Jump to content
Sign in to follow this  
igorfelix

Уже устал.. вирусы на сайтах...

Recommended Posts

Недавно заразился вирусами. Все началось с ноября.

Думал сначала на модх. Пришлось обновлять 6 сайтов до последней версии.

Хостер мне отключал phpmail говорит спам летит от вас, включил лог и я в нем наблюдал откуда именно.

на хостинге более 100 папок. На втором хостинге около 30 сайтов ( и там тоже вирус)

 

В корне каждой папки был файл info.php в нем закодированный код.

Удалил все.. Через 3 дня снова,, снова все вычистил, через пару дней вновь. 

 

Каждый раз файлы назывались по разному, и очень хитро запрятаны. Проверял папки у опенкарта dowload , в двух сайтах в этих папках был всяких шлак из скриптов.

Думал все дело в корявом модх.Обновил до последней сборки. Но вчера решил проверить онлайн сервисом пару сайтов опенкарт, и мне чуть плохо не стало.

Пару сайтов кишат шелами, а в одной папке на сервере вообще кишило всякими скриптами, как будто какой то мудак взломал фтп и ставил эксперименты, заливая на хостинг свои скрипты.

 

До этого я менял фтп пароли, пароли к аккаунту. Но дело в том что у меня два разных хостинга и там и там заражено.

Вчера вылечил один сайт, сегодня утром опять этот сайт заражен двумя скриптами. Выложу что примерно я находил запрятанные в опенкарте, может кто нибудь сталкивался с этой проблемой

А Хостер мне вырубает phpmail , иначе с меня летит спам. до этого еще был прикол, в папку закинули фишинговую страницу которая похищала какие то пароли paypal, мне это хостер сказал.

Короче у меня этих вирусов навалом всяких разнообразных. сил больше нет чистить...

 

 

ajax.php

test.php

std.php

view.php

info.php

Share this post


Link to post
Share on other sites

и?

тебе пособолезновать или что?

смотри даты/время создания файлов, требуй от хостера логи доступа на ftp, последних действий.

ЛЕЧИ СВОЙ КОМП. меняй ftp-клиент.

делай слепки сайтов, ставь в cron скрипт для проверки состояния, поиска новых/измененных файлов.

аудит, поиск решений и, собственно, решение проблем в данном случае может обойтись в сферическую сумму.

Share this post


Link to post
Share on other sites

я искал по последней дате изменений вчера, каждую папку.. и че толку ? я удалил все на хостинге что вызывало подозрение.

Сегодня опять появилось. 

Share this post


Link to post
Share on other sites

попробуйте сменить права на папки в которые пишутся скрипты...

Share this post


Link to post
Share on other sites

они каждый раз в разных папках. На какие права нужно выставить ?

Share this post


Link to post
Share on other sites

документацию к движкам почитайте, в которые пишет...какие права на какие папки выставить

Share this post


Link to post
Share on other sites

я искал по последней дате изменений вчера, каждую папку.. и че толку ?

ниче. значит ты некомпетентен в данных вопросах.

поручи это специалисту.

На какие права нужно выставить ?

на все.

вменяемые минимальные.

Share this post


Link to post
Share on other sites

Ну нашел я папку с вирусом, ну поставлю я ей 644 вместо 755. а что это даст? завтра в соседней папке этот вирус себя создаст 

Share this post


Link to post
Share on other sites

вот щас нашел сайт/vqmod/xml/inc.php

права 644 стоят на него. папка 755

вчера его точно небыло.

может в БД вирус сидит? 

это у меня один сайт прям палится вирусами, я не все досконально проверил, но из него чаще всего летит спам это я по логам нахожу.

и еще один тоже на опенкарте. 

Share this post


Link to post
Share on other sites

Система-Настройки, вкладка Сервер.В самом низу
Файл журнала ошибок:

 

что вписано?

Share this post


Link to post
Share on other sites

что делать - написано во втором сообщении.

