- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Стал медленно грузится сайт, страницы открываются по полминуте. Сначала, решил что это что-то с хостингом и подождал день. Ничего не изменилось, все-равно долго грузится.
Написал в тех.поддержку. Вот что прислали:
Судя по трассировке работы индексного файла сайта, при обращении к которому, вызывается сервер ip-адрес которого - xxx.xx.xxx.xxx
В данный момент указанный адрес недоступен.
и
Поискал в файловом менеджере файлы с недавними изменениями по дате. Ничего подозрительного не обнаружил. На всякий случай сделал откат на дату, когда еще сайт нормально грузился - ничего не изменилось.
Сайт, перед тем как загрузиться, пытается 20 секунд обратиться к какому-то левому ip, не получает отклика от того сервера и загружается нормально. Так происходит при каждом обновлении страницы.
Собственно, вопрос, какой скрипт это может делать, где он может находиться и что вообще можно попробовать сделать?
посмотрите какие домены расположены на xxx.xx.xxx.xxx, возможно какая то реклама у вас тянется от туда
на всякий случай проверьте на шеллы, айболит в помощь
и адрес покажите
Сайт http://www.fnest.ru/
Пытается загрузить с ip 188.40.129.142
Проверка говорит, что такого домена не существует.
Полазил по форуму, нашел сообщение:
Симптомы:
1.Файл /uploads/profile/photo-128.jpg. Если у вас есть такой, открываем его в блокноте, и смотрим что там. Если там php код, значит взломали.
2. Левые файлы в папках caсhe/ и hooks/, могут быть и в других. Называться могут как угодно, чаще всего: view-cache.php, zx.php, ipbcache.php,df.php,0e168b.php. Если они есть - опять же приплыли.
3. Файл tmpgw4ia4 в папке tmp, mod-tmp, в общем там, куда у вас пишутся сессии.
Лечение:
1. Ищем все левые файлы и удаляем их. Обязательно удаляем файл photo-128.jpg, и проверяем остальные картинки на наличие в них php кода. Если ищем при помощи айболита - запускаем его либо через ssh, либо включаем в нём полное сканирование, чтобы он и картинки проверял.
2. Лезем в Базу данных через phpMyAdmin, в таблицу core_hooks_files, находим там в конце записи, содержащие путь к картинке photo-128.jpg и к файлу tmpgw4ia4. Удаляем эти строки.
3. Ставим патчи. Оф. сайт и не оф. сайт. Какие ставить - зависит от того, что за форум у вас стоит)). Также обязательно ставим вот этот патч с оф сайта.
Действительно, в одной из картинок нашелся php код. Но удаление этого файла и проверка на то, не ссылается кто на него ни к чему не привели.
поиск по файлам ip 188.40.129.142 ничего не дает?
в папках /caсhe /hooks /tmp /mod-tmp проверил?
phpMyAdmin в таблицу core_hooks_files смотрел?
патчи от шелла photo-128.jpg поставил?
айболитом проверил?
Проблема решена, спасибо за внимание.
boris_b, а подробнее (для потомков)?