Вирусы, Шеллы, редиректы итд

Предлагаю тут выкладывать вирусы обнаруженные на Ваших сайтах, и способы борьбы с ними

Один раз в далеком 2010 году взломали сайтик один на Joomla 1.0.15. Посмотрел логи, оказалось ломали через SQL инъекцию компонента форума (Fireboard назывался на то время кажется)
После этого случая стараюсь без надобности сторонние расширения не ставить и по возможности пользоваться стандартными средствами джумлы
А вообще джумла хороший движок в плане безопасности, как и вордпресс ... уязвимости конечно имеются, но тут нужно что бы ряд факторов совпал еще, так просто не взломаешь.
Если есть подозрения на взлом - ставьте айболит и делайте проверку всех файлов - http://revisium.com/ai/
Вот можно видео на русском посмотреть как лечили сайт на Joomla 3.x

Опередил )) Хотел выложить мануал по Айболиту. Вещь самая лучшая на сегодня из бесплатных антивирусов

Раньше тоже пользовался данными методами, только шифрованные ссылки удобно искать через программку http://www.mythicsoft.com/agentransack она ищет текст в файлах с указанием номера строки в коде. и не только base64 надо искать но еще и eval, unescape итп
но после встречи с Айболитом все стало гораздо проще

P.S. не

а Notepad++ хотя Ваше название мне тоже нравится

1. После открытия скрипта в браузере отображается белая страница
Если через некоторое время скрипт выдает белую страницу, скорее всего означает, что у вас очень много файлов на хостинге и скрипт не успевает проверить их все в течение отведенного времени. Время определяется настройками PHP и веб-сервера, обычно отводится 30 секунд на то, чтобы скрипт завершил свою работу. В противном случае выдается либо белая страница, либо 504 Gateway Timeout, либо 502 Bad Gateway.

Возможные решения проблемы:

1. Просканировать сайт локально, у себя на компьютере
2. Увеличить max_execution_time в php.ini или (если позволяют настройки веб-сервера) в .htaccess. Например, поставить 30 минут, а не 30 секунд.
3. Запустить скрипт не из браузера, а из командной строки. Для этого нужно иметь доступ к серверу через SSH.
   Для запуска наберите:
   php ai-bolit.php
   
   Если интерпретатор php у вас не прописан в пути, то нужно указать до него полный путь, например так
   /usr/bin/php ai-bolit.php
   
   В результате исполнения скрипта будет создан файл AI-BOLIT-REPORT-<дата>_<время>.html, который будет содержать результат работы скрипта. Этот файл можно открыть в любом браузере.
   
   Внимание! Если сделать php ai-bolit.php > result.html - вы не увидите процесса проверки, и в result.html не будет результата проверки. Результат всегда в AI-BOLIT-REPORT-<дата>_<время>.html.
   

Из двух вариантов второй является более предпочтительным, так как выполняет полную проверку на вредоносные скрипты.

Если скрипт сразу выдает белую страницу - смотрите error_log, в нем должна быть ошибка. Либо можете включить в .htaccess опцию error_reporting и посмотреть сообщение об ошибке прямо в браузере.
источник: http://revisium.com/ai/faq.php

А я просто поставил RS Firewall + заблокировал доступы по ненужным странам + защиту к папке administartor в ISP + .htaccess в /administrator с доступом по моему статичному IP)))) Уже 4 года не ломали ничего ни разу. Ставлю этот бум-пакет на все сайты сразу. Понятно, что это не дает 100% защиты, а что дает? А ничего не дает))) Но по крайней мере я могу это хоть как то оперативно отслеживать. Да и потом - мы работаем по принципу - вы платите за обслуживание и не заморачиваетесь, если не платите, то мы не даем никаких гарантий. РК делается каждые 2 дня переписывая друг друга, при том, что сайты без обновлений всегда имеют чистую РК на всякий пожарный. joomla-master - уроды, хотя шьют все одно и тоже через base64 в одни и те же места. Не знаю, кто еще оттуда качает, по моему уже куда не залезь - везде по ним прошлись) А, ну и еще одно важное, хотя, думаю, все знают! Никогда не сохраняйте доступы в FileZilla, меня через нее лет 5 назад просто разрушили. Сайты ломали каждый день, я просто волосы рвал - не понимал откуда ноги растут - потом нашел трояна на локалке.

Надо разобраться с геопривязкой, это в хостинге проблема. Написал, а теперь редактирую, я думал вы страны имеете ввиду))) А свой IP занесли в белый список?