Share this post


Link to post
Share on other sites
Tom, был отключен журнал сохранения. включил. позже посмотрю..

Share this post


Link to post
Share on other sites

Это я к тому,что последнее время взлом происходит именно начиная оттуда.

 

error.txt  в  error.php ,потом sql  с заготовкой,ловим ошибку,в файл записываем заготовку,на выходе исполняемый файл(как правило простенький загрузчик).Дальше дело фантазии  и свободного времени того кто этим развлекался.

Share this post


Link to post
Share on other sites

а нет ли часом сайтов на других движках (всяких вордпрессов и джумл) на этих же аккаунтах?

впрочем, это все гадания..

 

по сути - afwollis все вторым постом сказал; можно еще здесь почитать

 

по факту - если не можете решить проблему сами, попробуйте обратиться в раздел платных услуг

вроде у halfhope хорошо получается избавлять от подобных проблем

  • +1 1

Share this post


Link to post
Share on other sites

а нет ли часом сайтов на других движках (всяких вордпрессов и джумл) на этих же аккаунтах?

впрочем, это все гадания..

 

по сути - afwollis все вторым постом сказал; можно еще здесь почитать

 

по факту - если не можете решить проблему сами, попробуйте обратиться в раздел платных услуг

вроде у halfhope хорошо получается избавлять от подобных проблем

 

Хочется самому с этим разобраться. сам раньше дурил вирусами, на delphi. 

2) Модх, и опенкарт. больше никаких cms не использую.

Share this post


Link to post
Share on other sites

Это я к тому,что последнее время взлом происходит именно начиная оттуда.

 

error.txt  в  error.php ,потом sql  с заготовкой,ловим ошибку,в файл записываем заготовку,на выходе исполняемый файл(как правило простенький загрузчик).Дальше дело фантазии  и свободного времени того кто этим развлекался.

 

один сайт с которого была одна из атак выдал лог в админке опенкарта такое :

2015-12-26 22:13:27 - PHP Warning:  fopen(сайт.ру/download/test): failed to open stream: No such file or directory in сайт.ру/admin/controller/common/home.php on line 99

2015-12-26 22:13:27 - PHP Warning:  fwrite() expects parameter 1 to be resource, boolean given in сайт.ру/admin/controller/common/home.php on line 101

2015-12-26 22:13:27 - PHP Warning:  fclose() expects parameter 1 to be resource, boolean given in сайт.ру/admin/controller/common/home.php on line 103

2015-12-26 22:13:27 - PHP Warning:  sprintf(): Too few arguments in сайт.ру/admin/controller/common/home.php on line 106

папку dowload я вчера удалил. может он ее ищет что б закачать test.php ? 

Edited by igorfelix

Share this post


Link to post
Share on other sites

Обратитесь к специалисту. Столько времени тратите + даже после удаления вируса, вы уверены что дыра в безопасности будет закрыта?

Share this post


Link to post
Share on other sites

Обращайтесь если передумаете, чем раньше тем лучше. 

Share this post


Link to post
Share on other sites

Пока что затишье после последней чистки. Надеюсь навсегда.

Share this post


Link to post
Share on other sites

новый год же - злодеи бухают.

  • +1 1

Share this post


Link to post
Share on other sites

новый год же - злодеи бухают.

 

MWA-HA-HA-HA!!! © Raving Rabbids :-D

Share this post


Link to post
Share on other sites

Скажи какой хостинг такой счастливый?)))

Share this post


Link to post
Share on other sites

Скажи какой хостинг такой счастливый?)))

Вылечил все сам. Уже не беспокоит. Тьфу тьфу тьфу

Share this post


Link to post
Share on other sites

Недавно заразился вирусами. Все началось с ноября.

Думал сначала на модх. Пришлось обновлять 6 сайтов до последней версии.

 

 

И это правильно, что думали. исключать нельзя.

У меня ломали дважды сайт на modx (старая версия) за год. Причем сайт работал успешно несколько лет.

