odtworzenia witryny dokonywałbym z nowych czystych plików instalacyjnych, a nie z kopii. To, że 26 stycznia było 0 zagrożeń, nie znaczy, że witryna nie została przygotowana wcześniej do zniszczenia.
Nie wiem jak to zrobic? (Mogłbyś w kilku zdaniach przybliżyc temat aby mnie choc troszke naprowadzić)?
Dzisiaj czyszcze swoj sprzęt na rozne sposoby (Kaspersky, combofix i inne), robie nowa baze i zmieniam wszystkie hasla (baza, uzytkownik, ftp - kazde inne). Obraz mam juz na serwerze.
Po wyczyszczeniu wszystkiego na serwerze, wgrywasz "swieże" pliki joomla i dodatków sciagnięte z "wiarygodnych" stron.
Pozdrawiam Krzysiek ...:-)
Dr. WEb znalazł jeszcze pare robaków ktore nie znalazł kaspersky
Witryna przywrocona z kopii sprzed wirusów (pozostaje uzupełnic braki) - na razie stabilna i bez komunikatów - aktualizuje wszystkie moduły i komponenty bo nie wszystkie wyskakują w aktualizacjach że są nowe.
Sytuacja wydaje sie opanowana:
1. pliki php niezmienione - szkodliwy kod pojawił sie tylko w plikach js - raptem "tylko" 1200 plikow
2. baza była czysta
4.lokalne odtworzenie bardzo mi pomogło - przede wszystkim czasowo - dziekuję za pomysł - wiele sie nauczyłem
5. nie było kont obcych - przedrostki zostały zmienione
6. wszystkie hasła zmienione dwa razy na baaaardzo trudne
7. tak tez zrobilem - odtwarzajac kopie sprzed zarazenia - pomogł Xaamp
8. tu bez zmian - pliki php były nietknięte przez szkodliwy kod
Uwagi - przystepując do odtwarzania witryny nalezy zaczac od oczyszczenia komputera - kaspersky znalazł kilka smieci i miało byc czysto - dzieki podpowiedzi sprawdzilem obydwa niby oczyszczone komputery programem dr.web - niestety znalazł to co nie znalazł kaspersky - zatem tu chyba była przyczyna tego ze przy probie odtworzenia witryny z czystej kopii akeeba znow witryna byla po kilku godzinach zainfekowana - wirus siedzial w profilu przeglądarki ktorej uzywałem do obsługi witryny - firefox w plikach js wiec wydaje mi sie ze nawet przy zmianie hasel z zarażonej przeglądarki szkodliwy kod przenosił sie znowu.
2 dni czyszczenia na rozne sposoby i wydaje sie byc ok choc czas pokaze
Dziekuje wszystkim za pomoc - zwłaszcza zwiastunowi
Szanowni koledzy - znów mam problem z ta witryną. Uczniowie korzystający z programu Avast poinformowali mnie że przy próbie wejścia wyskakuje im alert ze strona jest zainfekowana.
Mój domowy Kaspersky przy wpisaniu adresu nic nie znalazł.
Przeskanowałem komputer w pracy i w domu - są czyste od wirusów typu malware.
Podobna sytuacja jak poprzednio - administruje dwiema szkolnymi bardzo podobnymi stronami na joomla 2.5 (w tym praktycznie te same moduły - jedynie zarazona strona ma moduł facebook). Loguję sie w tym samym czasie tymi samymi programami. Jedna strona jest czysta a druga nie.
Podaje linki z raportami:
1. Strona czysta http://sitecheck.sucuri.net/results/www.mzs6gorlice.pl
2. Strona z nimi wirusem http://sitecheck.sucuri.net/results/www.zsplibusza.pl
Inna natomiast strona ze skanerami podaje że zarażona strona jest ok https://www.virustotal.com/pl/url/81...7d2d/analysis/
Ściągnąłem całą zawartość on-line przez ftp na dysk i zeskanowałem:
Wyniki skanowania:
1 - kasperky - nic
2- Malwarebytes Anti-Malware - nic
3 - adwcleaner - nic
4 - dr web - nic
Być może warto wspomnieć że na zarażonej witrynie kilka dni temu robiłem aktualizacje do najnowszej wersji joomli a na tej dobrej jest przedostatnia wersja.
Podany przez skaner on-line kod wirusa:
Known javascript malware.
Details: http://sucuri.net/malware/entry/MW:SPAM:SEO
if(t.length==2){z+=String.fromCharCode(parseInt(t) +25-l+a); t='';}}x[l-a]=z;}document.write('<'+x[0]+' '+x[4]+'>.'+x[2]+'{'+x[1]+'}</'+x[0]+'>');}dnnViewState();</script><p class="dnn">Template by <a href="http://pokerfreaks.net/888-poker/" title="888 poker bonus code" target="_blank">888 Poker Bonus Code</a></p>
sugerowałby że chodzi o templatkę strony z tym że zainstalowane mam 3 templatki - 1 z zaplecza - oryginalną bluestork oraz dwie od frontu Gameon-fjt oraz Myhome-tg.
Pomóżcie mi gdzie szukac przyczyny albo jak sie tego pozbyć - zwiastun może tym razem znów cos wywęszysz?
Posprzątać raz jeszcze. Odtworzyć witrynę. Wyrzucić niepotrzebny szablon (po co Ci dwa?), sprawdzić dokładnie kod używanego szablonu. Po odtworzeniu witryny: zmienić serwer, zabezpieczyć witryny korzystajac z programów AkeebaTools lub RSFirewall
ok - dzięki - a w jakich plikach siedzi ten kod? czyzby w głównym index.php?
http://sitecheck.sucuri.net/results/www.zsplibusza.pl