Прошу помощи, вирус на сайте, куда рыть?

Автор Тема: Прошу помощи, вирус на сайте, куда рыть?  (Прочитано 1406 раз)

Оффлайн evagrom79Автор темы

  • Глобальный модератор
  • Бизнес оценка: (0)
  • *****
  • СПАСИБО: 1452
  • Сообщений: 3065
  • Карма: 145
  • Пол: Женский
  • Многому только учусь - медленно, зато старательно
  • Награды Более 100 спасибо
    • Все о саде и огороде

Оффлайн evagrom79Автор темы

  • Глобальный модератор
  • *****
  • Доп. информация
    • Бизнес оценка: (0)
    • СПАСИБО: 1452
    • Сообщений: 3065
    • Карма: 145
    • Пол: Женский
    • Многому только учусь - медленно, зато старательно
    • Награды Более 100 спасибо
      • Все о саде и огороде
Коллеги, здравствуйте!

Уже с некоторых пор прям всей филейной частью ощущала, что с сайтом непорядок. Грузился странно - вывешивалась шапка (довольно быстро), а сам сайт проклевывался через продолжительное время (было просто серое поле). Я подсознательно все надеялась, что проблема в том, что шаблон тормозит - был бесплатный Colormag.

Сегодня поставила Root, хотя его редко использую из-за упрощенного внешнего вида, сначала в админке - настраивала визуально, ткнула в галочку, вылезло новое окно по принципу "перейдите-скачайте". Потом уже и снаружи полезло - после каждой перезагрузки страницы по любому клику в любом месте выскакивает левое окно. Может, оно и раньше уже было, я по сайту давно особо не лазила, чисто зашла, статьи закинула и все.



Перебрала кучку скан-плагинов, одни ничего не показали, в других ничего не поняла, третьи и не показали, и не поняла. Просканировала всеми доступными онлайн-сканерами - сайт якобы чистый. Может, кто подскажет, где код - вырежу эту дрянь сама, знать бы, что и где резать.

Пациент - последний в подписи.
« Последнее редактирование: 27-06-2022, 19:14:42 от evagrom79 »


Оффлайн Val_Ery

  • Бизнес оценка: (0)
  • Старожил
  • ****
  • СПАСИБО: 160
  • Сообщений: 284
  • Карма: 32

Оффлайн Val_Ery

  • Старожил
  • ****
Айболитом пробовали?
Ревизиум, разработчики его, как бы продался. С оф. сайта не скачать. Точно знаю, что есть на github. Ребята поддерживают, кто-то даже базы обновляет.

Точно знаю, что он встроен в панель на рег.ру (если там хоститесь, можно бесплатно просканировать без лечения)

Таймвеб раньше в качестве антивируса на своих серверах держал clamav. Можно было зайти по ssh и выполнить клам-скан.
Для веба (не для защиты домашнего компа) - вполне ничего антивирус

Если все это уже перепробовали, можно "методом сравнения каталогов" попробовать. Берете свой сайт, скачиваете на комп, скачиваете такую же версию ВП с официального сайта. И, используя утилиту типа windiff, сравниваете каталоги. Если в wp-admin, например, будут левые файлы, или отличия будут в содержимом файлов - открываете каждый и смотрите.

Аналогично проходитесь по каталогам с плагинами и темами.

P. S. Сайт ваш посмотреть пока не могу...


Оффлайн zanuda

  • Бизнес оценка: (0)
  • КМС
  • *****
  • СПАСИБО: 594
  • Сообщений: 1876
  • Карма: 59

Оффлайн zanuda

  • КМС
  • *****
evagrom79, напишите, что пользовали, может, у нас есть что-то, что вы не пробовали.

А так, вы наверно видели эти советы:
1. Проверить все папки upload на предмет php файлов, их там быть не должно.
2. Проверить, не появилось ли левых админов
3. Зайти в админ панель хостинга и поискать, что там проинстолировано для защиты. Может оказаться какой-нибудь сканер
4. Снести все плагины (папки) и переустановить по новой (это чтоб вручную не искать вредоносные файлы)
5. Снести все темы (папки) и переустановить по новой
6. Проверить (переписать если надо) htaccess файл

Для истории, мне пришлось прошлым летом повозиться для сайта знакомых. У меня куча закладок осталась на эту тему. К слову сказать, я про безопасность не бум-бум, знакомым так и было сказано, что я повожусь насколько разберусь, но для надежности лучше специалиста искать. Специалист стоит денег, а они на мели... Вобщем, у меня как-то так получилось, видимая проблема была - вместо сайта выскакивала заглушка с кнопками и там графика была. По адресу картинок обнаружилась левая директория, с которой, понятно что произошло. А дальше, я не помню как, но я то ли через поиск то ли еще как нашла точно такие же php файлы в нескольких местах. У знакомых, слава богу, на сайте мало чего, так что все папки upload были проверены вручную. Ну, еще мы поставили Wordfence плагин, насколько я помню. Он, когда сканирует, он показывает подозрительные файлы. Вобщем, он тоже несколько файлов нашел, которые были потерты. В итоге, пока я там гостила, мы проверяли все каждый день и, вроде, ничего подозрительного не было. Но я их знаю, они, наверняка, перестали делать апдейты и смотреть, что там на сайте происходит... Что еще помню интересного, есть сайт, могу поискать, если надо, он содержит базу данных типа у каких плагинов какая дырка в безопасности обнаружена, с обновлениями. кажется, там еще и сканер есть, или это сайт для плагина безопасности. Но что полезно, там можно посмотреть свои плагины на предмет дырок, т.е. можно понять каким образом пролезли.

Оффлайн evagrom79Автор темы

  • Глобальный модератор
  • Бизнес оценка: (0)
  • *****
  • СПАСИБО: 1452
  • Сообщений: 3065
  • Карма: 145
  • Пол: Женский
  • Многому только учусь - медленно, зато старательно
  • Награды Более 100 спасибо
    • Все о саде и огороде

Оффлайн evagrom79Автор темы

  • Глобальный модератор
  • *****
  • Доп. информация
    • Бизнес оценка: (0)
    • СПАСИБО: 1452
    • Сообщений: 3065
    • Карма: 145
    • Пол: Женский
    • Многому только учусь - медленно, зато старательно
    • Награды Более 100 спасибо
      • Все о саде и огороде
Val_Ery, спасибо!

Айболитом пробовали?
Ревизиум, разработчики его, как бы продался. С оф. сайта не скачать. Точно знаю, что есть на github.

Нет, как раз не нашла его, вебом пробовала, бесполезно.

Если все это уже перепробовали, можно "методом сравнения каталогов" попробовать. Берете свой сайт, скачиваете на комп, скачиваете такую же версию ВП с официального сайта. И, используя утилиту типа windiff, сравниваете каталоги. Если в wp-admin, например, будут левые файлы, или отличия будут в содержимом файлов - открываете каждый и смотрите.

Аналогично проходитесь по каталогам с плагинами и темами.

Спасибо, вот это попробую, тема-то свежая, а вот вордпресс проверю.

Добавлено: 28-06-2022, 19:36:05

zanuda, спасибо!

evagrom79, напишите, что пользовали, может, у нас есть что-то, что вы не пробовали.

Все плагины перепробовала и онлайн сканеры, названия даже не перечислю, так как уже ум за разум с ними зашел. Наобум по папкам шарилась, но поскольку толком не знала, что искать - результат был соответствующий, просто время потеряла.

2. Проверить, не появилось ли левых админов
- только это и знала, сделала. Остальное пройдусь прям по вашему списку.

Что еще помню интересного, есть сайт, могу поискать, если надо, он содержит базу данных типа у каких плагинов какая дырка в безопасности обнаружена, с обновлениями. кажется, там еще и сканер есть, или это сайт для плагина безопасности. Но что полезно, там можно посмотреть свои плагины на предмет дырок, т.е. можно понять каким образом пролезли.
- была бы дико благодарна:)
« Последнее редактирование: 28-06-2022, 19:36:05 от evagrom79 »

Оффлайн Val_Ery

  • Бизнес оценка: (0)
  • Старожил
  • ****
  • СПАСИБО: 160
  • Сообщений: 284
  • Карма: 32

Оффлайн Val_Ery

  • Старожил
  • ****
как раз не нашла его

Вот есть такой:
https://github.com/AiratHalitov/airat-aibolit-update
Там версия старая, годовалая (с небольшим).

Если у вас в системе установлен php, тогда вам из всего "пакета" будет достаточно содержимого папки ai-bolit (запустите в терминале пхп ай-болит-хостер.пхп). Без всяких шелл-скриптов)

P. S. Версия немного старая. Но, думаю, ваш сайт проверит.

P. P. S. Отпишитесь о результатах, ок?


Оффлайн Zhezkazganetcs

  • Бизнес оценка: (0)
  • КМС
  • *****
  • СПАСИБО: 918
  • Сообщений: 2347
  • Карма: 48
  • Пол: Мужской
  • время дороже денег...
    • магазин запчастей АвтоСТОП
  • Доп. информация
    • Бизнес оценка: (0)
    • СПАСИБО: 918
    • Сообщений: 2347
    • Карма: 48
    • Пол: Мужской
    • время дороже денег...
      • магазин запчастей АвтоСТОП
403 Forbidden

Оффлайн evagrom79Автор темы

  • Глобальный модератор
  • Бизнес оценка: (0)
  • *****
  • СПАСИБО: 1452
  • Сообщений: 3065
  • Карма: 145
  • Пол: Женский
  • Многому только учусь - медленно, зато старательно
  • Награды Более 100 спасибо
    • Все о саде и огороде

Оффлайн evagrom79Автор темы

  • Глобальный модератор
  • *****
  • Доп. информация
    • Бизнес оценка: (0)
    • СПАСИБО: 1452
    • Сообщений: 3065
    • Карма: 145
    • Пол: Женский
    • Многому только учусь - медленно, зато старательно
    • Награды Более 100 спасибо
      • Все о саде и огороде

Оффлайн Zhezkazganetcs

  • Бизнес оценка: (0)
  • КМС
  • *****
  • СПАСИБО: 918
  • Сообщений: 2347
  • Карма: 48
  • Пол: Мужской
  • время дороже денег...
    • магазин запчастей АвтоСТОП
  • Доп. информация
    • Бизнес оценка: (0)
    • СПАСИБО: 918
    • Сообщений: 2347
    • Карма: 48
    • Пол: Мужской
    • время дороже денег...
      • магазин запчастей АвтоСТОП
Еще лучше...
кто то еще и видос записал
<a href="http://www.youtube.com/watch?v=pELRIh5jREI" target="_blank">http://www.youtube.com/watch?v=pELRIh5jREI</a>


Оффлайн evagrom79Автор темы

  • Глобальный модератор
  • Бизнес оценка: (0)
  • *****
  • СПАСИБО: 1452
  • Сообщений: 3065
  • Карма: 145
  • Пол: Женский
  • Многому только учусь - медленно, зато старательно
  • Награды Более 100 спасибо
    • Все о саде и огороде

Оффлайн evagrom79Автор темы

  • Глобальный модератор
  • *****
  • Доп. информация
    • Бизнес оценка: (0)
    • СПАСИБО: 1452
    • Сообщений: 3065
    • Карма: 145
    • Пол: Женский
    • Многому только учусь - медленно, зато старательно
    • Награды Более 100 спасибо
      • Все о саде и огороде
Zhezkazganetcs, теряюсь. Если я все правильно поняла, это про браузерную проблему? Но с другими сайтами у меня такая дрянь не вылезает - только с моего. Проверила на компе сына - у него тоже иногда выскакивает, именно с моего сайта. Проблема в браузере или в сайте?


Оффлайн Zhezkazganetcs

  • Бизнес оценка: (0)
  • КМС
  • *****
  • СПАСИБО: 918
  • Сообщений: 2347
  • Карма: 48
  • Пол: Мужской
  • время дороже денег...
    • магазин запчастей АвтоСТОП
  • Доп. информация
    • Бизнес оценка: (0)
    • СПАСИБО: 918
    • Сообщений: 2347
    • Карма: 48
    • Пол: Мужской
    • время дороже денег...
      • магазин запчастей АвтоСТОП
не могу сказать, но скорее всего в сайте, т.к. если бы браузер подхватил заразу, то на других тоже выскакивала
поэтому только самостоятельно искать
можно поставить опенсервер и туда залить свой сайт как есть и смотреть будет или не будет
смотря сколько страниц, то можно полностью снести его и залить заново все добавляя вручную


 

Похожие темы

  Тема / Автор Ответов Последний ответ
0 Ответов
1404 Просмотров
Последний ответ 07-03-2011, 23:52:13
от SHAMAN
2 Ответов
1925 Просмотров
Последний ответ 06-09-2011, 23:44:11
от Sarpedon
4 Ответов
1889 Просмотров
Последний ответ 16-04-2012, 07:45:33
от stalk1982
7 Ответов
1837 Просмотров
Последний ответ 05-02-2014, 08:29:05
от 112rub
2 Ответов
1038 Просмотров
Последний ответ 04-04-2016, 12:51:30
от dmakogon