Бесплатно Как удалить вирус с сайта на joomla

Недавно на одном из своих сайтов второй раз обнаружил вредоносный код. Точнее google об этом подсказал. Сам сайт посещаю редко не хватает времени, а вот статистику периодически подглядываю. Спохватился во время. Заражено было, по правде сказать, два сайта. Произошло в момент смены хостинга. Не могу точно сказать, кто виноват, я сам или хостер. В большей части, конечно, я сам, поскольку пренебрег защитой. Мне повезло, что с недельку назад до этого сделал резервную копию всех сайтов.

Время на исцеления сайтов ушло практически два дня, хотя могло утйти и больше. Я не сразу вспомнил про резервную копию немного растерялся, ну т.д.. И мне хотелось побольше узнать какие именно файлы были заражены. Но не буду далеко отходить от темы.

Открыл один сайт вот что сразу бросилось в глаза. Интересная ссылка, но не моя.

Ну и в добавок Антивирус взвизгнул.

Зайдя в cPanel хостера увидел непривычный файл, но не в основной директории , а уже папках таких как: includes, cache, images и т.д. Файл имел самое распространенное имя index.php. Вроде бы ничего интересного, но на самом деле практически во всех папках движка joomla данный файл имеет расширение html, index.html, кроме основного каталога и папки administrator. В них действительно содержаться файла с именем index.php.

Открыв файл index.php из папки внутри был вот такой код:

В каждой папке он был немного изменён.

Скачав весь архив сайта к себе на комп (как это сделать, можно почитать вот здесь) открыл его в Total Commander и провел поиск по названию файла, а затем просмотрел эти файлы по очереди. Всего таких файлов набралось почти 50 штук. Я их удалил, но это не решило проблемы. В панели google Инструменты для веб-мастеров/Вредоносные программы шла ссылка вот такой файл html://site.ru/includes/js/joomla.javascript.js из за этого мой сайт выдавался при поиске как зараженный. Заглянув в файл "joomla.javascript.js", который подсказал google, обнаружил ещё один код. Сверил с таким файлом на чистой joomle такого не было. Заглянул в соседний файл JSCookMenu.js. В нём были практически такие же строки, с небольшими изменениями.

Снова произвел поиск через Total Commander по тексту (/iframe) только в острых скобках <> было найдено порядка 400 файлов. Снова произвел поиск, по width="55" height="55" количество файлов было таким же. В конце каждого открытого файла содержался данный код. Чистить каждый файл ручками, было не реально, прошла бы неделя. Вот только тогда я вспомнил про резервную копию. Прежде чем что либо делать проверил резервную копию на наличие данного кода и, убедившись в её чистоте, залил на хостинг. Распаковал и, лишь убедившись в отсутствии внешних лишних ссылок, подал заявку в google на снятие моего сайта из списков зараженных. Через 2 часа, сайт выходил в поиске уже как обычно.

Да чуть не забыл: в файле шаблона установленного как главный, был еще такой код.

Его просто выделил и удалил прямо на хостинге, через редактор кода.

Более полную информацию по видам заражения читайте в справочнике яндекса здесь и здесь

Буду надеяться, что данная статья "Удалить вирус с сайта joomla" поможет тем, кто попал в неприятную историю.

Что же надо сделать, чтоб в следующий раз не ломать голову над такими проблемами.
​