Яндекс нашел вирус на сайте

Жаль скринами не доказать как было сделано) Но говорю как есть) У файла sysmetvpn.php были права 000(---), и сегодня после того как вирус вбился в js файл, его права стали 644.

К слову по файлу sysmetvpn.php, на прошлой неделе он и вовсе удалился, после записи вируса. А тут не понятно почему остался.

Вот ещё))

Если я правильно понимаю сначала была ошибка 500 к файлу, а потом 200, все ок, т.е?! Т.е все таки меняет права файла то он? Ему будто все равно на файл)

Вот что хостер мне ответил на это, и вообще думаю на всю проблему вирусов.

А днем ранее обещали к концу недели все исправить, хотя и на прошлой неделе вроде бы обещания были.

P.s Вернул файлу права 000, на папки 555, и прописал текст в файл sysmetvpn.php, посмотрим удалится ли он.

Хостер странно себя ведет, я ему еще две недели назад говорил что проблема у сервака - они говорили что у них все ок, и до сегодняшнего дня хостер не признавал проблем с хостингом.

Кто-нибудь писал в отдел жалоб? У нас (как и в любой нормальной конторе) если не работает техподдержка пишут выше, и она начинает работать. А то сплошные отводы.

В следующий взом напишу жалобу, а затем свалю...

Кстати, они писали про супер софт, который якобы раньше Яши будет предупреждать, цитирую:

А чего будут ставить так и не сказали...

Да. А права на папку ещё ниже 555 опустить не пробовали?

Значит лучше всего извернуться с RewriteRule и AddType, снести выполнение пхп в файлы с другим расширением(если на этом мистическом хостинге получиться так с манипулировать). Тогда пусть sysmetvpn.php переписывается сколько влезет. На ГСах можно проверить.

:) Сколько можно работать. Уже месяц прошёл. Позор какой-то

---------- Добавлено 06.09.2013 в 20:46 ----------

Дыру на хостинге латать надо, а не гоняться за проделками хакеров. Только и будут коцать файлы туда-сюда, эти вставлять вредоносный код, те вырезать. Чехарда. Позор какой-то...

Если права ниже 555, то сайт уже не открывается.

ГС нету у меня. Да и что манипулировать, мне как бы не напряжно если меняется всего 1 файл, мне отчеты идут если какие либо изменения в любом файле, или новые файлы появляются, вот и не парюсь пока) Жду конца недели)

Лично для меня очевидно, что хостер лучше нас осведомлен о наличии проблемы, просто это политика руководства все отрицать, вот все исполнители в лице техподдержки и выпучивают изумленные глаза и лепят детские отмазки (хотя конечно большая масса младших специалистов, отвечающих на тикеты, вообще не в курсе что такое вирусы, скрипты и т.д. - это видно по характеру шаблонных ответов). Писать выше не вижу смысла, т.к. рыба гниет с головы, а у хостлайфа похоже не хватает компетенции на борьбу с вирусами и это далеко не первый случай взлома хостлайфа. Я когда переезжал с их другого ломанного сервера, мне обещали золотые горы и бриллиантовые дожди в виде мегазащищенности данного сервера, у которого система мощнее, сайты одной учетки изолированы и т.д. и т.п. Месяца хватило чтобы и этот сервер, на который переехал, ломанули. Признавать ошибки могут сильные, к коим данный хостер не относится, поэтому я не планирую тратить свое время в попытках вернуть бабло практически за год, а планирую переезжать, а этот хостинг будет как хранилище файло, на большее, увы, он не способен.

