Jump to content
Sign in to follow this  
igorfelix

Уже устал.. вирусы на сайтах...

Recommended Posts

Недавно заразился вирусами. Все началось с ноября.

Думал сначала на модх. Пришлось обновлять 6 сайтов до последней версии.

Хостер мне отключал phpmail говорит спам летит от вас, включил лог и я в нем наблюдал откуда именно.

на хостинге более 100 папок. На втором хостинге около 30 сайтов ( и там тоже вирус)

 

В корне каждой папки был файл info.php в нем закодированный код.

Удалил все.. Через 3 дня снова,, снова все вычистил, через пару дней вновь. 

 

Каждый раз файлы назывались по разному, и очень хитро запрятаны. Проверял папки у опенкарта dowload , в двух сайтах в этих папках был всяких шлак из скриптов.

Думал все дело в корявом модх.Обновил до последней сборки. Но вчера решил проверить онлайн сервисом пару сайтов опенкарт, и мне чуть плохо не стало.

Пару сайтов кишат шелами, а в одной папке на сервере вообще кишило всякими скриптами, как будто какой то мудак взломал фтп и ставил эксперименты, заливая на хостинг свои скрипты.

 

До этого я менял фтп пароли, пароли к аккаунту. Но дело в том что у меня два разных хостинга и там и там заражено.

Вчера вылечил один сайт, сегодня утром опять этот сайт заражен двумя скриптами. Выложу что примерно я находил запрятанные в опенкарте, может кто нибудь сталкивался с этой проблемой

А Хостер мне вырубает phpmail , иначе с меня летит спам. до этого еще был прикол, в папку закинули фишинговую страницу которая похищала какие то пароли paypal, мне это хостер сказал.

Короче у меня этих вирусов навалом всяких разнообразных. сил больше нет чистить...

 

 

ajax.php

test.php

std.php

view.php

info.php

Share this post


Link to post
Share on other sites

и?

тебе пособолезновать или что?

смотри даты/время создания файлов, требуй от хостера логи доступа на ftp, последних действий.

ЛЕЧИ СВОЙ КОМП. меняй ftp-клиент.

делай слепки сайтов, ставь в cron скрипт для проверки состояния, поиска новых/измененных файлов.

аудит, поиск решений и, собственно, решение проблем в данном случае может обойтись в сферическую сумму.

Share this post


Link to post
Share on other sites

я искал по последней дате изменений вчера, каждую папку.. и че толку ? я удалил все на хостинге что вызывало подозрение.

Сегодня опять появилось. 

Share this post


Link to post
Share on other sites

попробуйте сменить права на папки в которые пишутся скрипты...

Share this post


Link to post
Share on other sites

они каждый раз в разных папках. На какие права нужно выставить ?

Share this post


Link to post
Share on other sites

документацию к движкам почитайте, в которые пишет...какие права на какие папки выставить

Share this post


Link to post
Share on other sites

я искал по последней дате изменений вчера, каждую папку.. и че толку ?

ниче. значит ты некомпетентен в данных вопросах.

поручи это специалисту.

На какие права нужно выставить ?

на все.

вменяемые минимальные.

Share this post


Link to post
Share on other sites

Ну нашел я папку с вирусом, ну поставлю я ей 644 вместо 755. а что это даст? завтра в соседней папке этот вирус себя создаст 

Share this post


Link to post
Share on other sites

вот щас нашел сайт/vqmod/xml/inc.php

права 644 стоят на него. папка 755

вчера его точно небыло.

может в БД вирус сидит? 

это у меня один сайт прям палится вирусами, я не все досконально проверил, но из него чаще всего летит спам это я по логам нахожу.

и еще один тоже на опенкарте. 

Share this post


Link to post
Share on other sites

Система-Настройки, вкладка Сервер.В самом низу
Файл журнала ошибок:

 

что вписано?

Share this post


Link to post
Share on other sites

что делать - написано во втором сообщении.

Share this post


Link to post
Share on other sites
Tom, был отключен журнал сохранения. включил. позже посмотрю..

Share this post


Link to post
Share on other sites

Это я к тому,что последнее время взлом происходит именно начиная оттуда.

 

error.txt  в  error.php ,потом sql  с заготовкой,ловим ошибку,в файл записываем заготовку,на выходе исполняемый файл(как правило простенький загрузчик).Дальше дело фантазии  и свободного времени того кто этим развлекался.

Share this post


Link to post
Share on other sites

а нет ли часом сайтов на других движках (всяких вордпрессов и джумл) на этих же аккаунтах?

впрочем, это все гадания..

 

по сути - afwollis все вторым постом сказал; можно еще здесь почитать

 

по факту - если не можете решить проблему сами, попробуйте обратиться в раздел платных услуг

вроде у halfhope хорошо получается избавлять от подобных проблем

  • +1 1

Share this post


Link to post
Share on other sites

а нет ли часом сайтов на других движках (всяких вордпрессов и джумл) на этих же аккаунтах?

впрочем, это все гадания..

 

по сути - afwollis все вторым постом сказал; можно еще здесь почитать

 

по факту - если не можете решить проблему сами, попробуйте обратиться в раздел платных услуг

вроде у halfhope хорошо получается избавлять от подобных проблем

 

Хочется самому с этим разобраться. сам раньше дурил вирусами, на delphi. 

2) Модх, и опенкарт. больше никаких cms не использую.

Share this post


Link to post
Share on other sites

Это я к тому,что последнее время взлом происходит именно начиная оттуда.

 

error.txt  в  error.php ,потом sql  с заготовкой,ловим ошибку,в файл записываем заготовку,на выходе исполняемый файл(как правило простенький загрузчик).Дальше дело фантазии  и свободного времени того кто этим развлекался.

 

один сайт с которого была одна из атак выдал лог в админке опенкарта такое :

2015-12-26 22:13:27 - PHP Warning:  fopen(сайт.ру/download/test): failed to open stream: No such file or directory in сайт.ру/admin/controller/common/home.php on line 99

2015-12-26 22:13:27 - PHP Warning:  fwrite() expects parameter 1 to be resource, boolean given in сайт.ру/admin/controller/common/home.php on line 101

2015-12-26 22:13:27 - PHP Warning:  fclose() expects parameter 1 to be resource, boolean given in сайт.ру/admin/controller/common/home.php on line 103

2015-12-26 22:13:27 - PHP Warning:  sprintf(): Too few arguments in сайт.ру/admin/controller/common/home.php on line 106

папку dowload я вчера удалил. может он ее ищет что б закачать test.php ? 

Edited by igorfelix

Share this post


Link to post
Share on other sites

Обратитесь к специалисту. Столько времени тратите + даже после удаления вируса, вы уверены что дыра в безопасности будет закрыта?

Share this post


Link to post
Share on other sites

Обращайтесь если передумаете, чем раньше тем лучше. 

Share this post


Link to post
Share on other sites

Пока что затишье после последней чистки. Надеюсь навсегда.

Share this post


Link to post
Share on other sites

новый год же - злодеи бухают.

  • +1 1

Share this post


Link to post
Share on other sites

новый год же - злодеи бухают.

 

MWA-HA-HA-HA!!! © Raving Rabbids :-D

Share this post


Link to post
Share on other sites

Скажи какой хостинг такой счастливый?)))

Share this post


Link to post
Share on other sites

Скажи какой хостинг такой счастливый?)))

Вылечил все сам. Уже не беспокоит. Тьфу тьфу тьфу

Share this post


Link to post
Share on other sites

Недавно заразился вирусами. Все началось с ноября.

Думал сначала на модх. Пришлось обновлять 6 сайтов до последней версии.

 

 

И это правильно, что думали. исключать нельзя.

У меня ломали дважды сайт на modx (старая версия) за год. Причем сайт работал успешно несколько лет.

Share this post


Link to post
Share on other sites

Вылечил все сам. Уже не беспокоит. Тьфу тьфу тьфу

 

Поделитесь с народом если нашли причину.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Similar Content

    • By Virbus
      В шапке форума скачал coStore 2.3.0.2.3 
      На пустой хостинг загрузил и установил
      Шаблон не менял, дополнения не качал
      Блоки рекламы сторонней вылезают и в магазине и в админке 
      Что не так? Раньше такого не было. На форме не качать?

