Причина в том, что на хостинге стоит ограничение на максимально допустимое потребление CPU в единицу времени. Как только вы его превышаете, ядро ОС автоматом убивает процесс. Выход один - проверять сайт локально: http://www.revisium.com/kb/scan_site_windows.html
Новая версия AI-BOLIT
Изменения в версии 20130723
- Добавлены новые сигнатуры вирусов и шеллов
- Добавлены .aknown файлы для Bitrix, Joomla, Wordpress, DLE
Качаем здесь: http://revisium.com/ai/
Сегодня у нас был еще один пациент с хостинга http://plusweb.ru/
Чтобы убедить хостинг во взломе, сделали следующее:
1. переименовали директорию, в которой сайт (допустим, директория называлась mysite.ru) в mysite.ru.old.
2. создали новую директорию mysite.ru
3. положили в нее файл index.php
<?php
echo "This is test script for checking hosting being hacked. <br>";
echo date("d/m/Y h:s", time());
?>
4. переключили в браузере Chrome user agent на мобильную Opera
5. зашли на сайт mysite.ru
6. редирект произошел
7. переключили user agent назад на Chrome
8. открыли этот же сайт - вывелось
This is test script for checking hosting being hacked.
10/07/2013 07:26
Весь этот процесс записали на видео и отправили хостеру.
Для контактов:
http://www.revisium.com/ru/contacts/ - работает безотказно :)
В выходные у нас выходные.
Личное лучше писать "в личку". Эта тема создана для обсуждения Ai-BOLIT.
Спасибо.
Если есть подозрение на хостинг и хостинг shared - воспользуйтесь сервисом поиска сайтов по IP, получите список сайтов и проверьте, заражены ли они. Если заражены все (не важно, скриптами в CMS или инжектом в веб-сервер), значит хостинг, можно смело писать в тех поддержку.
Список сайтов на хостинге можно посмотреть здесь: http://2ip.ru/domain-list-by-ip/
Встречаются последовательности, которые иногда могут быть вредоносным кодом. Конкретно в вашем случае это ложное срабатывание. Для регулярного сканирования, чтобы не смущали, можете добавить эти файлы в .aignore файл.---------- Добавлено 23.06.2013 в 00:08 ----------
Если ничего не поможет, то есть план Б:
http://www.revisium.com/kb/scan_site_windows.html
Айболит всеяден. Если, например, в JPG метаданных будет "eval(base64_decode(" и подобные штуки - все найдется.
Если речь про Linux бинарники - их он тоже сканирует по сигнатуре []ELF в начале файла.
В EXE искать Win32 вирусы он, конечно, не будет. Он не для этого совсем.---------- Добавлено 19.06.2013 в 15:10 ----------
Есть два режима: быстрый и полный. Быстрый - это когда запускается из браузера. Сканит только расширения .php, .phtml, .js, htm* и т.п. Критичные то есть.
При запуске из командной строки сканирует вообще все, включая .zip, .rar. Из веба тоже можно запустить в режиме полного сканирования, если указать ключик aibolit.php?full=1. Только настройки сервера должны позволять "молотить" минут 20 без остановки.---------- Добавлено 19.06.2013 в 15:14 ----------У меня предложение: а почему бы сразу не удалять оффтопик посты из темы? В ней сейчас ничего не найти полезного. Один флуд.
Новая версия скрипта AI-BOLIT 20130609:
- Добавлены новые сигнатуры вирусов и шеллов (все свежие из массовых взломов Joomla, DLE)
- Добавлен параметр -q, позволяющий выполнять сканирование без вывода в консоль лога. Выводит "1", если найдено что-то нехорошее. Сделано для автоматического тестирования на хостинге.
- Добавлен механизм перепроверки файлов с вредоносным кодом. При первом сканировании создается файл AI-BOLIT-DOUBLECHECK.php со списком файлов с вредоносным кодом, при втором запуске проверяются файлы только из этого списка. Также можно эту фичу использовать для проверки только определенного списка файлов.
Качаем здесь http://revisium.com/ai/
Почитать вот это, например.
http://www.amazon.com/The-Web-Application-Hackers-Handbook/dp/1118026470
При определенном усердии можно найти на просторах интернета в PDF формате (второе издание, оно посвежее).
По сути за годы принципиально ничего не меняется, сейчас используют те же способы взлома, что и несколько лет назад. Отличаются только деталями под конкретные CMS и серверные конфигурации.
За деталями на профильные хакерские форумы сходите. Там часто про дырки пишут, про способы заливки шеллов (античат, рдот и т.п.)
Через Filezilla никак. Это FTP. Используйте подключение по SSH через Putty (если SSH включен на хостинге). А вообще есть простой способ: http://www.revisium.com/kb/scan_site_windows.html
