Проверьте конфиг апача - Администрирование серверов

Вирус на сайте/сервере. Кто сталкивался?

franklin90 · 2020-07-28T15:09:32.0000000Z

Добрый всем день. Имеется проблема: На физическом выделенном сервере у нескольких пользователей обнаружились зараженные сайты. Информация о заражении начала поступать через Яндекс.Вебмастер с 11 числа. Через пару дней, естественно, началось блокирование сайтов уже на уровне браузеров. При визуальной проверке исходного html кода никаких "лишних" фрагментов обнаружить не удается. Лишь один раз, один из пользователей, зайдя на сайт через IE с отключенным кешем, смог увидеть встроенный iframe. Скрин выкладывал в теме /ru/forum/747528 При проверке исходников CMS (того места, откуда данный кусок кода может выводиться) ничего подозрительного не обнаружили. При повторной загрузке сайта iframe пропал. Проверка сервера некоторыми утилитами не выявила никаких изменений в системных файлах. Пробовали искать по датам изменений файлов CMS - тоже ничего подозрительного. CMS в основном своя везде стоит, на паре сайтов есть shop script, на одном WP. Яндекс.Вебмастер тоже ведет себя несколько странно: при одной проверке он обнаруживает вирус, через день начинает считать, что сайт чистый, а еще через день может сказать, что сайт опять заражен. Проверки ai-bolit -ом тоже пока ничего не выявили. Можно, конечно, поднять бэкап, но хочется понять откуда (или куда :crazy:) ноги растут. Может, кто то сталкивался с подобной заразой? PS Пользуемся WinSCP - из под root. По логам - только свои заходы, так что рутовский пароль не уведен. У некоторых клиентов есть ftp доступ. Но на ftp не грешу, так как заражение коснулось всех пользователей на сервере.

131

franklin90

17 октября 2012, 13:45

#11

Andreyka, И в базе тоже. Сегодня вообще феноменальная ситуация обнаружилась: сайт giper.net

В выдаче Яндекса предупреждение. http://yandex.ru/yandsearch?text=giper.net&lr=2

При этом если посмотрите на сам сайт (может, кстати, сможете iframe увидеть как новый пользователь) - там одна html страница из 11 строк. На сервере она девственно чиста (без вредоносного кода)...

Вот как такое вообще может быть? Не на уровне же Apache Iframe прописывается....

C уважением Александр

Системы Google обнаружили вредоносный Вредоносный код на сайте Возможно взломали сайт

M

173

michaek

17 октября 2012, 14:08

#12

интересная штука. тут уже спрашивали, проверка всякими rkhunter и подобными что-нибудь дает?

822

Andreyka

17 октября 2012, 14:39

#13

Тогда надо проводить серверный аудит

Не стоит плодить сущности без необходимости

K5

209

kgtu5

17 октября 2012, 16:43

#14

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

пустая строка между doctype и html должна быть???

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!

79

luckyJack

17 октября 2012, 16:51

#15

Было такое. В файлы JS был каким-то образом был внедрен зашифрованный код. Из-за него-то и была проблема.

Комплексный интернет-маркетинг (https://serblog.ru/nastrojka-i-vedenie-kontekstnoj-reklamy-yandeks-direkt-i-google-adwords/)

K5

209

kgtu5

17 октября 2012, 16:57

#16

luckyJack:
Было такое. В файлы JS был каким-то образом был внедрен зашифрованный код. Из-за него-то и была проблема.

осталось найти на странице яваскрипты

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>
<body bgcolor="#FFFFFF">
<table border=0 width=100%>
<tr>
<td align="center"><a title="Go to site Allara Studio" href="http://allara-studio. ru"><img src="giper_zaglushka.jpg" alt="Студия GIPER.net"></a></td>
</tr>
</table>
</body>
</html>

---------- Добавлено 17.10.2012 в 20:59 ----------

в яндекс.вебмастер все сайты добавлены???

В Яндекс.Вебмастере можно увидеть список известных Яндексу зараженных страниц вашего сайта и запросить внеочередную перепроверку на наличие вредоносного кода для того, чтобы как можно скорее снять пометку в результатах поиска.

T

55

tls

17 октября 2012, 20:00

#17

franklin90:
При этом если посмотрите на сам сайт (может, кстати, сможете iframe увидеть как новый пользователь) - там одна html страница из 11 строк. На сервере она девственно чиста (без вредоносного кода)...

Она обрабатывается как php.

Вот как такое вообще может быть? Не на уровне же Apache Iframe прописывается....

Проверьте (либо сравните с бекапом) конфиги php, Apache и все .htaccess в пути и узнаете.

131

franklin90

18 октября 2012, 08:50

#18

Кому интересно - последние новости :)

При тщательной проверке конфига апача обнаружился странный модуль. Называется mod_chart_proxy

Дата создания модуля как раз совпадала с датой начала проблем - 12 число.

Модуль был создан от рута, то есть видимо где то все же уплыл рутовский пароль.

Теперь осталось декомпилировать этот файлик и понять он это или нет.... Кто-нибудь может декомпилировать? Скину на почту если что....

[Нужна помощь!] Обвиняют в Yu CMS - удобная Взлом DLE 9.7. Нуждаюсь

822

Andreyka

18 октября 2012, 17:10

#19

Я надеюсь бекапы уже сделаны и система переустановлена?

131

franklin90

18 октября 2012, 18:25

#20

Систему пока не переустанавливали. Поменяли root пароль, отключили пока FTP. Думаете имеет смысл систему переустановить?

Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ

Google: E-E-A-T не является фактором ранжирования

Вирус на сайте/сервере. Кто сталкивался?