IMHO.WS - Как найти в файлах вирус spywarepc.info

IMHO.WS (http://www.imho.ws/index.php)

- Веб-программирование (http://www.imho.ws/forumdisplay.php?f=29)

- - Как найти в файлах вирус spywarepc.info (http://www.imho.ws/showthread.php?t=141423)

Как найти в файлах вирус spywarepc.info

Подскажите пожалуйста, как найти и удалить в файлах движка Joomla ссылку http://spywarepc.info/0/go.php?sid=2

Нахожу свой сайт через поисковик, нажимаю на ссылку, и открывается совсем другая ссылка!!! Вот сайт www.trep.com.ua

Вот его находит в поисковике:
http://yandex.ua/yandsearch?text=trep.com.ua&lr=143&ncrnd=1418

Потом выдает ошибку:
В адресной строке совсем другая ссылка: http://spywarepc.info/0/go.php?sid=2

И текст:
Ошибка!
Невозможно найти удалённый сервер

Вы попытались получить доступ к адресу http://clck.yandex.ru/redir/AiuY0DBWFJ4ePaEse6rgeAjgs2pI3DW99KUdgowt9XvqxGyo_rnZJpNjfFDg3rinAOILsx 9Z_6HLRdMFAG871THz9Mu3D0080rN0MSYRWX2T_GRbZliyDb7MKvB41jkz7k4m_7PRCPQ? data=UlNrNmk5WktYejR0eWJFYk1LdmtxdE8xSUdLak1IS0VoSV84YlVpSktVVmY2d3ZOR U9SaXpSMXhfd0IyaUZNT1JUTlozcjJtM08zSjNaRDRsTDA3XzU1MXYwN08wai13&b64e=2 &sign=072c36a2df15245ded49efe7f026dc26&keyno=0, который сейчас недоступен. Убедитесь, что веб-адрес (URL) введен правильно, и попытайтесь перезагрузить страницу.
Убедитесь, что соединение с Интернет активно, и проверьте, работают ли другие приложения, использующие это соединение.

Так же когда на сайте заполняю некие поля с модуля chronoforms для joomla, нажимаю отправить, в адресной строке снова появляется ссылка на http://spywarepc.info/0/go.php?sid=2 и такой же текст как и выше!!!

Что делать??? Пересмотрел все index.php файлы, нигде этой ссылки нету! Как ее найти???

Цитата:

Сообщение от VaSya_lite (Сообщение 1676954)

как найти и удалить в файлах движка Joomla

Очевидно - сравнением с теми же файлами оригинального движка. WinMerge (например) в помощь.
Если нет изменений в файлах - убирайте по одному навесные модули пока эффект не пропадёт. Также проведите сравнение файлов этих модулей с оригиналами, полученными непосредственно от разработчика.
Если движок со всеми расширениями девственно чист - проверяйте web-сервер.
курить: http://www.google.com/safebrowsing/diagnostic?site=http://www.trep.com.ua/&hl=ru

Цитата:

Malicious software includes 6 scripting exploit(s), 4 trojan(s). Successful infection resulted in an average of 2 new process(es) on the target machine.

Значит что интересное заметил, перенаправление идёт на сервере, не на JavaScript, так что можете просто поискать подозрительные новые вызовы header(...).

Если не справится, постучитесь ко мне - помогу.

Все попробовал, ничего не помогает :( Что делать?

добавлено через 2 минуты
Вот, можете посмотреть например:
http://trep.com.ua/index.php?option=com_chronocontact&chronoformname=zayavka_na_zapisj
Откройте, нажмите на кнопку "Отправить", и посмотрите на результат! :(

добавлено через 1 минуту

Цитата:

Сообщение от Hubbitus (Сообщение 1676972)

А каким образом их искать?

Вы всерьёз полагаете, что здесь кто-то горит желанием заполучить на свой компьютер трояна? :mad:

Цитата:

Сообщение от Borland (Сообщение 1676958)

Если движок со всеми расширениями девственно чист - проверяйте web-сервер.

Цитата:

Сообщение от Borland (Сообщение 1676995)

Вы всерьёз полагаете, что здесь кто-то горит желанием заполучить на свой компьютер трояна?

Ну а это-то тут при чем?? Человек же явно пишет что зараза, он не обманывает зазывая зайти. Кто боится, пусть не ходит по ссылка, мне например пофигу, эти трояны для винды и мне как-то пополам. Что же теперь, не решать проблему??

Цитата:

Сообщение от VaSya_lite (Сообщение 1676973)

А каким образом их искать?

Я предложил Вам полностью помочь, или же Вы все же хотите самостоятельно? Тогда так, заходите по SSH, и грепаете для начала по header, как-то так:

Код:

fgrep -irn 'header' .

смотрите подозрительные переадресации. Можете сократить поиск до PHP-файлов. Повторяю, искать нужно именно на сервере, переадресация идет HTTP-заголовками, и то, если только есть реферер, если зайти просто на сайт скопировав ссылку, то открывается сайт:

Код:

$ wget --spider -S http://trep.com.ua

Включен режим робота. Проверка существования удалённого файла.