Привет братьям по несчастью. Стараюсь не отмечаться на форумах, но здесь уже молчать невозможно. Всё та же песня. Сначала долго и настойчиво упирались, что проблема с нашей стороны, потом написали на прошлой неделе что что-то исправляют и проверяют. Вроде бы всё - признались, исправятся. Но нет, сегодня повторилось всё тоже самое. Очередной ява скрипт, аналогичный вирус. Банальные советы - меняйте права, ищите уязвимости, проверяйтесь на вирусы. Но теперь - у нас всё класс, проблем нет, ищите дыры. То есть круг замкнулся. Опубликую некоторые ответы их специалистов, опуская свои вопросы, которые я им задавал. Люди в теме поймут и так:

28.08.13 Вячеслав Верёвкин

Проблема со стороны сервера не может возникать, т.к. все пользователи изолированы на уровне ядра и не связаны друг с другом. Если бы проблема имела место со стороны сервера, то были бы взломаны ВСЕ пользователи, а не только Ваш аккаунт. Рекомендуем обратиться к специалистам, которые помогут Вам найти вредоносный код и закрыть уязвимости в Ваших проектах.

28.08.13 Вячеслав Верёвкин

Уточните пожалуйста, на каком основании Вы решили, что проблемы у всех наших клиентов? Если проблема возникла у Вас и ещё нескольких человек, которые отписались на форуме, это не означает, что проблема у всех наших клиентов. С подобной проблемой обращались около 10 пользовалетей, учитывая, что на сервере располагается около 150 клиентов, то проблема точно не со стороны сервера.
Проблем с безопасностью у нас нет, сервера хостинга регулярно проверяются системным администратором, а так же обновляется ядро сервера, при выходе новых стабильных версий.

28.08.13 Вячеслав Верёвкин

Попробуйте проверить Ваш локальный ПК на наличие вирусов, возможно при соединении по FTP они загружаются в Ваш аккаунт.

28.08.13 Денис Олейниченко

МЫ сообщим соответствующим специалистам для проверки наших серверов , и приймем меры по безопасности наших серверов. До конца недели данные работы будут выполнены.

Вопрос: "Так всё-таки у Вас наблюдаются проблемы с безопасностью? Вячеслав меня старательно убеждал в обратном. Скажите уже по-человечески, нам в очередной раз нужно вверх дном переворачивать весь сайт или всё-таки возможны проблемы с Вашей стороны?"

28.08.13 Вячеслав Верёвкин

"Мы сообщим специалисту, чтобы он сделал дополнительную проверку на данном сервере. Попробуйте не производить никаких изменений."

Неделя закончилась, через 3 дня сайт вывелся из-под очередного заражения. 2 дня нормальной работы проекта и 3.09.13 с утра (ещё всё было в порядке, я просто хотел убедиться что проблем ждать не придется) в новом тикете я задал вопрос:

"Здравствуйте. Вы проверили свои серверы на безопасность? Были ли предприняты какие-то действия по устранению уязвимостей? Посмотрите наш предыдущий тикет, который Вы закрыли, если не в курсе о чем речь."

3.09.13 Вячеслав Верёвкин

Ввиду участившихся случаев заражения клиентских данных, размещаемых на Shared-хостинге, различным вредоносным ПО (Malware, вредоносные коды и т.д.), мы приняли решение проводить ежедневные проверки серверов хостинга на предмет возникновения подобных проблем, чтобы обеспечить обнаружение заражений ДО того, как это будет сделано поисковыми системами или организациями по борьбе с распространением Malware, т.е. действовать на опережение, тем самым - обеспечивая безопасность от подобных проблем для Вас.

При сканировании, у Вас в аккаунте не было обнаружено вредоносное ПО.

Казалось бы всё прекрасно, ничто не предвещало беды. Но вечером в районе 19.00 по Москве Хром наотрез отказался пускать меня на сайт по понятным причинам, хотя буквально в 18.30 всё работало прекрасно. И если раньше, при заражениях было просто предупреждение в Яндексе, то теперь всё, гугл тоже включился и быстренько забанил. А дальше всё по стандартной схеме. На мой вопрос, что опять не так, получил ответ:

3.09.13 Вечер Александр Лебедев

Это связано с тем, что на Вашем проекте имеются зараженные файлы.

Хочу ещё раз обратить внимание, что это тот же тикет, что был 3.09 с утра! То есть зная суть проблемы, они дают такие "гениальные" ответы! Далее пошли шаблоны про права..

