Цитата
detalux пишет: Цитата Владимир Сергеев пишет: Вроде решил проблему. Действительно в одном из сайтов в папке images/stories были php скрипты cache_9gcgrw.php koabook.php seoTySP.php story.php joomla 1.5.26 Вроде дырка в jce старой версии за 2009 год (версия 1.5 объясни поэтапно как искал, лечил...может, что похожее есть, в каких файлах...папках ?story.php тоже есть что за дырка в jce ?

 Разместить сайт из бекапа на локалхосте. Нужно обновить jce или удалить. Удалить файлы php из stories, если они есть. И еще сайт зараженный нужно держать отдельно от других.

хостеры говорят ищите и удаляйте их.. я не умею ничего не знаю как делается(... поэтому прошу помощи(

А вы так и говорите хостеру, что я не знаю, покажите мне путь
Мои присылали путь

в файле - [SIZE=1].htaccess[/SIZE]
[SIZE=1]посмотрите тут есть что то из вирусов?[/SIZE]

[SIZE=1]##[/SIZE]
[SIZE=1]# @version $Id: htaccess.txt 14401 2010-01-26 14:10:00Z louis $[/SIZE]
[SIZE=1]# @package Joomla[/SIZE]
[SIZE=1]# @copyright Copyright © 2005 - 2010 Open Source Matters. All rights reserved.[/SIZE]
[SIZE=1]# @license www.gnu.org/copyleft/gpl.html GNU/GPL[/SIZE]
[SIZE=1]# Joomla! is Free Software[/SIZE]
[SIZE=1]##[/SIZE]


[SIZE=1]#####################################################[/SIZE]
[SIZE=1]#  READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE[/SIZE]
[SIZE=1]#[/SIZE]
[SIZE=1]# The line just below this section: 'Options +FollowSymLinks' may cause problems[/SIZE]
[SIZE=1]# with some server configurations.  It is required for use of mod_rewrite, but may already[/SIZE]
[SIZE=1]# be set by your server administrator in a way that dissallows changing it in[/SIZE]
[SIZE=1]# your .htaccess file.  If using it causes your server to error out, comment it out (add # to[/SIZE]
[SIZE=1]# beginning of line), reload your site in your browser and test your sef url's.  If they work,[/SIZE]
[SIZE=1]# it has been set by your server administrator and you do not need it set here.[/SIZE]
[SIZE=1]#[/SIZE]
[SIZE=1]#####################################################[/SIZE]

[SIZE=1]##  Can be commented out if causes errors, see notes above.[/SIZE]
[SIZE=1]Options +FollowSymLinks[/SIZE]

[SIZE=1]#[/SIZE]
[SIZE=1]#  mod_rewrite in use[/SIZE]

[SIZE=1]RewriteEngine On[/SIZE]

[SIZE=1]########## Begin - Rewrite rules to block out some common exploits[/SIZE]
[SIZE=1]## If you experience problems on your site block out the operations listed below[/SIZE]
[SIZE=1]## This attempts to block the most common type of exploit `attempts` to Joomla![/SIZE]
[SIZE=1]#[/SIZE]
[SIZE=1]## Deny access to extension xml files (uncomment out to activate)[/SIZE]
[SIZE=1]#<Files ~ "\.xml$">[/SIZE]
[SIZE=1]#Order allow,deny[/SIZE]
[SIZE=1]#Deny from all[/SIZE]
[SIZE=1]#Satisfy all[/SIZE]
[SIZE=1]#</Files>[/SIZE]
[SIZE=1]## End of deny access to extension xml files[/SIZE]
[SIZE=1]RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR][/SIZE]
[SIZE=1]# Block out any script trying to base64_encode crap to send via URL[/SIZE]
[SIZE=1]RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR][/SIZE]
[SIZE=1]# Block out any script that includes a <script> tag in URL[/SIZE]
[SIZE=1]RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR][/SIZE]
[SIZE=1]# Block out any script trying to set a PHP GLOBALS variable via URL[/SIZE]
[SIZE=1]RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR][/SIZE]
[SIZE=1]# Block out any script trying to modify a _REQUEST variable via URL[/SIZE]
[SIZE=1]RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})[/SIZE]
[SIZE=1]# Send all blocked request to homepage with 403 Forbidden error![/SIZE]
[SIZE=1]RewriteRule ^(.*)$ index.php [F,L][/SIZE]
[SIZE=1]#[/SIZE]
[SIZE=1]########## End - Rewrite rules to block out some common exploits[/SIZE]

[SIZE=1]#  Uncomment following line if your webserver's URL[/SIZE]
[SIZE=1]#  is not directly related to physical file paths.[/SIZE]
[SIZE=1]#  Update Your Joomla! Directory (just / for root)[/SIZE]

[SIZE=1]# RewriteBase /[/SIZE]


[SIZE=1]########## Begin - Joomla! core SEF Section[/SIZE]
[SIZE=1]#[/SIZE]
[SIZE=1]RewriteCond %{REQUEST_FILENAME} !-f[/SIZE]
[SIZE=1]RewriteCond %{REQUEST_FILENAME} !-d[/SIZE]
[SIZE=1]RewriteCond %{REQUEST_URI} !^/index.php[/SIZE]
[SIZE=1]RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$  [NC][/SIZE]
[SIZE=1]RewriteRule (.*) index.php[/SIZE]
[SIZE=1]RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L][/SIZE]
[SIZE=1]#[/SIZE]
[SIZE=1]########## End - Joomla! core SEF Section[/SIZE]

я вам отправила запрос в скайп, авторизуйте меня или добавьте вы меня - annamarushko
в каком плане есть ли у меня не зараженные базы? это как

Цитата

Ростислав пишет: похожая ситуация, только в /images/stories/ никаких php файлов нету. при этом зараза где-то сидит, так как после чисти зараженного JS файла примерно через 10 минут вредоносный код опять появляется. скачал сайты, подвергшиеся заражению, произвел поиск и лечение всех зараженных js-файлов, выгрузил их и поставил права 444 (только для чтения). прошло более 2 часов - полет нормальный, вредоносного кода нет. з.ы. FTP не использую вообще так как с файлами работаю через файл-менеджер панели хостера, есть зараженные сайты, на которых используется TinyMCE (JCE вообще не установлен), ОС моего компа - Линукс. При этом часть сайтов заражена, часть - нет. Закономерности ваще не вижу

Если подследствия в js файлах такие же, то значит ваш сайт находиться с другими на одном акаунте или как то взаимодействует. Возможно вы этого даже не знаете. Поинтересуйтесь у хостера и укажите сразу куда копать. Мне хостеры не смогли объяснить как это происходит. Но этот скрипт в /images/stories/ заражает и другие сайты, находящиеся на одном аккаунте возможно потому что они пользуются одной оперативной памятью и функции могут быть общими.