- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Пару дней назад писал в саппорт хостлайфа. Их ответ:
Уже радует, что не отвечают типа "за ваши скрипты ответственности не несем". Права 444 я поставил, пока вроде все нормально. Но ключевое слово "пока".
Народ, ну подскажите что еще может быть, уже черепушка не соображает:
Значит так:
Яндекс выдает предупреждение о вирусе:
"Вредоносный код:
содержит Troj/JSRedir-LR (по данным компании Sophos)."
Сайт недоступен только в Лисе. В остальных браузерах норм открывается.
Сайт на Вордпрессе.
Стоит плагин Беттер, названия папок изменены, вход в админку изменен, короче все что предлагает этот плагин сделано.
В Хтачессе стоит запрет на вход в админку для всех айпи кроме моего.
На хостинге в панели такой же запрет.
Cайт один, то есть других на акке нет.
Прав 777 и подобного не было, только 644 (сейчас вообще на 444 сменил, жду результата).
Бекапов уйма, вплоть до мая месяца.
Восстанавливаю с бекапа когда вируса не было (разные недели пробовал и месяца). Меняю пароли. Но буквально пол дня проходит и опять двадцать пять).
Все началось буквально неделю назад.
При этом в логах ни чего вообще подозрительного. Поисковые боты и все. На сайте посещалка минимальная, 6-10 юзеров в день от силы и по большим праздникам.
Так же проблема на хостлайфе, взломали сайт запихнули в js вредоносный код, виню хостера, а ему по барабану.
Код нашел благодаря яндексу, ответили и написали какой код. Удалил, сменил все пароли какие только были, но вот права на файл js не выставил. Через пару дней опять в этом же файле вредоносный код. Удалил, выставил права 444.
Сегодня зашел в спанель, в журнале увидел /sysmetvpn.php
вбил sysmetvpn.php в яндекс и попал в эту ветку)
IP в журнале с которого был переход на /sysmetvpn.php забанил, но это вряд ли спасет, но все же поглядим.
От себя хочу еще сказать, что хостлайф не лучший выбор в плане надежности от вирусов, взломов. Да, сапорт реагирует быстро, бла бла бла, но только дельного ничего нет, пустышка. В прошлом году запороли мне сайт, зачем то переводили с одного впн на другой, в результате сайт открывался по нескольким адресам и проиндексировался яшей и гуглом, моментальный фильтр схватил.
логи фтп смотрите, а не логи заходов
логи фтп смотрите, а не логи заходов
в том то и дело, что в логах фтп все чисто, об этом вроде кто-то уже писал выше.
---------- Добавлено 27.08.2013 в 13:24 ----------
Народ, ну подскажите что еще может быть, уже черепушка не соображает...
Скачиваете весь сайт себе на комп, тоталкомандером ищите код типа этого:
/ru/forum/comment/12080318
пробуйте искать:
expiresDate; }, 5000);}};
окончание вредоносного кода видимо одинаковое, по ссылке "src = 'http://ver...." не ищите, линк может быть другой.
находите, ставите права 444
у меня в один и тот же файл постоянно вставляется фрейм, только удаляю, через некоторое время опять появляется. Кто решил аналогичную проблему, помогите! Где то в файлах наверное есть код, который автоматически генерирует новый фрейм. Может ли быть дырявым редактор jce или xmap? Уже не знаю где искать причину.
Хостер не хостлайф
Может будет полезно - на мои сайты файлы .js перезаписываются с IP 37.187.56.98, это сеть французского дата-центра Ovh. Я заблокировал подсеть этого хостера 37.186.0.0/15, попробуйте сделать то же в целях безопасности.
Как было указано выше - надо искать файлы .js либо по дате изменения (за последние 2-3 дня), либо по наличию в них текста: начинается на:
var if8LBdg4 = document.createElement('iframe');if8LBdg4.name = 'if8LBdg4';if8LBdg4.src =заканчивается на:
{ document.cookie = 'if8LBdg4=yes; path=/; expires=' + expiresDate; }, 5000);}};Если есть доступ по SSH - поиск файлов за последние два дня (в случае с cPanel):
Поиск по включению (выполнять в папке с файлами сайта):
Возможно у хостеров стоит софт, который позволяет без взлома сайта совершить такие действия.
Взлом через соседей или софт.
Аналогично, провел небольшой анализ - ничего странного не нашел.
Скачиваете весь сайт себе на комп, тоталкомандером ищите код
Можно проще:
Firebug плагин Cookies, смотрим куки похожие на пароль со значением "yes".
Выбираем её в качестве точки останова. Удаляем её. Перезагружаем страницу. Переходим на вкладку "Сценарий". И вот вам ваш заражённый скрипт.
Прав 777 и подобного не было, только 644 (сейчас вообще на 444 сменил, жду результата).
я тоже ставлю 444, только через несколько часов опять заливают вирус и права уже стоят 644 😡
Хостер сказал, что они сейчас усердно работают над защитой, обещали закончить к концу недели ☝