Яндекс нашел вирус на сайте

sysmetvpn.php - странный файл...

Я по нему на этот топик и вышел, у меня такого файла нет, сказал хостерам "найти и уничтожить", они в своем роде ответили... мы занимаемся проблемой, наберитесь терпения. А инфу которую им подгонял, по ходу даже и не смотрели...

И с чего такая информация?

За весь этот топик проскакивала информация, что ломают через хоста (софт хоста или еще чего).

Поэтому ситуация может возникнуть и на новом хостинге, но вероятность крайне мала.

Также мне понравился этот пост:

Возможно в этом что-то есть, несколько хостеров (проблема не только в вашем ХостЛайфе, но мой хостер, похоже, пофиксил это) держат свои сервера в этом датацентре и вот где-то там проблема.

Плевать какой у вас движок, скрипты и прочее. Меняете пароли или нет - толку никакого. Я хоть и не являюсь (и никогда не был) клиентом ХостЛайфа, но меня жутко злят ответы их тех. поддержки.

Это же каким идиотом надо быть или как можно так нагло впаривать бестолковые ответы, абсолютный бред их клиентам, типа ищите проблему сами, проблема у вас. А ведь люди тратят свое время на бестолковые поиски и забивают голову глупостями, даже специалистов нанимают для исправления ситуации - и все без толку.

Иван Гарбера, ну напишите сюда, что мы тут просто 20 страниц флудим, ведь мы все идиоты и проблема именно в нас, так как мы пароли не меняем или вирус у нас на пк.

Тут дали линк на отзывы

Hosting101.ru - http://goo.gl/BwpFH

HostObzor.ru - http://goo.gl/w6Z7F

HostDB.ru - http://goo.gl/OQMZI

Надо написать пару отзывов, пускай ответят за свою наглость и наглое вранье.

Все кто держат сайты на хостлайфе, что вы еще там делаете?

Этот файл sysmetvpn.php и не найдешь. Он только в логах светится. На хостинге он самоликвидируется.

Уже неделю из бана Яши не удается выбраться. Скрипт оповещения об изменении сайтов все никак не прикручу, визуально последние несколько дней вставки кода не наблюдаю (может конечно ее хостер подчищает), но яндекс не выпускает из бана. Уже начинаю плавно переносить данные на альтернативный хостинг.

Вопрос вот в чем: если словить момент когда Яша не увидит вражеского кода и снимет предупреждение, а потом закрыть сайт от индексации в роботс, это даст какой-то эффект (как временная мера для ухода от блокировки)? Или же Яша придет по какой-нить ссылке, увидит код и забанит снова?

создайте пустой файл sysmetvpn.php и поставьте на него права 000. корневую папку сайта временно закройте от записи в неё, поиграйте короче с правами 744 740 700 444 440 400... Пусть прид*рки попробуют наткнуться на заглушку.

П.С. Ставить права только на js-файлы недостаточно, нужно закрывать папки от записи в их директорию. И да, запомните, одни и те же права на разных хостингах по разному себя ведут, стандартные права 444 на хостлайфе может и не помогают, надо ещё ниже опускать до тех пор пока яваскрипт работоспособный будет.

Какой смысл в этих танцах, когда у вируса права админа? Уже создавали тут нулевой файл sysmetvpn.php толку ноль - через некоторое время его нет, а вставки кода снова есть :).

Не совсем абсолютные права у хакеров.

Его просто создавали, а нужно ещё намертво заблочить для записи.

После того как поставил на мониторинг до сегодня было все ок, и тут пару часов назад начали приходить смс и письма что сайт то упал, то поднялся (настроен мониторинг как описано выше по слову iframe). Т о можно сделать вывод что хостер сам лечит, только код добавляется он его чистит.

ТО что вы говорите вы сами делали?

У меня эта песня уже как неделю сделана, а именно папка public_html права 555, в корне файл sysmetvpn.php (права 444 были, и 000 были), в файле .htaccess

Идем далее? :) Вчера, сегодня, файл sysmetvpn.php права стоят уже 644, размер все так же нулевой, вирус так же пришел через него, так что толку нет.

---------- Добавлено 06.09.2013 в 18:54 ----------

Может я не так что то сделал? Подскажите другой способ.

Неделю назад sysmetvpn.php попросту удалялся, сейчас же права у него меняются, и все та же песня с JS файлами

Да мы тут с товарищем делали. Позаблочили запись всеми способами, после этого пока перезапись файла sysmetvpn.php прекратилась, шестой день тихо. Поэтому я подумал, что у хакеров не совсем абсолютные возможности на сервере.

---------- Добавлено 06.09.2013 в 18:27 ----------

Это не всегда помогает, так как запуск скрипта не всегда банально на прямую по GET/POST-запросам идёт. Несмотря на такой запрет вредофайл работает всё-равно.

Можно, например, запретить апачу выполнять пхп в этом файле, для этого есть разные манёвры в .htaccess, RewriteRule и AddType в руки. Способов заставить поломать голову хакерам есть. Против каждой защитной ловушки они задолбаются мучится и может кинуть это дело.

Конечно, клиенты хостинга не должны изобретательством заниматься, обмениваться советами, чтобы выжить. Дырку обязан латать хостер, но такое впечатление, что он нифига не шарит в вебе, месяц долбиться и тупо отрицает проблему.

---------- Добавлено 06.09.2013 в 19:25 ----------

Склонен Вам не поверить. Это не стиль хакерья, оставлять файл незачем, либо вирус не прошёл через него.