Буквально только что пришло сообщение, что сайт поднялся и вход в админку тоже.
Сейчас все начнут делать срочно бекпы и качать их и все приляжет :)
Тех поддержка, к сожалению, никаких сроков не дает.
В личный кабинет тоже попасть нельзя - проверка из разных локаций https://www.host-tracker.com/ru/InstantCheck/2/4459fe72-57c0-e911-a409-0003ff7328cc/
выдает HTTP response timed out.
Если вчера вечером периодически приходили уведомления что сайт доступен, то сегодня глухо вообще.
Немного некорректно может написал, имеется ввиду под ПО необходимо до 1 гига, Windows в учет не брался.
У меня был случай, от подписок не отписывался, письма в спам попадали, хорошо вовремя заметил.
После того как поставил на мониторинг до сегодня было все ок, и тут пару часов назад начали приходить смс и письма что сайт то упал, то поднялся (настроен мониторинг как описано выше по слову iframe). Т о можно сделать вывод что хостер сам лечит, только код добавляется он его чистит.
Кстати сейчас тоже обратил внимание на одном из сайтов, можно сказать тестовых, специально не вычищал, оставлял для экспериментов как мониторить лучше этот код, обратил внимание сейчас что тоже файл чист. Похоже таки хостлайф что-то подкрутил.
Пока хостер чухается дополнительно опишу как мониторю по простому, может кому приходится.
Заходим по SSH. Файлы должны быть всякого вражеского кода.
сохраняем, например, утром контрольную сумму файлов с нужным расширением
find . -type f -name "*.js" -exec md5sum {} \; > file-js1.txt ну и вечером к примеру
find . -type f -name "*.js" -exec md5sum {} \; > file-js2.txt потом сверяю
diff -u file-js1.txt file-js2.txt.
к уже конкретным файлам, которые знаю что заражаются нашел такое решение: у https://www.host-tracker.com/ нашел следующую штуку:
Поставил на мониторинг конкретно файл в который пишется вирус
Http задание URL/Domain/IP: указываем путь mysite.com/pub/file.js Ключевое слово: например iframe
и галочка Инверсия ключевого слова:, теперь когда вражеский код появляется мне приходит смс и уведомление на емейл буквально через минуту (выбрал интервал опроса 1 мин).
Поделюсь своим опытом. Яндекс поместил несколько сайтов с пометкой вредоносный код. Посмотрел что таки добавилась какая-то ерунда. Скачал бекап, у себя развернул, определил поиском в какой файл добавляет код. На другом домене который хостится там же файл был без кода, поэтому перезаписал его везде. Помогло на пару дней. Потом снова все с этим кодом, Повторил процедуру но с установкой прав 444. Пару дней прошло, права стоят 755 и файл модифицирован. Написал в поддержку Хостлайфа, сперва стандартный ответ что все ок заражено не более 5% клиентских аккаунтов и проблем якобы нет. Отписал им что за чушь и привел доводы как обсуждается в ветке выше, дали уже более развернутый ответ с предложением восстановить бекап и дать бесплатно доступ SSH, но я его утром уже заказал платно. После прошелся еще раз по зараженным файлам и поставил уже доступ на папку 555 и к файлу, который заражается 444, пока полет нормальный. Возможно хостер к моему тоже кое чего прикрутил. Одним словом мониторю.