Share this post


Link to post
Share on other sites

Вылечил все сам. Уже не беспокоит. Тьфу тьфу тьфу

 

Поделитесь с народом если нашли причину.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Similar Content

    • By empty
      Добрый день.
       
      Перенес сайт на хостинг клиента, хостинг Hetcer, сайт https://confento.com, шаблон стандартный, и через некоторое время он оказался зараженным.
      Через ai-bolit прогнал, удалил все зараженные файлы, скрипты, заново рекурсивно в ISP панели выставил 755 на папки и 644 на файлы.
      Починил.
      Проходит дня 3-4 - ситуация повторилась вновь.
      .htaccess права с 644 сменил на 444, куча индексных файлов, index.html.bak.bak, в index.php ссылка на хедер вордпресса (оО), в айболите 8 заражений, куча каких то левых .php файлов.
      Все удалил, полазил по папкам, нашел кучу файлов левых, тоже удалил, снова права поправил.
      Но чувствую что в какой то момент снова может оказаться такая беда.
      Вот установленные дополнения - http://joxi.ru/4AkQEbOIydqozm - может кто в курсе, что с какого-то из них лезет вирусня.
       
      Подскажите пожалуйста, каким образом можно выявить, где уязвимость? Как узнать откуда лезет весь этот мусор?
      Так же - как можно защитить сайт от вирусных атак?
       
      Спасибо!
    • By Kapitoxaxa
      Ребята подскажите пожалуйста как это победить. Присутствует такая табличка только когда захожу на сайт через оперу.

    • By wolfxxx
      Ребята привет, подскажите плииз,
      В общем на хостинге стояла 3 сайта, на 2-их был установлен шаблон с вирусом.
      в итоге их стер.
      Начал проверять 3-ий и выскочила вот такая фигня, кто разбирается подскажите плиииз есть вирус или нет.
       
      Путь Изменение содержимого Размер blABLA/public_html/catalog/model/tool/image.php [x] 1…$height){$image=new Image(DIR_IMAGE.$image_old);$image->resize($width,$height);$image->save(DIR_IMAGE.$image_new);}else{ copy(DIR_IMAGE.$image_old,DIR_IMAGE.$image_new);}}$imagepath_parts=explode('/',$image_new);$new_image=implode('/',array 05/04/2018 20:48:23 1.77 Kb /blABLA/public_html/admin/model/tool/image.php [x] 1…$height){$image=new Image(DIR_IMAGE.$image_old);$image->resize($width,$height);$image->save(DIR_IMAGE.$image_new);}else{ copy(DIR_IMAGE.$image_old,DIR_IMAGE.$image_new);}}$imagepath_parts=explode('/',$image_new);$new_image=implode('/',array 05/04/2018 20:48:19 1.73 Kb blABLA.ru/public_html/catalog/controller/extension/payment/qiwi_rest.php [x] 1…);curl_setopt($ch,CURLOPT_USERPWD,$this->config->get('qiwi_rest_id').":".$this->config->get('qiwi_rest_password'));curl_ setopt($ch,CURLOPT_POSTFIELDS,http_build_query($data));curl_setopt($ch,CURLOPT_RETURNTRANSFER,true);curl_setopt($ch,CUR  

    • By alldell
      Добрый вечер! Кто сталкивался помогите) Взломали сайты, пока заметил на двух оба на opencart, всего Пять на хостинге. Три на opencart два на wordpress. Недавно установил новый сайт
      на OcStore скачивал с форума, шаблон с оф сайта разработчика TechStore. Суть проблемы, когда заходишь на сайт с телефона вылезает на новостной баннер и ведёт по ссылке на Риа новости) И эта зараза переодически пропадает и появляется снова. Кто знает как это лечить? Может кто с этим сталкивался )
    • By kolek5520
      Добрый день всем.
      Гонял сайт через  сервис http://www.webpagetest.org
       
      и заметил, среди запросов, странные ведущие на ALIEXPRESS  И com-sale.ru
      https://yadi.sk/i/Nhiz-49D3QpYV5
       
  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.