wdf 0 Posted January 16, 2015 Report Share Posted January 16, 2015 CMS Joomla GET /79h/da11.php HTTP/1.0" 200 1403 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" GET /79h/ff93.php HTTP/1.0" 200 1403 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" GET /5sv/js964.php HTTP/1.0" 200 1403 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" GET /79h/ik709.php HTTP/1.0" 200 1403 "-" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)" Автоматически генерятся страницы! кто сталкивался с подобным поведением вируса!? где искать дыру! при условии что jce и другие редакторы кроме codemirror удалил! все text=preg_reglace , s20strt... и прочую чушь уже вычистил! не могу найти шелл! Link to post Share on other sites
wdf 0 Posted January 16, 2015 Author Report Share Posted January 16, 2015 173.224.222.76 - - [16/Jan/2015:12:18:10 +0300] "GET / HTTP/1.0" 200 75086 "http://www.domain2008.com/" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)" Link to post Share on other sites
PRammer 11 Posted January 16, 2015 Report Share Posted January 16, 2015 Какая версия Joomla? Скиньте ссылку на сайт Link to post Share on other sites
vertas52 143 Posted January 16, 2015 Report Share Posted January 16, 2015 ошибся Link to post Share on other sites
Administrators DevilStar 1179 Posted January 16, 2015 Administrators Report Share Posted January 16, 2015 http://www.revisium.com/ai/ поможет найти заразу Link to post Share on other sites
wdf 0 Posted January 16, 2015 Author Report Share Posted January 16, 2015 http://ramlan.ru ссылка на сайт! Joomla 3.3 в выдаче гугла можно посмотреть https://www.google.ru/?gfe_rd=cr&ei=XeS4VIqKB52DuAGJuYHADw&gws_rd=ssl#newwindow=1&q=site:ramlan.ru что эти страницы индекситуются и т.д... в общем беда! Могу выслать лог Access POST запросы все почистил.... ссылается только на administator/index.php, его заменил на оригинальный! Link to post Share on other sites
wdf 0 Posted January 16, 2015 Author Report Share Posted January 16, 2015 Пробовал лечить айболитом.... скачал на виртуальную машину... но скан до конца не доходит... схлопывается на 70% и никакого анализа не выдает!(( Link to post Share on other sites
PRammer 11 Posted January 16, 2015 Report Share Posted January 16, 2015 http://ramlan.ru ссылка на сайт! Joomla 3.3 в выдаче гугла можно посмотреть https://www.google.ru/?gfe_rd=cr&ei=XeS4VIqKB52DuAGJuYHADw&gws_rd=ssl#newwindow=1&q=site:ramlan.ru что эти страницы индекситуются и т.д... в общем беда! Могу выслать лог Access POST запросы все почистил.... ссылается только на administator/index.php, его заменил на оригинальный! 1. пробуй прогнать сайте Kaspersky 2. Ты скачивал QuickStart или только шаблон? - если только шаблон, то лучше копать ручками в каждом файле шаблона. Обычно это в модулях сидит, но в каждой ситуации может быть совсем на оборот! 3. Если сайт на хостинге, то закажи у них проверку твоего сайта на вирусную активность 4. Пробуй обновить CMS Joomla до последней актуальной версии. Вирус может сидеть в файлах ядра система и после обновления перезапишутся на чистые, без вредоносного кода. (Была такая проблема в крупном ИМ - помогло) 5. Попробуй поставить RSFirewall - там есть система проверки файлов движка и он выделяет те, которые модифицированы. 6. Искать альтернативное ПО и утилиты, позволяющие более детально просканировать сайт на вирусы и найти вредоносный код. wdf 1 Link to post Share on other sites
wdf 0 Posted January 16, 2015 Author Report Share Posted January 16, 2015 Спасибо! буду копать дальше! я что!... а вдруг из сайтостроителей кто сталкивался с этим вирусом... и знает шелл!! печально что один такой! простое гугление дает shell nah но найти его!!! это ппц! Link to post Share on other sites
wdf 0 Posted January 16, 2015 Author Report Share Posted January 16, 2015 Скачивал quickstart! и его же переделывал! Link to post Share on other sites
Модератор files 2844 Posted January 16, 2015 Модератор Report Share Posted January 16, 2015 Шелл сам по себе не генерирует дорвеев! Также ищите троянские коне не только в файловой системе, но и в БД. Также учитывайте, что это может быть инклуд с удаленного сайта и вредоносный код может ограничиваться 1 строчкой кода... Которая может быть не только в php, но и внутри картинки. Не справитесь, пишите в ЛС. Что-либо конкретно советовать в данном случае - весьма сложно. Это как читать газету в темноте. wdf 1 Link to post Share on other sites
wdf 0 Posted January 16, 2015 Author Report Share Posted January 16, 2015 Да..да..да! кстати... по поводу картинок! есть POST запросы к сайту примерно такого содержания /шаблон/image/картинка.png - но по факту таких картинок у меня нет!!!! причем это даже не одна... а пост запросы к нескольким png идут... которые я не могу обнаружить на своем сайте!!!!! если сталкивались с подобным... куда копать!? на моей практике это первый случай.... Link to post Share on other sites
anttuer 0 Posted February 26, 2015 Report Share Posted February 26, 2015 Да..да..да! кстати... по поводу картинок! есть POST запросы к сайту примерно такого содержания /шаблон/image/картинка.png - но по факту таких картинок у меня нет!!!! причем это даже не одна... а пост запросы к нескольким png идут... которые я не могу обнаружить на своем сайте!!!!! если сталкивались с подобным... куда копать!? на моей практике это первый случай.... У меня как-то такой PNG положил интернет-магазин, а выяснил так: 1) Делаешь бекап всего сайта в архив на хостинге (петерхос так делает) 2) Пробуешь скачать архив, аваст при сканировании архива начинает кричать о зараженном файле, показывает какой именно файл 3) Идешь в файлы сайта через FTP и сносишь этот вредоносный файл, интернет-магаз у меня моментально ожил Хотя еще был тяжелый случай заражения кучи php-файлов на joomla 1.5, ч тогда руками удалял куски кода из файлов и всякие левые файлы целиком удалял. Link to post Share on other sites
Recommended Posts
Please sign in to comment
You will be able to leave a comment after signing in
Sign In Now