Уже устал.. вирусы на сайтах...

[igorfelix]

Недавно заразился вирусами. Все началось с ноября.

Думал сначала на модх. Пришлось обновлять 6 сайтов до последней версии.

Хостер мне отключал phpmail говорит спам летит от вас, включил лог и я в нем наблюдал откуда именно.

на хостинге более 100 папок. На втором хостинге около 30 сайтов ( и там тоже вирус)

 

В корне каждой папки был файл info.php в нем закодированный код.

Удалил все.. Через 3 дня снова,, снова все вычистил, через пару дней вновь. 

 

Каждый раз файлы назывались по разному, и очень хитро запрятаны. Проверял папки у опенкарта dowload , в двух сайтах в этих папках был всяких шлак из скриптов.

Думал все дело в корявом модх.Обновил до последней сборки. Но вчера решил проверить онлайн сервисом пару сайтов опенкарт, и мне чуть плохо не стало.

Пару сайтов кишат шелами, а в одной папке на сервере вообще кишило всякими скриптами, как будто какой то мудак взломал фтп и ставил эксперименты, заливая на хостинг свои скрипты.

 

До этого я менял фтп пароли, пароли к аккаунту. Но дело в том что у меня два разных хостинга и там и там заражено.

Вчера вылечил один сайт, сегодня утром опять этот сайт заражен двумя скриптами. Выложу что примерно я находил запрятанные в опенкарте, может кто нибудь сталкивался с этой проблемой

А Хостер мне вырубает phpmail , иначе с меня летит спам. до этого еще был прикол, в папку закинули фишинговую страницу которая похищала какие то пароли paypal, мне это хостер сказал.

Короче у меня этих вирусов навалом всяких разнообразных. сил больше нет чистить...

 

 

ajax.php

test.php

std.php

view.php

info.php

[afwollis]

и?

тебе пособолезновать или что?

смотри даты/время создания файлов, требуй от хостера логи доступа на ftp, последних действий.

ЛЕЧИ СВОЙ КОМП. меняй ftp-клиент.

делай слепки сайтов, ставь в cron скрипт для проверки состояния, поиска новых/измененных файлов.

аудит, поиск решений и, собственно, решение проблем в данном случае может обойтись в сферическую сумму.

[igorfelix]

я искал по последней дате изменений вчера, каждую папку.. и че толку ? я удалил все на хостинге что вызывало подозрение.

Сегодня опять появилось. 

[Гість]

попробуйте сменить права на папки в которые пишутся скрипты...

[igorfelix]

они каждый раз в разных папках. На какие права нужно выставить ?

[Гість]

документацию к движкам почитайте, в которые пишет...какие права на какие папки выставить

[afwollis]

я искал по последней дате изменений вчера, каждую папку.. и че толку ?

ниче. значит ты некомпетентен в данных вопросах.

поручи это специалисту.

На какие права нужно выставить ?

на все.

вменяемые минимальные.

[igorfelix]

Ну нашел я папку с вирусом, ну поставлю я ей 644 вместо 755. а что это даст? завтра в соседней папке этот вирус себя создаст 

[igorfelix]

вот щас нашел сайт/vqmod/xml/inc.php

права 644 стоят на него. папка 755

вчера его точно небыло.

может в БД вирус сидит? 

это у меня один сайт прям палится вирусами, я не все досконально проверил, но из него чаще всего летит спам это я по логам нахожу.

и еще один тоже на опенкарте. 

[Tom]

Система-Настройки, вкладка Сервер.В самом низу
Файл журнала ошибок:

 

что вписано?

[afwollis]

что делать - написано во втором сообщении.

[igorfelix]

Tom, был отключен журнал сохранения. включил. позже посмотрю..

[Tom]

Это я к тому,что последнее время взлом происходит именно начиная оттуда.

 

error.txt  в  error.php ,потом sql  с заготовкой,ловим ошибку,в файл записываем заготовку,на выходе исполняемый файл(как правило простенький загрузчик).Дальше дело фантазии  и свободного времени того кто этим развлекался.

[AlexDW]

а нет ли часом сайтов на других движках (всяких вордпрессов и джумл) на этих же аккаунтах?

впрочем, это все гадания..

 

по сути - afwollis все вторым постом сказал; можно еще здесь почитать

 

по факту - если не можете решить проблему сами, попробуйте обратиться в раздел платных услуг

вроде у halfhope хорошо получается избавлять от подобных проблем

[igorfelix]

а нет ли часом сайтов на других движках (всяких вордпрессов и джумл) на этих же аккаунтах?

впрочем, это все гадания..

 

по сути - afwollis все вторым постом сказал; можно еще здесь почитать

 

по факту - если не можете решить проблему сами, попробуйте обратиться в раздел платных услуг

вроде у halfhope хорошо получается избавлять от подобных проблем

 

Хочется самому с этим разобраться. сам раньше дурил вирусами, на delphi. 

2) Модх, и опенкарт. больше никаких cms не использую.

[igorfelix]

Это я к тому,что последнее время взлом происходит именно начиная оттуда.

 

error.txt  в  error.php ,потом sql  с заготовкой,ловим ошибку,в файл записываем заготовку,на выходе исполняемый файл(как правило простенький загрузчик).Дальше дело фантазии  и свободного времени того кто этим развлекался.

 

один сайт с которого была одна из атак выдал лог в админке опенкарта такое :

2015-12-26 22:13:27 - PHP Warning:  fopen(сайт.ру/download/test): failed to open stream: No such file or directory in сайт.ру/admin/controller/common/home.php on line 99

2015-12-26 22:13:27 - PHP Warning:  fwrite() expects parameter 1 to be resource, boolean given in сайт.ру/admin/controller/common/home.php on line 101

2015-12-26 22:13:27 - PHP Warning:  fclose() expects parameter 1 to be resource, boolean given in сайт.ру/admin/controller/common/home.php on line 103

2015-12-26 22:13:27 - PHP Warning:  sprintf(): Too few arguments in сайт.ру/admin/controller/common/home.php on line 106

папку dowload я вчера удалил. может он ее ищет что б закачать test.php ? 

Змінено 26 грудня 2015 користувачем igorfelix

[n3bo]

Обратитесь к специалисту. Столько времени тратите + даже после удаления вируса, вы уверены что дыра в безопасности будет закрыта?

[halfhope]

Обращайтесь если передумаете, чем раньше тем лучше. 

[igorfelix]

Пока что затишье после последней чистки. Надеюсь навсегда.

[afwollis]

новый год же - злодеи бухают.

[AlexDW]

новый год же - злодеи бухают.

 

MWA-HA-HA-HA!!! © Raving Rabbids :-D

[tarina]

Скажи какой хостинг такой счастливый?)))

[igorfelix]

Скажи какой хостинг такой счастливый?)))

Вылечил все сам. Уже не беспокоит. Тьфу тьфу тьфу

[sitecreator]

Недавно заразился вирусами. Все началось с ноября.

Думал сначала на модх. Пришлось обновлять 6 сайтов до последней версии.

 

 

И это правильно, что думали. исключать нельзя.

У меня ломали дважды сайт на modx (старая версия) за год. Причем сайт работал успешно несколько лет.

[sitecreator]

Вылечил все сам. Уже не беспокоит. Тьфу тьфу тьфу

 

Поделитесь с народом если нашли причину.