qf.&fp=e1a0687bf4f59675&biw=1366&bih=387&bvm=pv.xjs.s.en_US.MpiVkF51mpA.O
Так там же https://www.google.ru/ и всё остальное это хэш, вот хром его и упускает видимоХм... Это хром так рисует. Мазила дает иной вид: FF https://www.google.com/search?q=sql.ru&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:ru:official&client=firefox-a
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 15:57
    #38345486
vkle
vkle
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
Програмёр,

Ахаха, вот оно:

Ваш реферер от Яндекса
Код: php
1.
Referer: http://yandex.ru/yandsearch?lr=213&text=veteran2.ru



Мой
Код: php
1.
Referer:http://yandex.ru/yandsearch?text=veteran2.ru&lr=51



Обратите внимание, что параметры text и lr идут в разном порядке. Видимо, дрянь сию писал начинающий :-)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
26.07.2013, 16:21
    #38345562
Програмёр
Програмёр
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сайт на CMS Joomla заразился странным вирусов
vkleПрограмёр,

Ахаха, вот оно:

Ваш реферер от Яндекса
Код: php
1.
Referer: http://yandex.ru/yandsearch?lr=213&text=veteran2.ru



Мой
Код: php
1.
Referer:http://yandex.ru/yandsearch?text=veteran2.ru&lr=51



Обратите внимание, что параметры text и lr идут в разном порядке. Видимо, дрянь сию писал начинающий :-)

Хреновенький вирус однако . Это же какие дыры должны быть, что бы начинающий мог так легко в них попасть...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
  1  все
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / Сайт на CMS Joomla заразился странным вирусов / 25 сообщений из 29, страница 1 из 2
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]