Форум Сайтостроение Безопасность

Яндекс нашел вирус на сайте

1 2345678910 ...41
secline
На сайте с 25.10.2012
Offline
18
secline
#41

Порядка недели нету измененных файлов, все что сделал сменил опять все пароли, но думаю проблема не в этом, сменил на большинство папок CHMOD 555, а на файлы 444

dendav
На сайте с 18.03.2010
Offline
51
dendav
#42
NewMoneyMaker:
С саппортом хостлайфа кто-нибудь общался по этой проблеме?
Они за собой ничего не признают?

Общался около недели. Сложилось ощущение, что владельцы хостинга попросту запретили техподдержке говорить правду.

У меня сайт на очень простом движке, там ломать нечего, файлы я знаю наизусть, сам писал и чужого кода в них не было - но всё равно Яндекс находил вирус, который, судя по всему, инклудился через дыру веб-сервера.

После переезда на другой сервер все проблемы решились сами-собой.

«Играем в доктора»: неправильное Переезд сайтов Яндекс.Народ на UPD: Что ждет «народные»
Злобный Гыук
На сайте с 30.08.2007
Offline
83
Злобный Гыук
#43

Яндекс тоже забанил сайт... Отправляю на перепроверку, вируса нет, но через неделю опять на сайте обнаружен вирус... Бесит уже! :(

SEO-api для программистов (/ru/forum/869285)
C5
На сайте с 26.07.2012
Offline
32
cokol5
#44

аналогичная ситуация, хостинг - хостлайф, двиг - опенкарт, смена пассов, доступ только у меня, пароли не храню..по моим наблюдениям, изменяется 1 *js файл и в конце этого файла добавляется iframe, + дата не меняется!, логи смотрел - левые ip не заходили/доп.файлы не грузили, ща в саппорт напишу

да и кстати, если глянуть куки зараженного сайта, мы там найдем что-то типо этого "if1Y5N" + можно найти этот iframe - он ввиде маленького квадратика

Директ представил новые уровни Яндекс.Поиск о скрытых спам-ссылках Manul антивирус Яндекса для
Kuprum
На сайте с 24.10.2008
Offline
1667
Kuprum
#45

Последний раз "вирус" яша нашел в тизерах, причем в товарных...

► Каталог Партнерок ( https://clck.ru/LepCB ) ◄ Адалт трафик: Покупка и Продажа (https://clck.ru/3BwMkj) ► RU ДАТИНГ ( https://clck.ru/36g47r ) ◄ | ► Гемблинг и Беттинг – RU & WW(https://clck.ru/34FCeB) ◄
J
На сайте с 30.07.2007
Offline
46
Jungle
#46
cokol5:
аналогичная ситуация, хостинг - хостлайф, двиг - опенкарт, смена пассов, доступ только у меня, пароли не храню..по моим наблюдениям, изменяется 1 *js файл и в конце этого файла добавляется iframe, + дата не меняется!, логи смотрел - левые ip не заходили/доп.файлы не грузили, ща в саппорт напишу

да и кстати, если глянуть куки зараженного сайта, мы там найдем что-то типо этого "if1Y5N" + можно найти этот iframe - он ввиде маленького квадратика

Тоже самое: хостлайф, опенкарт. Сменил пароль, закрыл по ip, но в .js файл в конец продолжает дописываться этот код.

Написал в саппорт, пока что ответили про права 755 и 644 (хотя права такие и стояли).

UPD: добавили что ничем помочь не могут, так как дело скорее всего в скрипте.

Проверить сайт на трой Несколько вопросов по уязвимостям Регистрация в каталогах -
secline
На сайте с 25.10.2012
Offline
18
secline
#47

Уже писал выше, проблему решил установкой прав доступа 444 и 555..

Вот для Joomla 2.5 что я сделал

Всем корневым файлам Joomla (configuration.php, robots.txt, .htaccess и так далее) назначьте минимальные права для всех групп – 444, для остальных можно установить параметр 644.

Для нижеперечисленных папок необходимо установить права доступа 555 :
administrator/backups/
administrator/cache/
administrator/language/
administrator/language/en-GB/
administrator/language/ru-RU/ ...и если установлены и используются другие языковые пакеты, то же самое и с ними
administrator/modules/
administrator/templates/
cache/
components/
images/
images/banners/
images/stories/
language/
language/en-GB/
language/ru-RU/ ...с другими языками то же самое
media/
modules/
plugins/
plugins/content/
plugins/editors/
plugins/editors-xtd/
plugins/search/
plugins/system/
plugins/user/
plugins/xmlrpc/
tmp/
templates/

После этого перестали вписываться вредоносные коды. А так тоже менял сколько раз пароли, все без толку. Похоже это у хостера проблема.

Безопасный поиск от Яндекса Баг в Google Docs Яндекс.Поиск о скрытых спам-ссылках
K5
На сайте с 21.07.2010
Offline
209
kgtu5
#48

secline, Jungle, cokol5, secline, проверяли сайты ай-болитом на наличие шеллов?

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
C5
На сайте с 26.07.2012
Offline
32
cokol5
#49

проверил айболитом, явно опасных файлов нету, шеллов нету, доров нету, с правами все впорядке.

заметил еще- вчера не заходил на фтп вообще (пароли, доступ только у меня), был поменян вчера файл с этим iframe, хотя никто его не менял. Пробил по логам - все ок, левые не заходили. С хостлайфом может быть что-то не то?

UPD: вот что нашел в логах cpanel 


<fileupload size="5495">

  <file name="/var/www/bluser/data/www/sql_inject/functions/../tempfile/code/sysmetvpn.php" tmpfile="/home/****/tmp/Cpanel_Form_file.upload.etHjRsbrZPsfPJIT">

    <progress filesize="4330" complete="1"></progress>

  </file>

</fileupload>

что это может значить? заливают файл через cpanel? вообщем что-то намучено с cpanel и tmp

Сайт кем-то взламывается регулярно, Google security: вирус на Уязвимость DLE, как найти
secline
На сайте с 25.10.2012
Offline
18
secline
#50

Проверил сайт айболитом, все ок, пришлось через SSH проверять около 2-3 часов сканирование шло.

А так на сайте стоит порядка 3 скриптов, которые ежедневно через CRON проверяют все директории на наличие новых или изменившихся файлов и шлют отчеты на мыло.

Google: сбои в работе Google: почему страницы выпадают Google: как изменить скорость
1 2345678910 ...41

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий