Здравейте. Пуснаха ми достъп до сайта само за моето ИП. Търсих в нета за нещо намиращо зловреден год и попаднах на файл JAMSS.php .. стартирах го но то връща прекалено много неща... а не съм кодър за да отсея кое е вредно и кое полезно... може ли някой да погледне прикачения файл с получените резултати и да каже какво трябва да се изтрие... сайта никога няма да се използва за пращане на писма така че може абсолютно да се изтрие тази функция.. много благодаря предварително!!
Като за начало:
1. Свали сайта от хостинга и сканирай с антивирусни програми архива (използвай две -три различни).
2. Смени паролите за хостинга и провери на кои имейли праща данни за промяна, това в cpanel.
3. Смени паролите за администрация на joomla, провери с какъв имейл е главният администратор.
4. Mжеш да защитиш administrator директорията...
5. Виж дали имаш добавен потребител, който не познаваш...
6. Виж с какъв редактор си, ако не е проблем, махни всички добавени - остани само с tiny mce.
7. Провери за компоненти, модули и плъгини със съмнителни качества (това е трудно, ама ако можеш го направи)
8. Провери всички index.php файлове за някакви промени, ако намериш, използваш намереното (като код) за да претърсиш във всички останали файлове с текстов редактор.
9. В ... libraries/simplepie/simplepie.php
Тук има проблем, сравни (направо замести) с оригинален файл, запази променения, и чрез него със текстов редактор търсиш във всички останали файлове във архива.
Например, търсиш за: "\xC3\x86", 'aelig;' => "\xC3\xA6", 'Agrave' => "\xC3\x80"" или
" 'aelig;' =>" или "'Agrave' =>"
Има един хитър начин да провериш файловете в архива, като търсиш файлове променени през последните 10 дни, 20 дни и т.н. когато предполагаш, че е хакнат сайта ... може и така.
Как става търсенето:
1.Изтегляте си директорията "public_html" от хоста (или там, където Ви се намира сайта).
2.Намирате си Edit plus editor (xттп://www.editplus.com/), след като си го инсталирате в Tools > Preferences > Files > Махате чавката на "Create backup file when saving"
3.Отваряте едитора и от менюто избирате Search > Find in files
Find what: "... "
File type: " *.* " копирате всичко без кавичките
Folder: тук намирате изтеглената папка "public_html" на Вашия компютър
И натиската Find
Провери за всеки случай в
http://www.unmaskparasites.com/ сйта си, когато го пуснат!