Перейти к содержанию
igorfelix

Уже устал.. вирусы на сайтах...

Рекомендуемые сообщения

Недавно заразился вирусами. Все началось с ноября.

Думал сначала на модх. Пришлось обновлять 6 сайтов до последней версии.

Хостер мне отключал phpmail говорит спам летит от вас, включил лог и я в нем наблюдал откуда именно.

на хостинге более 100 папок. На втором хостинге около 30 сайтов ( и там тоже вирус)

 

В корне каждой папки был файл info.php в нем закодированный код.

Удалил все.. Через 3 дня снова,, снова все вычистил, через пару дней вновь. 

 

Каждый раз файлы назывались по разному, и очень хитро запрятаны. Проверял папки у опенкарта dowload , в двух сайтах в этих папках был всяких шлак из скриптов.

Думал все дело в корявом модх.Обновил до последней сборки. Но вчера решил проверить онлайн сервисом пару сайтов опенкарт, и мне чуть плохо не стало.

Пару сайтов кишат шелами, а в одной папке на сервере вообще кишило всякими скриптами, как будто какой то мудак взломал фтп и ставил эксперименты, заливая на хостинг свои скрипты.

 

До этого я менял фтп пароли, пароли к аккаунту. Но дело в том что у меня два разных хостинга и там и там заражено.

Вчера вылечил один сайт, сегодня утром опять этот сайт заражен двумя скриптами. Выложу что примерно я находил запрятанные в опенкарте, может кто нибудь сталкивался с этой проблемой

А Хостер мне вырубает phpmail , иначе с меня летит спам. до этого еще был прикол, в папку закинули фишинговую страницу которая похищала какие то пароли paypal, мне это хостер сказал.

Короче у меня этих вирусов навалом всяких разнообразных. сил больше нет чистить...

 

 

ajax.php

test.php

std.php

view.php

info.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

и?

тебе пособолезновать или что?

смотри даты/время создания файлов, требуй от хостера логи доступа на ftp, последних действий.

ЛЕЧИ СВОЙ КОМП. меняй ftp-клиент.

делай слепки сайтов, ставь в cron скрипт для проверки состояния, поиска новых/измененных файлов.

аудит, поиск решений и, собственно, решение проблем в данном случае может обойтись в сферическую сумму.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я искал по последней дате изменений вчера, каждую папку.. и че толку ? я удалил все на хостинге что вызывало подозрение.

Сегодня опять появилось. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

попробуйте сменить права на папки в которые пишутся скрипты...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

они каждый раз в разных папках. На какие права нужно выставить ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

документацию к движкам почитайте, в которые пишет...какие права на какие папки выставить

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я искал по последней дате изменений вчера, каждую папку.. и че толку ?

ниче. значит ты некомпетентен в данных вопросах.

поручи это специалисту.

На какие права нужно выставить ?

на все.

вменяемые минимальные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну нашел я папку с вирусом, ну поставлю я ей 644 вместо 755. а что это даст? завтра в соседней папке этот вирус себя создаст 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вот щас нашел сайт/vqmod/xml/inc.php

права 644 стоят на него. папка 755

вчера его точно небыло.

может в БД вирус сидит? 

это у меня один сайт прям палится вирусами, я не все досконально проверил, но из него чаще всего летит спам это я по логам нахожу.

и еще один тоже на опенкарте. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Система-Настройки, вкладка Сервер.В самом низу
Файл журнала ошибок:

 

что вписано?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

что делать - написано во втором сообщении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tom, был отключен журнал сохранения. включил. позже посмотрю..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это я к тому,что последнее время взлом происходит именно начиная оттуда.

 

error.txt  в  error.php ,потом sql  с заготовкой,ловим ошибку,в файл записываем заготовку,на выходе исполняемый файл(как правило простенький загрузчик).Дальше дело фантазии  и свободного времени того кто этим развлекался.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а нет ли часом сайтов на других движках (всяких вордпрессов и джумл) на этих же аккаунтах?

впрочем, это все гадания..

 

по сути - afwollis все вторым постом сказал; можно еще здесь почитать

 

по факту - если не можете решить проблему сами, попробуйте обратиться в раздел платных услуг

вроде у halfhope хорошо получается избавлять от подобных проблем

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а нет ли часом сайтов на других движках (всяких вордпрессов и джумл) на этих же аккаунтах?

впрочем, это все гадания..

 

по сути - afwollis все вторым постом сказал; можно еще здесь почитать

 

по факту - если не можете решить проблему сами, попробуйте обратиться в раздел платных услуг

вроде у halfhope хорошо получается избавлять от подобных проблем

 

Хочется самому с этим разобраться. сам раньше дурил вирусами, на delphi. 

2) Модх, и опенкарт. больше никаких cms не использую.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это я к тому,что последнее время взлом происходит именно начиная оттуда.

 

error.txt  в  error.php ,потом sql  с заготовкой,ловим ошибку,в файл записываем заготовку,на выходе исполняемый файл(как правило простенький загрузчик).Дальше дело фантазии  и свободного времени того кто этим развлекался.