    • By spectre
      2 000.00 руб
      Скачать/Купить дополнение


      Лечение вирусов, коронавирусов, удаление шеллов
      Ваш сайт заболел, направляет на рекламу казино, порно или показывается иероглифами в поиске?
      Хостер прислал что на сайте вирусы?
       
      Выход есть!
       
      В услугу входит
      - поиск вирусов, коронавирусов, шеллов и всякой дряни
      - аккуратное лечение (или удаление при невозможности лечения) вредоносного кода
      - защита сайта от подобных происшествий
      - гарантия 3 месяца при условии что нет ломаных модулей и пароль админки не admin admin или подобный
      - цена за 1 сайт на хостинг-аккаунте, оптом скидки
       
       
      Какие-то вопросы - пишите в личку, разберемся 
       
       
      Добавил spectre Добавлено 07.11.2020 Категория Услуги  
    • By spectre
      Ваш сайт заболел, направляет на рекламу казино, порно или показывается иероглифами в поиске?
      Хостер прислал что на сайте вирусы?
       
      Выход есть!
       
      В услугу входит
      - поиск вирусов, коронавирусов, шеллов и всякой дряни
      - аккуратное лечение (или удаление при невозможности лечения) вредоносного кода
      - защита сайта от подобных происшествий
      - гарантия 3 месяца при условии что нет ломаных модулей и пароль админки не admin admin или подобный
      - цена за 1 сайт на хостинг-аккаунте, оптом скидки
       
       
      Какие-то вопросы - пишите в личку, разберемся 
       
       
    • By NikOne
      Доброго времени суток,
      Скажите  это сто пудов вредоносный код ? 
       я в каждом файле что нашло что-то похоже 
      спасибо 

    • By Mor940k
      Друзья!
      Подскажите, кто сталкивался с таким и есть решения такой проблемы?
      Периодически регистрируются странные аккаунты в Покупатели. Установил капчу от гугл, но они её обходят.
      Перестали отправляться заказы на все указанные почты в админке (c доменом и gmail)
      И тут прилетает письмо от хоста:
       
      Для площадки u***** отключена возможность отправлять письма из скриптов.
      С площадки шла массовая рассылка незапрошенной корреспонденции (спам). Рассылка совершалась с помощью PHP-скрипта, размещенного на площадке. (см. пример письма по ссылке, строки X-PHP-Script или X-PHP-Originating-Script)  https://sample.masterhost.ru/34619699917-20715b71de578bc97c081facf12456c35bd6f.txt 
      Уточнение: теперь невозможна отправка электронной почты через скрипты, при этом основная почта доменов (pop, smtp, imap) осталась в рабочем состоянии.
      Скорее всего с вашего компьютера украден FTP-пароль и вирус загружен на ваши сайты, либо файлы изменены (добавлены) через уязвимость в скриптах одного из ваших сайтов.
      Вам необходимо обновить используемые скрипты, закрыв в них уязвимости, например, обновив вашу CMS, и удалить имеющийся вредоносный код.
      Порядок действий:
      1. смените ftp-пароль https://cp.masterhost.ru/requests/change_ftp_passwd
      2. закажите резервную копию ОБЯЗАТЕЛЬНО за ту дату, когда вируса на вашем сайте не было: https://cp.masterhost.ru/requests/get_backup
      3. ОБНОВИТЕ ВАШУ CMS, обновите антивирус, проверьте компьютер
      4. используйте защищенный доступ http://masterhost.ru/support/doc/ftp/#sftp
      5. проверьте наличие посторонних файлов и вирусов на вашем сайте с помощью специализированных внешних сервисов и скриптов. Компании оказывающие подобные услуги можно найти в Интернете.
      6. если вы сохранили подозрительный или измененный файл сайта появившийся на площадке, то по метке времени его создания выполните анализ HTTP POST запросов к сайтам которые были выполнены в это время. В некоторых случаях полученная информация из журналов может помочь найти уязвимые скрипты сайта и посторонние вредоносные файлы. Журналы HTTP запросов к сайтам (access_log) за последние 14 дней доступны в корне площадки в директории _logs
      --
      Служба мониторинга сервисов
      .masterhost

       
  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.