Вопрос: "Права изменены с 644 на 444 всех скриптов JS. Но откуда мог попасть вирус в данный файл, если Вы написали, что ежедневно проверяете все аккаунты и сервер на вирусы?"

3.09.13 Вечер Александр Лебедев

К сожалению этого знать мы не можем.

No comments. Далее автор не выдержал, позволил себе немного эмоций:

Вопрос: Вы что, издеваетесь??? Неделю назад Вы признали, что с Вашей стороны обнаружены уязвимости и ИЗ-ЗА этого Вы проводили какие-то работы по безопасности! (http://order.host...) ИЗ-ЗА этого Вы видимо каждый день сканируете свои сервера и аккаунты, хотя это не решение проблемы. ИЗ-ЗА этого существует и продолжает наполняться новыми постами тема http://forum.searchengi... в которой, КСТАТИ, за сегодня есть сведения от другого вашего клиента о точно таком же вирусе как у нас!! И теперь Ваш ответ \"К сожалению этого знать мы не можем. \" Нервы уже на пределе, и не только у нас, я уверен! Люди теряют деньги,клиентов, кучу времени на поиск уязвимостей у себя, которых по факту НЕТ! Повторю свой вопрос: ВЫ ИЗДЕВАЕТЕСЬ??? Кто может дать внятное разъяснение сложившейся ситуации?

3.09.13 Вечер Александр Лебедев

В указанном тикете наш сотрудник сообщил о том, что Ваша заявка будет рассмотрена нашим системным администратором, ни о каких уязвимостях речи не шло.

Сканирование серверов производится для улучшения качества обслуживания клиентов.

3.09.13 Вечер Александр Лебедев

Я думаю достаточно всего одного факта, что бы Вы получили ответ на все эти вопросы.
На наших серверах заражено не более 5% пользователей.
Да, мы постоянно ищем уязвимости с нашей стороны, но это совсем не значит, что они есть.
Если Вы все же желаете получить ответы по пунктам, то я Вам их предоставлю. Ожидаем Вашего решения.

3.09.13 Вечер Александр Лебедев

1) С Вашей стороны нет никаких проблем по безопасности?
Никаких уязвимостей с нашей стороны не обнаружено.
2) Все вирусы, которые каждые несколько часов обнаруживают у себя на сайтах Ваши клиенты проблема именно клиентов и уязвимсоти их проектов? Только не надо говорить, что каждый случай рассматривается индивидуально..Если у Вас нет проблем - то их нет. Тем более случаев таких целая гора по-моему.
Каждый случай не рассматривается индивидуально, но по запросу клиента предоставляются все данные (логи) и рекомендации.
3) Сколько человек за последнее время обратились к Вам с такой же проблемой. Или я единственный?
За 12 часов 3-4 человека.
Вы должны понимать, что массовость проблемы - явно надумана.
Один человек пишет на форуме, что виноват хостер, и все сразу находят для себя единственно верное и удобное оьяснение проблемы.

Это ещё не всё. Как они меня довели, что мне не лень было потратить час на такой пост) Хотя даж легче стало

4.09.13 Ночь

Пишет вам программист сайта *****, так же я занимался созданием проектов ar....ru и pot....ru, которые лежат на вашем хостинге. Как ни странно на них я тоже обнаружил вирус, вот ссылки:

1. http://pot....ru/modules/mod_maximenuck/assets/moomaximenuck.js

2. http://ar....ru/templates/school/js/mootools-1.2-more(slider-drag-scroll)yuic.js

Так же прикрепляю скрины строк вируса всех 3 сайтов (*****, ar....ru и pot....ru)

4.09.13 Ночь Игорь Борисюк

Благодарим Вас за предоставленную информацию. В ближайшее время появится мониторинг вредоносных скриптов и на сервере, где расположены Ваши сайты art2kids.ru и potolkov38.ru. Вы всегда сможете узнавать о возникшей проблеме в кратчайшие сроки.

