[Помогите] Взломали Joomla -вирус на сайте

Я востанавливаю сайт после заражения так.
Покупаю новый хостинг, заливаю цмс чистую той же версии и накатываю базу данных старого сайта и кружу картинки.

 

А я вылечил много сайтиков клиентов уже джумла вордпресс и все остальное что лежит рядом. Мой совет - не храните вы по 100 сайтов на одном хостинге за 1500 тыс в год. Вот попадает этот вирусик на один сайт от джумлы, и тут же все выше по папке прописывает htaccess - и кучу всего, врезультате чистить приходится все. Как - думаю все случаи по разному. Где то и руками приходится.

 

Да, но давайте учитывать, что для этого необходимо обладать хоть малейшими навыками системного администрирования
Либо искать ВДС, где администрирование включено в стоимость, обычно у серьезных хостеров предлагается доп опцией

 

У меня такое один раз бывало. Скачал весь сайт, проверил касперским и он нашел 2 вируса и один троян. После удаления опять закачал. Вроде сейчас спокойно.

 

У меня тоже была зараза на сайтах Joomla. Подхватил через ftp клиент (первый раз через Тотал, второй раз, что удивило, через ФайлЗиллу). Позаражало сайты (4 шт вроде), которые были в списке менеджера. Теперь пароли не храню в менеджерах)
Вирус прописывался двумя файлами в каждой папке Джумлы, заменял index.html. Пришлось выкачать сайт, и синхронизировать каталоги с бекапом. Вроде всю заразу таким образом выкосил.

 

Ещё когда просматривал свои сайты после взлома одного нашол зараз у ещё на нескольких (было несколько клонов одного сайта)
выходить что вредоносный файл был залит месяцев 5 назад а только сейчас проявилса.
Теперь проверял все сайты на наличия данного файлика так как не сразу вирус проявлялса.
И все сайты которые были подвержены такой атаке были на верссии до 1,5,24

 

И от чего тут защита?

 

например можно запретить віполнения скриптов в папке где он находится, или сделать блокировку для некоторых ip адресов или наобором разрешить только некоторым

 

Если перебрасывает на другой сайт

1. Копируем все файлы cms на комп.
2. Делаем backup БД и тоже её на комп в туже папку что cms файлы
3. Открываем total commander
4. Заходим в в папку где архив БД и самого сайта (п. 1,2)
5. Нажимаем alt+F7
6. Поле "Искать файлы" пустым, а вот в поле "С текстом" вписываем адрес сайта на который перебрасывает, нажимаем "начать поиск"
7. Находит список файлов. На кажом файле нажимаем F4 (править), через ctrl+F ищем адрес сайта на который перебрасывает (открывается через блокнот)
8. Удаляем ненужное.
9. Если редирект найден в файлах cms, просто заменяем файлы на сервере, которые были хакнуты.
10. Если в БД, то опять же таки убиваем всё ненужное и заменяем БД

 

у меня на одно сайте похожее было, оказалось редирект был прописан в файле htaccess
и самое главное не сразу заметил, они эти строки отодвинули в файле так что на экране небыло видно, не сразу додумываешся горизонтальной полосой прокрутки прокрутить

 

либо икать по ключевому слову <iframe>
а потом в том что найдёт перебрать и удалить то что вредоносное

 

У меня ломали джумлу 2.5 - при чем заражали именно сайт где был взлом, хотя рядом на том же хостинге лежали другие сайты - их не тронули, значит 100% автоматически, значит через уязвимость, обновил версию до 2.7 - и все норм