--2009-10-02 10:55:33--  http://trep.com.ua/

Распознаётся trep.com.ua... 91.197.129.144

Устанавливается соединение с trep.com.ua|91.197.129.144|:80... соединение установлено.

Запрос HTTP послан, ожидается ответ... 

  HTTP/1.0 200 OK

  Server: nginx/0.7.43

  Date: Fri, 02 Oct 2009 06:57:09 GMT

  Content-Type: text/html; charset=utf-8

  X-Powered-By: PHP/5.2.11

  Set-Cookie: ea31fc68a8a255841ce94b127753195e=05cf6d654ef707572e3e48960329962d; path=/

  P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"

  Expires: Mon, 1 Jan 2001 00:00:00 GMT

  Last-Modified: Fri, 02 Oct 2009 06:57:09 GMT

  Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0

  Pragma: no-cache

  Vary: Accept-Encoding,User-Agent

  X-Cache: MISS from smb.korda.local

  Connection: keep-alive

Длина: нет информации [text/html]

Удалённый файл существует и может содержать дополнительные

ссылки, но рекурсия отключена -- не загружается.

Код:

$ wget --spider -S --referer='http://yandex.ua/yandsearch?text=trep.com.ua&lr=143&ncrnd=3994' http://trep.com.ua

Включен режим робота. Проверка существования удалённого файла.

--2009-10-02 10:55:06--  http://trep.com.ua/

Распознаётся trep.com.ua... 91.197.129.144

Устанавливается соединение с trep.com.ua|91.197.129.144|:80... соединение установлено.

Запрос HTTP послан, ожидается ответ... 

  HTTP/1.0 302 Moved Temporarily

  Server: nginx/0.7.43

  Date: Fri, 02 Oct 2009 06:56:42 GMT

  Content-Type: text/html; charset=iso-8859-1

  Location: http://spywarepc.info/0/go.php?sid=2

  X-Cache: MISS from smb.korda.local

  Connection: keep-alive

Адрес: http://spywarepc.info/0/go.php?sid=2 [переход]

Включен режим робота. Проверка существования удалённого файла.

--2009-10-02 10:55:06--  http://spywarepc.info/0/go.php?sid=2

Распознаётся spywarepc.info... 59.125.231.241

Устанавливается соединение с spywarepc.info|59.125.231.241|:80... соединение установлено.

Запрос HTTP послан, ожидается ответ... 

  HTTP/1.0 302 Moved Temporarily

  Date: Thu, 01 Oct 2009 15:53:33 GMT

  Server: Apache/2

  X-Powered-By: PHP/5.2.10

  Set-Cookie: schema2=true; expires=Thu, 08-Oct-2009 15:53:33 GMT

  Set-Cookie: visited2=2; expires=Thu, 08-Oct-2009 15:53:33 GMT

  Referer: http://yandex.ua/yandsearch?text=trep.com.ua&lr=143&ncrnd=3994

  Location: http://my-garden-state.com/?pid=156&sid=3f9ecd

  Vary: Accept-Encoding,User-Agent

  Content-Type: text/html

  X-Cache: MISS from smb.korda.local

  Connection: keep-alive

Адрес: http://my-garden-state.com/?pid=156&sid=3f9ecd [переход]

Включен режим робота. Проверка существования удалённого файла.

--2009-10-02 10:55:07--  http://my-garden-state.com/?pid=156&sid=3f9ecd

Распознаётся my-garden-state.com... 89.248.174.58

Устанавливается соединение с my-garden-state.com|89.248.174.58|:80... соединение установлено.

Запрос HTTP послан, ожидается ответ... 

  HTTP/1.0 404 Not Found

  Date: Fri, 02 Oct 2009 06:55:07 GMT

  Server: Apache

  X-Powered-By: PHP/5.2.8

  Set-Cookie: red=1; expires=Sat, 03-Oct-2009 06:55:07 GMT

  Content-Type: text/html

  X-Cache: MISS from smb.korda.local

  Connection: keep-alive

Удалённый файл не существует -- битая ссылка!

Все забываю отписать, уже несколько дней прошло (заодно не знаю читал ли топикстартер мое сообщение, в онлайне в Джаббере не отвечает что-то больше)...

В общем мои предполрожения были верны, и все дело оказалось во взломе аккаунта и крайне странных настройках этого хостера - moyhoster.com - у них в каждый сайт включается ~/.htaccess, хотя DocumentRoot значительно ниже прописан для виртуалхоста и этот файл вообще должен быть не доступен для него. Что кстати так и есть, ни по FTP для дополнительного аккаунта этого сайта, ни из PHP с под ним же этот файл не доступен... То есть, получается такая специальная настройка для хакеров...

С поддержкой хостера общался, но убедить их в чем-либо так и не удалось...

P.S. Кстати, оказалось что я по IP у них был заблокирован еще на серверах :) (я с одного из серверов с проблемой разбирался, и через него пробрасывал). В белый список они меня потом добавили, но даже почему это было сказать не могут... Тот еще хостинг в общем :cool: