CMS Joomla. Вирус создает файлы .ico

Форум CMS Joomla
Вирус создает файлы .ico
denxio
2 года
0

Cайт на Joomla! 3

1. Удаляются файлы:

\tmp\index.html
\layouts\index.html
\layouts\joomla\index.html
\cli\index.html
\bin\index.html

А вместо них создаются

\tmp\index.html.bak.bak
\tmp\index.php

\ofnnt\index.php

\layouts\index.php
\layouts\index.html.bak.bak

\layouts\joomla\index.php
\layouts\joomla\index.html.bak.bak

\cli\index.php
\cli\index.html.bak.bak

\bin\index.php
\bin\index.html.bak.bak

\components\com_newsfeeds\models\favicon_9d92f8.ico - этот файл появляется с разными именами:
с таким форматом favicon_******.ico


\index.php
\includes\framework.php
\libraries\import.php

Кто-то сталкивался с таким вирусом? Удаляю зараженные файлы, а они снова появляются :(

arygroup
2 года
0

Їх створює якийсь скрипт-вірус, який не видаляється або через якусь дірку відновлюється після видалення.

Тут треба:
- оновити джумлу і розширення, щоби закрити можливі дірки
- вичитисти всі завірусовані файли, можна скористатись цапською поробкою ai-bolit - допоможе знайти віруси, хоча інколи сигналізує про здорові файли. Тут ручний перегляд треба підозрілих файлів. Або порівнювати якимось інструменом файли останніх весій джумли і розширень з реальними на сервері. Себто поставити на локалхості чисту джумлу з тими ж самими розширеннями і порівнювати. Бо вірус може лежати у файлі типу components/contacts/contact.php - тобто не затиратись при оновленні
- змінити паролі на ФТП і саму джумлу

Не складна робота, якщо знаєш. Але трошки марудна.

toxi
2 года
0

Кто-то сталкивался с таким вирусом? Удаляю зараженные файлы, а они снова появляются :( © denxio

Как уже написали в коментарии, вычистить можно, но немного муторно будет. Еще как вариант, запустить на сканирование сайт через virusdie.ru и удалить подозрительные файлы.
Так же рекомендую на время проведения работ отключить сайт и оставить доступ только для себя, чтобы никто не смог зайти на сайт или подключиться к нему через вредносные файлы. Потому что Вы можете удалять одни файлы, то могут появляться новые и так будет продолжаться долго. Еще один момент в том, что есть скрипт-шелл (файловый менеджер) без пароля с открытым доступом, через который могут заливаться вирусы не зависимо от того, что Вы удалили все зааженные файлы. Обычно такой файловый менеджер не детектися антивирусом и потому может быть не замечен.

denxio
2 года
0

Спасибо за ответы. Буду разбираться.