 

один сайт с которого была одна из атак выдал лог в админке опенкарта такое :

2015-12-26 22:13:27 - PHP Warning:  fopen(сайт.ру/download/test): failed to open stream: No such file or directory in сайт.ру/admin/controller/common/home.php on line 99

2015-12-26 22:13:27 - PHP Warning:  fwrite() expects parameter 1 to be resource, boolean given in сайт.ру/admin/controller/common/home.php on line 101

2015-12-26 22:13:27 - PHP Warning:  fclose() expects parameter 1 to be resource, boolean given in сайт.ру/admin/controller/common/home.php on line 103

2015-12-26 22:13:27 - PHP Warning:  sprintf(): Too few arguments in сайт.ру/admin/controller/common/home.php on line 106

папку dowload я вчера удалил. может он ее ищет что б закачать test.php ? 

Изменено пользователем igorfelix

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Обратитесь к специалисту. Столько времени тратите + даже после удаления вируса, вы уверены что дыра в безопасности будет закрыта?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Обращайтесь если передумаете, чем раньше тем лучше. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пока что затишье после последней чистки. Надеюсь навсегда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

новый год же - злодеи бухают.

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

новый год же - злодеи бухают.

 

MWA-HA-HA-HA!!! © Raving Rabbids :-D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скажи какой хостинг такой счастливый?)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скажи какой хостинг такой счастливый?)))

Вылечил все сам. Уже не беспокоит. Тьфу тьфу тьфу

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Недавно заразился вирусами. Все началось с ноября.

Думал сначала на модх. Пришлось обновлять 6 сайтов до последней версии.

 

 

И это правильно, что думали. исключать нельзя.

У меня ломали дважды сайт на modx (старая версия) за год. Причем сайт работал успешно несколько лет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вылечил все сам. Уже не беспокоит. Тьфу тьфу тьфу

 

Поделитесь с народом если нашли причину.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Похожий контент

    • От wolfxxx
      Ребята привет, подскажите плииз,
      В общем на хостинге стояла 3 сайта, на 2-их был установлен шаблон с вирусом.
      в итоге их стер.
      Начал проверять 3-ий и выскочила вот такая фигня, кто разбирается подскажите плиииз есть вирус или нет.
       
      Путь Изменение содержимого Размер blABLA/public_html/catalog/model/tool/image.php [x] 1…$height){$image=new Image(DIR_IMAGE.$image_old);$image->resize($width,$height);$image->save(DIR_IMAGE.$image_new);}else{ copy(DIR_IMAGE.$image_old,DIR_IMAGE.$image_new);}}$imagepath_parts=explode('/',$image_new);$new_image=implode('/',array 05/04/2018 20:48:23 1.77 Kb /blABLA/public_html/admin/model/tool/image.php [x] 1…$height){$image=new Image(DIR_IMAGE.$image_old);$image->resize($width,$height);$image->save(DIR_IMAGE.$image_new);}else{ copy(DIR_IMAGE.$image_old,DIR_IMAGE.$image_new);}}$imagepath_parts=explode('/',$image_new);$new_image=implode('/',array 05/04/2018 20:48:19 1.73 Kb blABLA.ru/public_html/catalog/controller/extension/payment/qiwi_rest.php [x] 1…);curl_setopt($ch,CURLOPT_USERPWD,$this->config->get('qiwi_rest_id').":".$this->config->get('qiwi_rest_password'));curl_ setopt($ch,CURLOPT_POSTFIELDS,http_build_query($data));curl_setopt($ch,CURLOPT_RETURNTRANSFER,true);curl_setopt($ch,CUR  

    • От alldell
      Добрый вечер! Кто сталкивался помогите) Взломали сайты, пока заметил на двух оба на opencart, всего Пять на хостинге. Три на opencart два на wordpress. Недавно установил новый сайт
      на OcStore скачивал с форума, шаблон с оф сайта разработчика TechStore. Суть проблемы, когда заходишь на сайт с телефона вылезает на новостной баннер и ведёт по ссылке на Риа новости) И эта зараза переодически пропадает и появляется снова. Кто знает как это лечить? Может кто с этим сталкивался )
    • От kolek5520
      Добрый день всем.
      Гонял сайт через  сервис http://www.webpagetest.org
       
      и заметил, среди запросов, странные ведущие на ALIEXPRESS  И com-sale.ru
      https://yadi.sk/i/Nhiz-49D3QpYV5
       
    • От kaaspb
      Добрый день
      сейчас начитался форума и понял,что столкнулся с проблемой. с которой многие сталкивались: ничего не понимая в вопросах сайтостроительства заказал сайт фрилансеру, он написал сколько это будет стоить,я оплатил, он все вроде бы сделал, а сейчас с ним нет связи. И теперь не понимаю,что покупалось для нашего сайта, что он использовал.... нет ли дыр или троянов каких на сайте
       
      есть ли специалисты по безопасности проверить сайт, естественно заранее договорившись об оплате
      спасибо
    • От storagevash
      Ещё прежде не сталкивался с вопросами безопасности ранее. У меня одна база данных на два  сайта, оба на ocstore 1.5.5.1.2.  Один посложнее  весь в модулях, другой облегчённый. То на одном, то на другом  начинаются вредоносные ставки во все страницы

      <meta http-equiv="refresh" content="0;url=http://ww2.googlejavascript.com/?folio=7POJ4E717" />
       
       сканирую бесплатными сервисами, но не могу  найти, что именно вписывает вредоносные коды. Как найти виновника?! Эту дырку в сайте. Что порекомендуете?
       
      сейчас  www.2450210.ru - полностью атакован. А главный на той же базе www.efler.ru - работает. И сканеры не видят там  проблем.  Причём на 2450210  я  уже  перезалил с исходника  окстор  все  javescript , отключил все модули. куда  мог  попасть вредоносный код?
  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.