- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
teremoks, Ну да, такие вирусы как правило и заливают с взломанных машин юзеров :)
Заражает этот вирус в 99 % случаев index файлы !!! Дописывает либо в начало либо в конец файла фрагмент закодированного JS кода.
Сайт заражается в 99% случаев по FTP с клиента, тоесть с того компьютера(ов) которые коннектятся к ftp серверу.
Тебе нужно просто удалить во всех index куски вируса.
Ну и смотреть логи ftp дабы выяснить с какого клиента и во сколько это произошло.
Далее просто проверить компьютер клиента на вредоносный код.
Ну да чуть не забыл, и также нужно сменить пароль доступа к FTP.
Чтобы не плодить новой темы, подключусь к топику.
У меня схожая проблемка. Сайт на старом движке Постнюка. Последние две недели периодически вставляется iframe со ссылкой на зараженный сайт. По факту просто создается файлик с одной строкой iframe и ссылкой, а в индекс добавляется строчка с юнклюдом. Иногда хватает просто добавления файлика index.php в папку с модулями CMS.
Антивирь стоит на всех машинах, кроме того, в ФТП логах хостинга xferlog_regular нет закачки файла, который создается.
Что искать в логах доступа access_log не знаю, я не программист. Да они и не маленькие... За сегодня 20 мегов.. Но если кто подскажет, готов и здесь разбираться. Там 95% однотипных запросов.
Вроде понятно, что пользуются уязвимостью Постнюки, но как закрыть дырку ? Переходить на другой двиг сложно, одна база под 100 мегов... Да и где гарантия, что там похожей дыры не будет..
Хостер практически послал меня нафиг... Когда я высказал предположение, что файлики заливают через его дырку. Бывает в жизни, что ломают сайты на том же сервере и добираются до паролей к другим сайтам того же сервера...
Уважаемые, не дайте погибнуть шашечному сайту :-) Смайл поставил, чтобы не звучало слишком пафосно... Самому уже не до смеха..
от имени какого пользователя работает вебсервер, какой пользователь/какие права на директорию куда загружается дрянь?
По факту просто создается файлик с одной строкой iframe и ссылкой, а в индекс добавляется строчка с юнклюдом. Иногда хватает просто добавления файлика index.php в папку с модулями CMS.
Антивирь стоит на всех машинах, кроме того, в ФТП логах хостинга xferlog_regular нет закачки файла, который создается.
Что искать в логах доступа access_log не знаю, я не программист. Да они и не маленькие... За сегодня 20 мегов.. Но если кто подскажет, готов и здесь разбираться. Там 95% однотипных запросов.
0) смотрим права. веб-скриптам хватает их, чтобы создать/модифицировать необходимые файлы?
1) идем смотреть дату на создаваемом файле - здорово сужаем тем самым поиск в access.log
2) раз 95% запросов однотипные - может быть имеет смысл такие и отфильтровать сразу?
5% - это уже порядка 1k строк access.log _всего_ ;)
3) есть смысл попробовать сразу поискать следы контента создаваемого файла прямо в
access.log. раз там есть iframe тег - например, grep iframe /path/to/access.log
Спасибо всем за подсказки.
На данный момент времени нашел, что пользуясь уязвимостью форума для Постнюки в папку для аватар заливали РНР файлики. Отменил такую возможность и вообще снес эту папку.
Пока полет нормальный...
У него на сайте Вирус Troj/JSRedir-AK (JS:Illredir-B) , у меня аваст по крайней мере так определил, редирект проще говоря.
Вирус вставляет в странице свой JavaScript-код, который делает редирект
Исходник с вирусом
http://www.sale777.ru//mohito_api/js/ajax.js
Размер файла: 2176 байт
MD5 файла: 68fd21e9cbb73a85939f331bfe4af641
http://www.sale777.ru//mohito_api/js/ajax.js infected with JS.Click.61
Не подскажите как можно убрать вирус с сайта ?
Сначала дырки в скрипте залатать надо.