Лечим вирус поискового редиректа в джумла

28.04.2016

При администрировании сайта Джумла, периодически приходиться лечить систему после всяких взломов. Один из самых неприятных, это так называемый вирус поискового редиректа, когда сайт ломают shell-ом, а потом внедряют вставки поискового редиректа, в результате в поисковой системе выдает ваш сайт, но перекидывает пользователя на порно или сайты исламской тематики. Как итог, после перехода вы получаете такое сообщение:

вирус

Потом уже подобное сообщение начнет выдавать поисковая система о том, что ваш сайт заражен, или взломан. А в Яндексе даже слетите с позиций. В итоге у вас потерянный трафик, потеря клиентов, отсутствие заказов.

Процедура восстановления.

1. Делаете резервное копирование, скачиваете.
2. Если на хостинге нет антивирусной проверки, тогда прогоняете скаченный бекап антивирусом. Находим файлы вируса shell-а, в моем случае это PHP.Shell.387. Это вид вируса использующего «дыру» в безопасности системы управления.

вирус-джумла-1024x248

3. Удаляем файлы вируса на хостинге.
4. Меняем пароли в админке, фтп
5. Так как поиск троянов не дает эффекта, а в ручную искать куда внедрили код PHP довольно долго, и не всегда результативно, я делаю бекап микс. Микс — это любой файловый бекап сайта до внедрения вирусов, база данных остается текущая, не из бекапа, далее с свежего бекапа забираем папку images с картинками и папку componentscom_jshoppingfilesimg_products где находятся фото товаров.
Итог: радуемся результату.
П.С. Что делать если нет бекапа? Администрируйте сайт или привлекайте для этого специалистов. Возможно поможет бекап хостинга, но он автоматически затирается, и скорее всего не спасет, так как будет содержать вирус.

Последующая профилактика:

1. Экономия не должна быть экономной. Смените систему управления по возможности.
2. Однозначно меняйте хостинг. Не стоит на этом экономить. В моей практике на timeweb два раза ломали одну и туже джумлу, но это пол беды. Ключевое было то, что хостинг даже раз в квартал не делает антивирусную проверку своих серверов. Я рекомендую использовать хостинг, который ежедневно делает антивирусную проверку, а также доступна бесплатная услуга ручного запуска антивирусной проверки. Например, это reg.ru
3. Не сохраняйте ФТП пароли.

Ещё статьи:

18.01.2023 Нюансы перехода битрикс на РНР 8.0
С февраля битрикс прекращает поддерживать РНР 7.4 и в битрикс сегменте сайтов начался переход на РНР 8 для получения обновлений.
Но без нюансов и ошибок... ID: 431

10.01.2023 БУС окончательно всё?
Появилась информация от битрикс, что грубо говоря поддержка по отраслевому медицинскому решению от битрикс будет до 1 февраля 2024 года, а что потом б... ID: 426

30.08.2022 Типовые претензии к подрядчику и к битрикс
По свежим следам я собрал типовые претензии к подрядчику и к битрикс. Мной был проведён аудит и я увидел, что техническое состояние сайта хорошее, нареканий... ID: 338

Новые статьи в блоге:

25.01.2023 Ошибка работы веб форм битрикс в аякс режиме
Возникла задача внедрить битрикс формы на сайт битрикс, но нюанс в том, что страница лендинг в HTML без подключения битрикс шаблона.
В целом я не предполагал,... ID: 434

19.01.2023 Ник ру покупает отзывы, но выше дна не подняться
Самый убогий хостинг провайдер, который ворует домены у клиентов покупает отзывы. ID: 433

19.01.2023 Ник ру жулики воруют домены
В очередной раз провайдер nic.ru, так зазываемый руцентр и его техподдержка пробили очередное дно, в моём рейтинге это худший провайдер в России. В от... ID: 432

Возврат к списку