Прошу помощи, вирус на сайте, куда рыть?

Автор evagrom79, 27-06-2022, 18:03:20

« назад - далее »

vold57

evagrom79, каждый день, а может и час, пока сайт заражен это опасность быть пониженным в выдаче. Я в таких случаях, когда узнаю о проблеме сразу, то есть безотлагательно обращаюсь к программисту. И еще. Если вы своими силами что-то нашли и удалили, вы уверены, что очистили сайт от всего опасного?


evagrom79Topic starter

Цитата: vold57 от 29-06-2022, 15:24:17
evagrom79, каждый день, а может и час, пока сайт заражен это опасность быть пониженным в выдаче. Я в таких случаях, когда узнаю о проблеме сразу, то есть безотлагательно обращаюсь к программисту. И еще. Если вы своими силами что-то нашли и удалили, вы уверены, что очистили сайт от всего опасного?

Владимир, печально и безуспешно проковырявшись почти трое суток в сайте, пришла к такому же выводу - что сама ума не дам, еще и с гарантией. Обратилась тоже.


zanuda

#12
1. Сайт: https://wpscan.com/ Там надо войти на "vulnerabilities" и вручную вбивать свои темы и плагины. И там, если есть дырки, даже рассказано подробно о них. Я только сильно детально не понимаю. Кажется, от них можно еще либо на сервер подписаться, либо плагин поставить и они будут сканировать сайт и присылать апдейты на мыло. С моими знакомыми проблема в том, что они в какой-то момент перестанут делать рекомендации... Они хотят чтоб все делалось само, типа антивируса, а с сайтом так не бывает.

2. У нас на сайте есть юзер с именем типа ProtectYourSite, он толковые советы давал по безопасности. Может, к нему обратиться как специалисту?

3. Со всей ситуацией тут есть 2 проблемы. Первая, - почистить все, что есть. Вторая, найти дырку (поэтому и пункт 1) и ее "заделать". Т.е. даже если все почистить, то через дырку могут обратно влезать... И, народ говорит, если у вас уже случилась проблема, то ваш сайт будут постоянно проверять на случай, если вы опять где-то дырку не поимели (так что делайте апдейты своевременно).

4. Попробовали Wordfence плагин? Мне он неплохо все искал, нашел все файлы, которые мне удалось найти вручную, еще в паре мест, которые оказались идентичными, и нашел пару png файлов (ну, они могли быть чем угодно), которые мои знакомые точно  не ставили, поэтому мы их снесли не разбираясь.

5. Отписывайтесь о результатах, может, кто еще чего вспомнит. Я поищу сканеры, которые мне удалось найти, ну и пришлось попользовать.

Кстати, у меня на сайте, которым я больше всего занимаюсь (не тот с которым были проблемы), тоже стоит colormag :)

Добавлено: 29-06-2022, 17:36:26


Цитата: zanuda от 29-06-2022, 16:37:55...1. Сайт: wpscan.com...   

Ага, вот оно для вордпресса: https://wordpress.org/plugins/wpscan/

  •  

tartaren

Может быть будет полезно: Давненько уже был случай, скачал полностью сайт с хостинга, а антивирус, установлоенный на компьютере нашел в нем вирусы, потом выяснилось, что да, они действительно были.
То есть может быть стоит скачать ваш сайт и локально проверить на вирусы.

evagrom79Topic starter

zanuda, tartaren, спасибо большое, будем все пробовать :) По результатам сообщу, может, в будущем кому пригодится.


yurike82

Было дело так: сайт начинал рассылать письма (взрослые) от имени сайта и хостеры его выключили. Перебирал папки и сравнивал с бекапом на своем компе. Нашел два лишних рнр. Упаковал их и отправил Касперскому в запакованном и запароленом виде в лабораторию.
Ответ Касперского:
Здравствуйте,

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь.

и т д.

Была дыра у самого хостера.

PS: Пришлось "тушить" антивир на компе, так как он сразу сносил эти файла даже без спроса.
PS2: давно было, осень 2014
  •  

zanuda

А как (и кто) обнаружили дыру на хостинге? Я вот, наверно, на такое не потяну.
  •  

yurike82

Показал названия файлов хостерам, где нашел файлы, ответ Касперского. Они сами же и подтвердили, что была дырка в заборе (на задах)  ;)
  •  


wooden

Вдобавок ко всем советам вставлю свои 5 копеек:
- также надо изменить логины/пароли пользователя, базы данных, ftp-соединения, аккаунта хостинга...
Когда-то именно это исправлило проблему с сайтом, оказалось, что кто-то заходил по ftp и экпериментировал с партнёрскими ссылками, наверное, посмотрев ролик в интернете о быстром заработке на сайте. Причём, скрипт вывода партнёрской ссылки был засунут в реальный файл .php движка, при этом он отображался не тупо всем пользователям подряд, а при определённых стечениях обстоятельств (браузер + время/дата/день недели), что довольно сильно затруднило его идентификацию (мы просто не могли подтвердить появление этих ссылок, наверное, из суммарно раз 50-ти только 1 раз увидели)
Нужен брус или доска в Харькове? Нет? Ну, извините
  •  


redshrey

#19
Может поможет.

Один раз подхватывал заразу.
Сделал так. Взял файлы бэкапа и сравнил с файлами настоящими. нашел несоответствие в коде иодного из файлов. (был на WP)
Удалил "плохой" код и сравнил с кодом чистой темой (шаблона).  Все удачно.


Добавлено: 10-11-2022, 08:58:10


Цитата: redshrey от 10-11-2022, 08:27:32
Может поможет.

Один раз подхватывал заразу.
Сделал так. Взял файлы бэкапа и сравнил с файлами настоящими. нашел несоответствие в коде иодного из файлов. (был на WP)
Удалил "плохой" код и сравнил с кодом чистой темой (шаблона).  Все удачно.
П,С. Не помню чем сравнивал. Помоему Notepad
magazin-color.ru  Диван да Кровать на заказ Надоела карма =13  8) Антоныч88  ;D
  •