Лечим вирус поискового редиректа в джумла

28.04.2016

При администрировании сайта Джумла, периодически приходиться лечить систему после всяких взломов. Один из самых неприятных, это так называемый вирус поискового редиректа, когда сайт ломают shell-ом, а потом внедряют вставки поискового редиректа, в результате в поисковой системе выдает ваш сайт, но перекидывает пользователя на порно или сайты исламской тематики. Как итог, после перехода вы получаете такое сообщение:

вирус

Потом уже подобное сообщение начнет выдавать поисковая система о том, что ваш сайт заражен, или взломан. А в Яндексе даже слетите с позиций. В итоге у вас потерянный трафик, потеря клиентов, отсутствие заказов.

Процедура восстановления.

1. Делаете резервное копирование, скачиваете.
2. Если на хостинге нет антивирусной проверки, тогда прогоняете скаченный бекап антивирусом. Находим файлы вируса shell-а, в моем случае это PHP.Shell.387. Это вид вируса использующего «дыру» в безопасности системы управления.

вирус-джумла-1024x248

3. Удаляем файлы вируса на хостинге.
4. Меняем пароли в админке, фтп
5. Так как поиск троянов не дает эффекта, а в ручную искать куда внедрили код PHP довольно долго, и не всегда результативно, я делаю бекап микс. Микс — это любой файловый бекап сайта до внедрения вирусов, база данных остается текущая, не из бекапа, далее с свежего бекапа забираем папку images с картинками и папку componentscom_jshoppingfilesimg_products где находятся фото товаров.
Итог: радуемся результату.
П.С. Что делать если нет бекапа? Администрируйте сайт или привлекайте для этого специалистов. Возможно поможет бекап хостинга, но он автоматически затирается, и скорее всего не спасет, так как будет содержать вирус.

Последующая профилактика:

1. Экономия не должна быть экономной. Смените систему управления по возможности.
2. Однозначно меняйте хостинг. Не стоит на этом экономить. В моей практике на timeweb два раза ломали одну и туже джумлу, но это пол беды. Ключевое было то, что хостинг даже раз в квартал не делает антивирусную проверку своих серверов. Я рекомендую использовать хостинг, который ежедневно делает антивирусную проверку, а также доступна бесплатная услуга ручного запуска антивирусной проверки. Например, это reg.ru
3. Не сохраняйте ФТП пароли.

Ещё статьи:

01.12.2020 Свершилось, битрикс перестал поддерживать mbstring.func_overload
Теперь для обновления на версию v20.100.0 требуется удаление опции mbstring.func_overload. Эта опция более не требуется и не поддерживается платформой... ID: 313

13.08.2020 Получить id элемента привязки к пользователю битрикс
Получить id элемента, который добавлен в свойство привязки к пользователю битрикс ID: 250

22.06.2020 Дубли внешнего кода не грузятся при импорте Битрикс
При копировании штатными средствами элементов (кнопка копировать) обнаружил такой момент, что при XML экспорте и последующим XML импорте не вс... ID: 243

Новые статьи в блоге:

19.01.2021 Задача модуль регистрации участника акции
Задача по разработке модуля регистрации участника акции на сайт Битрикс. В модуле должны быть следующие поля: ID: 316

07.01.2021 Почему в битрикс автоматически отключаются пользователи
На сайте с определённой периодичностью происходила деактивация аккаунтов пользователей. Логин становился неактивным и зайти на сайт не получалось. ID: 314

07.01.2021 Ошибка сокетов
Бывает выскакивает такая ошибка в битрикс "Работа с сокетами Ошибка! Не работает", "Замечание. Не удалось провер... ID: 315

Возврат к списку