Предлагаю вам проверить сервер на котором расположен сайт **** , т.к. при переходе на сайты которые расположены на том же сервере что и наш, 80% сайтов не открылись по причине вируса, как я вручную (уже зная где и как он может быть), посмотрел, тот же самый, и теперь просьба не утверждать что проблема наша, сейчас проверю еще и сервер на котором лежат и сайты pot....ru и ar....ru , как выяснилось это один сервер.

Аналогично не открывая скрипты, просмотрел сайты, которые лежат на сервере с pot....ru и art....ru, так же большой процент зараженных.

4.09.13 Ночь Александр Лебедев

В данный момент на всех наших серверах установлена система обнаружения вирусного кода, которая уже запущена и работает в штатном режиме. Отчет о её проверке Вы получите в виде обращения в тикете.

Так же смею заметить, что на наших серверах виртуального хостинга, заражено не более 5% сайтов, что является вполне приемлемой статистикой. (Статистика Google)

Для поиска и устранения вредоносного кода рекомендуем к прочтению статью http://hosting101.ru/articles/virus.html

Так же мы можем предоставить Вам временный SSH доступ, для проведения работ по обезвреживанию.

Данную инструкцию я уже давно изучил и знаю. У меня вопрос, хотите сказать что на 5% сайтов один и тот же вирус сидит? А как он распространился? Объясните мне пожалуйста.

4.09.13 Ночь Александр Лебедев

Конечно же нет, вирусы разные, просто больше всего жалоб на вирусы, поражающие js файлы.

На серверах хостинга компании ******** установлена операционная система CloudLinux, и разделение пользовательских аккаунтов происходит на уровне ядра. Распространение вируса на сервере - невозможно.

А чем объясните такой момент:

Я буквально 30-60 минут назад решил пройтись по 10-15 сайтам с ip 91.240.20.5 и 91.240.20.7 и 60% сайтов показало что вирусованы, я лично просмотрел скрипты js и на каждом сайте нашел по одному зараженному файлу js точно.

4.09.13 Ночь Александр Лебедев

Для получения полноценной информации, обратитесь в службу поддержки Google, с запросом предоставления статистики по зараженности сайтов на определенном сервере.

Если у Вас хотя бы на 5 из 10 сайтов, находящихся на одном ip обнаружены вредоносные коды, это нормальная ситуация? Или опять клиенты виноваты?

4.09.13 Ночь Александр Лебедев

Для получения полноценной информации, обратитесь в службу поддержки Google, с запросом предоставления статистики по зараженности сайтов на определенном сервере.

\"На некоторых сайтах этой сети (3053 из 93150), протестированных нами за последние 90 дней (в том числе teayudo.es/, paheal.net/, songteksten.net/), происходила загрузка и установка вредоносного ПО без согласия пользователя.\"

По сути всё. Дальнейшее общение не имело бы смысла, думаю все меня поймут Извиняюсь за столь длинный пост. Возмущает даже не то, что проблема повторяется в течение месяца. И даже не то, что она уже приобрела массовый характер. А то что люди, по совершенно непонятным причинам не могут признать свои ошибки. Ну не верю я, что полгода или сколько было всё нормально, а в начале августа у всех появились уязвимости, вирусы, дырки. "Сейчас это глобальная проблема у всех хостеров" или как они там говорят? Не поверю. Надеюсь хотя бы некоторые сэкономят себе время и нервы прочитав такую историю и избавив себя от переливания воды при общении с ТП..хм.. как-то невольно даже захотелось сократить именно так нашу любимую ТехПоддержку Хостлайфа. А главное, делайте выводы. У меня нет лютой ненависти к ним, до появления данной ситуации меня на 90% устраивал и сервис и всё остальное. Но к такому отношению я просто не привык.

