Вам действительно нужно перевести свой сайт в автономный режим - фактически удалить файлы с сервера и определить, какой это тип взлома.
Во-первых, хотя я бы предложил отключить JavaScript в вашем браузере и посетить вашу страницу - вы все еще получаете перенаправление?
Если нет - тогда проблема либо:
a) файл javascript был добавлен на ваш сайт - или существующий файл javascript был отредактирован.Изучите все файлы .js, загружаемые на странице.
b) SQL-инъекция добавила javascript непосредственно в ваши статьи (возможно, каждая статья
Предполагается, что вы перенаправлены, пока javascript отключен- затем вы просматриваете: а) отредактированный файл .htaccess, перенаправляющий вас в другое место б) отредактированный (или «включенный») заголовок настроек php-файла и перенесущий вас в другое место.
Являются ли какие-либо надстройкина вашем сайте (ах), перечисленном здесь: http://www.exploit -db.com / search /? action = search & filter_page = 1 & filter_description = joomla & filter_exploit_text = & filter_author = & filter_platform = 0 & filter_type = 0 & filter_lang_id = 0 & filter_port = & filter_osvveb = * filter_osvveb = & filter_osvveb = * filter_port 101 **
Вам нужно знать, скомпрометирован ли только ваш сайт, или это другие сайты на сервере, или даже если сам сервер был захвачен, и это вопрос для вашего хоста.Немедленное повторное заражение после восстановления из резервных копий может означать: a) задание cron, созданное для повторного заражения вас в определенный период времени; b) другая учетная запись на сервере заражена и обращается к нему, чтобы повторно заразить других; c)Ваш сайт был ранее взломан (файлы были сброшены на сайте), но они находятся в режиме ожидания, ожидая, пока человек или ботнет подключатся и получат контроль.d) или что сервер полностью взломан, и хакер просто повторно подключается для повторного заражения
Есть несколько шагов, которые вы можете предпринять - но, честно говоря, это одна из областей, где, если вам нужно спросить, это, вероятно, признак того, что выне оснащены для решения этой проблемы без помощи экспертов.
Вы можете выполнить поиск файлов для возможных шаблонов файлов c99, r57, веб-оболочка, eval (base64decode (и т. д. * 1024)*
Вы можете сканировать файлы с недавними датами создания или недавно измененными датами / временем
Файлы, измененные за последние x дней (в данном случае 1 день))
find . -mtime -1
Файлы изменены между двумя датами
find . -type f -newermt "2010-01-01" ! -newermt "2010-06-01"
Вам следует проверять файлы журналов на наличие подозрительных действий
Вы можете скачать файлы и позволить своей антивирусной программе сканировать их - это может дать вам место для начала (не позволяйте ему удалять файлы, хотя их содержимое может дать дополнительные подсказки).
Вам следует заблокировать доступ из известныхавтоматические / скриптовые пользовательские агенты (wget, libwww и т. д.)
В общем, хотя вы могли бы потратить дни на борьбу с этим без гарантии успеха.Мой совет - обратиться за помощью к эксперту по безопасности Joomla.