Лечим вирус поискового редиректа в джумла

28.04.2016

При администрировании сайта Джумла, периодически приходиться лечить систему после всяких взломов. Один из самых неприятных, это так называемый вирус поискового редиректа, когда сайт ломают shell-ом, а потом внедряют вставки поискового редиректа, в результате в поисковой системе выдает ваш сайт, но перекидывает пользователя на порно или сайты исламской тематики. Как итог, после перехода вы получаете такое сообщение:

вирус

Потом уже подобное сообщение начнет выдавать поисковая система о том, что ваш сайт заражен, или взломан. А в Яндексе даже слетите с позиций. В итоге у вас потерянный трафик, потеря клиентов, отсутствие заказов.

Процедура восстановления.

1. Делаете резервное копирование, скачиваете.
2. Если на хостинге нет антивирусной проверки, тогда прогоняете скаченный бекап антивирусом. Находим файлы вируса shell-а, в моем случае это PHP.Shell.387. Это вид вируса использующего «дыру» в безопасности системы управления.

вирус-джумла-1024x248

3. Удаляем файлы вируса на хостинге.
4. Меняем пароли в админке, фтп
5. Так как поиск троянов не дает эффекта, а в ручную искать куда внедрили код PHP довольно долго, и не всегда результативно, я делаю бекап микс. Микс — это любой файловый бекап сайта до внедрения вирусов, база данных остается текущая, не из бекапа, далее с свежего бекапа забираем папку images с картинками и папку componentscom_jshoppingfilesimg_products где находятся фото товаров.
Итог: радуемся результату.
П.С. Что делать если нет бекапа? Администрируйте сайт или привлекайте для этого специалистов. Возможно поможет бекап хостинга, но он автоматически затирается, и скорее всего не спасет, так как будет содержать вирус.

Последующая профилактика:

1. Экономия не должна быть экономной. Смените систему управления по возможности.
2. Однозначно меняйте хостинг. Не стоит на этом экономить. В моей практике на timeweb два раза ломали одну и туже джумлу, но это пол беды. Ключевое было то, что хостинг даже раз в квартал не делает антивирусную проверку своих серверов. Я рекомендую использовать хостинг, который ежедневно делает антивирусную проверку, а также доступна бесплатная услуга ручного запуска антивирусной проверки. Например, это reg.ru
3. Не сохраняйте ФТП пароли.

Ещё статьи:

20.09.2021 Разговор с рекрутером в 2021. Мидл это младший специалист и на удалёнку не ниже сеньёра
Рекрутер: В принципе ок, но обычно младших специалистов мы в офис берем). Что скажете?
П.С. Мда, интересно оказывается, что мидл это младший специалист,... ID: 320

01.12.2020 Свершилось, битрикс перестал поддерживать mbstring.func_overload
Теперь для обновления на версию v20.100.0 требуется удаление опции mbstring.func_overload. Эта опция более не требуется и не поддерживается платформой... ID: 313

13.08.2020 Получить id элемента привязки к пользователю битрикс
Получить id элемента, который добавлен в свойство привязки к пользователю битрикс ID: 250

Новые статьи в блоге:

06.04.2022 Своё АПИ на сайте битрикс без модуля
Искал куда компонент спрятали и нашёл такую реализацию мини АПИ без модуля. ID: 333

18.03.2022 Получение минимальной цены и сохранение в свойство
Пополнение - пример события OnPriceUpdate для получение минимальной цены и сохранения в свойство инфоблока. ID: 332

12.02.2022 Проверка групп пользователя и исключение разделов
Пример события для проверки групп пользователя с целью исключить разделы из общего доступа ID: 331

Возврат к списку