Хостер сообщает о заражении моего сайта, но никакими сканами я не могу найти вирусы

[Darya Zvyagintseva]

Здравствуйте.
Сайт tboservice.ru. На Joomla 2.5.
Уже третий раз приходит письмо от хостера о заражении сайта (текст прилагается). Проверила свой компьютер (админили только с него), проверила неоднократно сам сайт в он-лайне (с помощью Доктор Вэба и др.) - все чисто. Запросила у хостера бэкап, перезалила - снова прислали письмо того же содержания. Все пароли сменила (и от админки и от фтп).
У меня сайт открывается корректно и прямой ссылкой и из яндекса, но некоторые люди жаловались на то, что их из яндекса пересылают на другой сайт, и срабатывает антивирус. Следовательно проблема все же есть.
Скачала содержимое сайта, проверила антивирусом, нашел все перечисленное((.. Лечению не поддается - или в карантин, или удалить(
"На замок" не видит ничего(... Правда в бета-версии.
1. Что делать в данной ситуации?
2. Возможно, проще и надежнее полностью удалить сайт и залить заново (сохранился на локалхосте), благо с тех пор контента добавлено было немного?
3. Если вирус пришел из моего компьютера, то почему не зарпазил другой сайт, который я администрирую (разница только в том, что здесь Джумла 2.5, а там 1.5).
Спасибо.

[Info_bot]

Уважаемый(ая) Darya Zvyagintseva, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Darya Zvyagintseva]

Спасибо.
Я же вроде прикрепила все файлы, о которых говорилось в инструкции.
С уважением.

[thyrex]

Логи в порядке, что вполне ожидаемо

[PavelA]

Если вирус пришел из моего компьютера, то почему не зарпазил другой сайт, который я администрирую (разница только в том, что здесь Джумла 2.5, а там 1.5).

Возможно, он пришел не с Вашего компьютера, а через дыры в ПО поддержки сайта.

У меня сайт открывается корректно и прямой ссылкой и из яндекса, но некоторые люди жаловались на то, что их из яндекса пересылают на другой сайт, и срабатывает антивирус.

Пароли от сайта на Вашем компьютере сохранены?

В Опере открыл. Никуда вроде не отправили.

[Darya Zvyagintseva]

Пароли не сохранены.
Если все чисто (как показывают все сканеры), то почему, скачав через файлзиллу содержимое сайта на свой компьютер, и проверив его антивирусом, я увидела ту же картину, что прислал хостер?
Вообще так и не поняла пока... проблема все же есть или нет объективно?

Попробовала еще раз: хромом из яндекса - антивирус блокирует (скрин прилагаю), после этого пробую напрямую - аналогично, в эксплорере сразу перехожу прямой ссылкой - ок, из яндекса - тоже ок.

[thyrex]

AVZ не предназначен для поиска зараженных htm-файлов

[PavelA]

Надо Ваш сайт прогнать сканером на предмет уязвимостей. Как и чем, к сожалению ,подсказать не могу

- - - Добавлено - - -

то почему, скачав через файлзиллу содержимое сайта на свой компьютер, и проверив его антивирусом, я увидела ту же картину, что прислал хостер?

Если увидели, то заражют не

Запросила у хостера бэкап,

Он проверялся антивирусами?

В сообщении хостера малваре сидит php-шное, т.е в нутрехах. Проверяйте бэкар антивирусами.

[Darya Zvyagintseva]

бэкап проверяла перед заливкой - ничего не обнаруживалось.
Что в итоге делать посоветуете? Снести и перезалить с локалхоста?
Еще раз перепроверила бэкап - чисто. Может, он не перезалился по каким-то причинам? Не заменились зараженные файлы?( Закачивала с указанием перезаписать. Может, сначала в файлзилле удалить папки из корня, а потом из бэкапа закинуть?
P.S. Пардон, если задаю глупые вопрос...)) Я только осваиваюсь))

[PavelA]

/mod_toolbar.php + include.php файл пришлите. Посмотрим на Вашего трояна поближе.

Заменять надо только те файлы, которые указаны в письме. + На всякий случай пришлите еще /mod_toolbar.php из бэкапа.


http://skripters.biz/forum/topic_45729/ -- для образования. Примерно Ваш случай.

Joomla 2.5 на него все хотфиксы поставлены?

[Darya Zvyagintseva]

Спасибо, что взялись за мой случай)
Еще раз сорри - я пока совсем чайник, потому буду переспрашивать: что значит "хотфиксы проставлены"?
Обновления? Да, все стоит самое новое (по крайней мере в панели управления написано так)
- - - Добавлено - - -

Файл из бэкапа - http://rghost.ru/41401080
Файлы из содержимого сайта:
http://rghost.ru/41401100
http://rghost.ru/41401104

[PavelA]

Обновления?

Да
Файл из бекапа чистый. С сайта зараженный.
Пароли от админки и от Администратора базы сменили после первого заражения?

Попробуйте поменять все-все пароли от сайта. Да, на файлзилле тоже.

[Darya Zvyagintseva]

Пароли менять сейчас? или сначала перезалить еще раз из бэкапа?
В прошлый раз пароли меняла только от фтп и от админки, от базы не меняла((... Сейчас меняю все.

[PavelA]

Сначала перезалить и тут же сменить. М.б. не успеют упереть. Вечерком, если будет время, посмотрю что тебе засовывают на сайт.

[Darya Zvyagintseva]

хм... а у меня ж есть только бэкап контента за то число, а нужно базы данных? или этого хватит?

- - - Добавлено - - -

Еще, может, это важно...
1. на всякий случай заказала отчет уязвимостей хостеру (прикладываю)
2. Перед тем, как возникли вирусные проблемы была такая странность - захожу на сайт (и в админку - та же фигня) - вижу Ошибка CGI-приложения / CGI Script Error, потом все нормализовалось, хостер объяснил так: "На директории Вашего сайта были выставлены некорректные права(777). С нашей стороны мы установили права по умолчанию, работа сайта восстановлена".

Это связанные моменты?

Отчет об уязвимостях - http://rghost.ru/41405812

[PavelA]

1. Надо заливать из бекапа сами php-модули + на в базе MySQL менять пароли к админке.
2. Придется поперенастраивать доступ: проверка .htaccess + во многих местах ставить права только на чтение.
3. Изучение лога сервера. Там можно найти что тебе и откуда заливали.

Если сайт делался из шаблонов по умолчанию, то возможно много дыр.

Я в этом всем не знаток, да и здесь не знаю кто тебе сможет помочь. Если этих советов не хватит, то напишу в ЛС куда идти.

robots.txt -- файл в шаблоне поизучайте. То, что там советуют Выполнено?

[Darya Zvyagintseva]

Спасибо за помощь).
Что значит, из шаблонов по умолчанию? Тех, что изначально стоят в Джумле? Нет, скачивались бесплатные. Вряд ли они были инфицированы, ибо вирусы обнаружились только через несколько месяцев. А дыры вполне могли быть(. С другой стороны, обращаясь опять же к примеру второго сайта на 1.5-й Джумле... там тоже бесплатные шаблоны... Но пока тьфу-тьфу))...
по п.1 - в базе же пароли закодированы... нельзя поменять через панель управления просто?
п.2 для меня, честно говоря, вообще темный лес... не представляю, как это делать((
Равно как и 3.
Посмотрела robots.txt. И не поняла, что конкретно мне надо сделать или у меня и так уже все, как надо?(
Моих скромных познаний хватит только на п.1)))
Если этого недостаточно будет, то, может, посоветуете, к кому обратиться?
Спасибо.