P.s. Ктсати, несколько месяцев назад столкнулся с проблемой, что сайт вызывал 100% загрузку процессора, причем постоянно. Не могу о ней тут не рассказать, раз уж собрался излить душу Мучил месяц программиста, заставляя его придумывать новые скрипты, кеширования, короче любые способы оптимизации. А почему? Потому что Хостлайф сказал - неоптимизированные скрипты у Вас, переделывайте. (Ну это в кратце) Кульминация была в тот момент, когда после очередной оптимизации нам просто закрыли аккаунт за "превышение ресурсов" или как-то так. Не хотели открывать доступ к аккаунту, чтобы мы смогли откатить последние изменения. Их ответ был таков, ВНИМАНИЕ, сейчас самое забавное): "мы Вам предоставляем локальную копию сайта, Вы проводите на ней нужные изменения, чтобы всё работало нормально и сайт не вызывал такой нагрузки, Возвращаете её нам, после этого мы заменяем ей кривую версию сайта (которая уводит проц в 100%) и Мы восстанавливаем Вам доступ к аккаунту, если всё ок. Вам предоставить ссылку на копию сайта?". Просто представьте нашу реакцию, учитывая что наш сайт весит не 1 ГБ и не 2 и даже не 3Гб. Почти со слезами на глазах убедили ТП открыть доступ к аккаунту чтобы откатить последние изменения. Естественно, процесс занял 2-3 минуты у программиста. Но САМОЕ ВЕСЕЛЬЕ выяснилось, когда после очередных притормаживаниях сайта, нагрузки на проц сервера 100% мы создали новый тикет по той же теме и после кратковременных разборок получили ответ: "Нагрузка на сервер была вызвана вызовом статистики, которая отслеживала нагрузку на этот сервер" То есть когда мы смотрели насколько у нас нагружался проц, у них там что-то запускалось и всё начинало дико тормозить.

Я всё к тому, что тут они хотя бы принесли свои извинения! И на том большое им спасибо. Хотя месяц, потраченный на переписывание кода и оптимизацию сайта, что в принципе необязательно было делать они никак не вернут. В качестве компенсации предложили месяц бесплатного хостинга. Обычного хостинга. Очень грустно(

Конечно с какой-то стороны их тоже можно понять. Наверное политика такая у этих хостеров..всё валить на клиента, или отмахиваться до последнего или что-то ещё. Но лично в моих глазах их репутация рухнула ниже плинтуса. И этого достаточно, чтобы сменить их на более компетентных специалистов. Сбои и проблемы бывают всегда и везде, но надо всё-таки быть мужиками и сказать "Да, наш косяк. Будем исправляться. Сколько займёт времени не знаем" (не хочу никого расстраивать, но на этой неделе это не закончится). Но им видимо лучше так. Их право. Конечно, когда всё это закончится и всё у них будет в порядке, может быть даже и будут какие-то извинения, но мне "месяц хостинга" не вернет репутацию Поисковых систем и клиентов к моему проекту. Так что тут каждый решает сам для себя. В конце концов, каждый учится на своих ошибках, это всё будет для них и для нас отличным уроком. А менять каждый день права на папки, сканить сайт на вирусы,плясать с бубном вокруг js скриптов, менять пароли, и, самое главное - искать специалистов, которые за деньги мне будут каждый день чистить JS скрипты, тем самым "закрывая уязвимости в проекте"..не ребят, месяцок поразвлекались и хватит. Поэтому, как сейчас модно говорить то...Дорогой хостлайф.net, Давай, до Свидания.

Вспомнился случай, когда год назад или более меня тоже хостлайф пытался развести на более дорогой тариф, т.к. на текущем я типа создаю нагрузку. После непродолжительной переписки с приведением аргументов они отстали, т.к. видимо просто у них косяк был, а аргументов с их стороны не оказалось, а я, не поняв что это было, забыл про данный инцидент. Теперь понимаю, как мне повезло, что вообще не отключили не за что :)

Да, бывают у них такие заскоки. Некоторые ПХП-программисты покрутили пальцем у виска и свалили с хостинга. Я вначале думал, что они специально выживают так непонравившихся клиентов, но скорей всего просто неадекваты и неучи.