На сайте завелся вирус

1 23
S
На сайте с 30.09.2016
Offline
459
#21
GoRSS:
1. Ссылки исходят на сайт извне, внутри всё чисто.

Внутри как раз трояны.

Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.
GoRSS
На сайте с 29.07.2013
Offline
114
#22
Sitealert:
Внутри как раз трояны.

https://cae-cube.ru/soldes-prix.php не отдаёт. Как Джумла себя ведёт, может отдавать 404 при существовании файла? Или есть вероятность, что этот файл там лежит? Ну и судя по скрину с репортом гугла, помимо php-файла лежит также и статика htm с редиректом. Хотя ничего там не лежит, видимо откатывались.

Chernykh, вы мне написали в ВК. Пришлите завтра скрин корневого каталога сайта (ftp). Если не влезет в один экран, сделайте несколько скринов.

A
На сайте с 17.04.2018
Offline
2
#23

У меня тоже похожее на сайте происходит...

Специалисты, напишите в ЛС - кто возьмется вылечить?

S
На сайте с 30.09.2016
Offline
459
#24
GoRSS:
Пришлите завтра скрин корневого каталога сайта

И что Вы там увидите? Вот троянов по адресу "Карта сайта" увидите? Чёрта с два. А шелл, с помощью которого эти трояны туда залиты, тем более не увидите. Поиск дыр и зловредов - это, к сожалению, немного сложнее просмотра корневого каталога. :(

GoRSS
На сайте с 29.07.2013
Offline
114
#25
Sitealert:
Поиск дыр и зловредов - это, к сожалению, немного сложнее просмотра корневого каталога. :(

Ага, ну всё, моя квалификация упёрлась в потолок.

Я вас, Sitealert, спросил, может ли joomla перекрывать "физически" существующий файл своим sef-механизмом, тем более явную статику, которой ведает Nginx, а не Apache, на базе которого интерпретируется php.

Скрин корня мне нужен для того, чтобы увидеть, есть ли файл soldes-prix.php и другая статика, засветившаяся в репорте Гугла.

Касаемо увидеть шелл: 99% что он будет лежать в корне, а также размножен в множестве папок модулей и компонентов. Найдя его или связанного с ним файла в корне, мы установим от какого юзера он работает и права на него. И погнали:

1. Рекурсивно получаем список файлов этого пользователя в папке домена.

2. Находим файлы с такими же правами, как правило зарезанными.

3. Шерстим скриптом файлы на наличие вхождений eval(, base64_decode(, $_REQUEST[ и exec(.

4. Смотрим tmp/

5. Смотрим папки с фото

Хз, может форум позволил исполнить скрипт под расширением .jpg. Может вообще у хостера кривые настройки, заразили чужой сайт, но по всей группе прокатилось.

S
На сайте с 30.09.2016
Offline
459
#26

GoRSS, я прошу прощения за немного грубоватый тон, но вот эта Ваша писанина - полная херня. Не надо морочить людям голову всякими глупостями.

GoRSS
На сайте с 29.07.2013
Offline
114
#27

Пока что не херня. Может спец что по делу скажет, тогда и признать не зазорно.

C
На сайте с 22.04.2018
Offline
0
#28
Ну если Гугл.Вебмастер поставили не вчера, а информация о левых страниц появилась только-только, то это произошло недавно.

3 года сайту. 3 года стоит Webmaster и Search Console. Произошло давно. Наверно, примерно с год. Сначала по несколько страниц и все больше и больше. Пока заметил, пока то сё.

Если стоит K2

K2 не стоит.

Внутри как раз трояны.

Я тоже думаю что внутри. Ссылки генерируются под моим доменом и потом почему то сразу в 404.

Что и показывают Webmaster и Search Console.

Вот свеженькие ссылки:



---------- Добавлено 24.04.2018 в 09:09 ----------

https://yadi.sk/i/cJ61SHs33Uhry8

---------- Добавлено 24.04.2018 в 09:12 ----------

Корень: https://yadi.sk/i/H0Cdd3Cg3UhsfB

---------- Добавлено 24.04.2018 в 09:17 ----------

Еще забавно, что в

Webmaster ссылки преимущественно имеют вид: https://cae-cube.ru/Air-Jordan-XIII-13-Retro-Low-White-Varsity-Red-310810-105-White-Metallic-Silver-Varsity-Red-Black-article-xkqobs.htm, а в

Search Console: https://cae-cube.ru/soldes-prix.php/a?christian-louboutin-hommes-robertson.htm

S
На сайте с 30.09.2016
Offline
459
#29
Chernykh:
Я тоже думаю что внутри.

Я же выше написал: "Карта сайта".

1 23

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий