Вирус на сайте - как найти и убить?

Автор Тема: Вирус на сайте - как найти и убить?  (Прочитано 4180 раз)

Оффлайн TazitАвтор темы

  • Бизнес оценка: (0)
  • КМС
  • *****
  • СПАСИБО: 874
  • Сообщений: 2175
  • Карма: 50
  • Пол: Мужской
  • Яндекс хороший, хороший, хороший...
    • Просмотр профиля
    • Секретный словарь Тацита

Оффлайн TazitАвтор темы

  • КМС
  • *****
  • Доп. информация
    • Бизнес оценка: (0)
    • СПАСИБО: 874
    • Сообщений: 2175
    • Карма: 50
    • Пол: Мужской
    • Яндекс хороший, хороший, хороший...
      • Просмотр профиля
      • Секретный словарь Тацита
Не нашёл отдельного раздела по вирусам, поэтому пишу здесь.
Нужна помощь.
Мне сообщили, что у меня на сайте вирус - файл скрипта с трояном:  Trojan-Downloader.JS.Agent.gqu   http://advokatrt.ru/media/system/js/caption.js.

Вот есть теперь 2 вопроса, подскажите, пожалуйста:
1. Как вирус вообще на сайте обнаружить можно, что бы убить потом?
2. Как этот троян теперь уничтожить?


Оффлайн Sevab

  • Администратор
  • Бизнес оценка: (6, 100%)
  • *****
  • СПАСИБО: 9889
  • Сообщений: 14506
  • Карма: 664
  • Пол: Мужской
    • Просмотр профиля
    • Trust Directory Project

Оффлайн Sevab

  • Администратор
  • *****
Re: Вирус на сайте - как найти и убить?
« Ответ #1 : 23-05-2012, 08:47:35 »
Ищите откуда подгружается, обычно из яваскрипт либо подключаемых модулей сторонних разработчиков.
Т.е. внимательно изучите html код страницы, на которую жалуется антивирус и скрупулезно проверьте все файлы, из которых он формируется (тем более у вас указано в каком, но это не факт).

И не забудьте сменить все пароли на локальном компьютере и на сервере. 99% таких атак идут через ваш собственный компьютер.
Да, ваш фтп клиент не должен запоминать вводимые пароли (обязательно!). Лучше запишите их в отдельный файл и копируйте и вставляйте при запуске клиента.

Оффлайн kstg

  • Бизнес оценка: (0)
  • Постоялец
  • ***
  • СПАСИБО: 18
  • Сообщений: 103
  • Карма: 5
  • Пол: Мужской
  • Награды За благотворительность
    • Просмотр профиля
    • CMS Wordpress

Оффлайн kstg

  • Постоялец
  • ***
Re: Вирус на сайте - как найти и убить?
« Ответ #2 : 23-05-2012, 11:32:07 »
Возьмите исходные файлы вашего движка и темы и поочередно сравнивайте их с файлами на хостинге. На хостинге пробейте логи изменений ваших файлов, по ним тоже пройдитесь. Все подозрительные файлы проверяйте АВ, скорее всего это будут просто закодированные строки JS.
Вот этот скриптик для поиска уязвимостей последнее время популярен: http://www.revisium.com/ai/ и надо сказать справляется

Оффлайн nemetc

  • Бизнес оценка: (2, 100%)
  • Ветеран
  • *****
  • СПАСИБО: 573
  • Сообщений: 1234
  • Карма: 62
  • Пол: Мужской
  • заходи если что...
  • Награды КМС поисковой оптимизации
    • Просмотр профиля

Оффлайн nemetc

  • Ветеран
  • *****
  • Доп. информация
    • Бизнес оценка: (2, 100%)
    • СПАСИБО: 573
    • Сообщений: 1234
    • Карма: 62
    • Пол: Мужской
    • заходи если что...
    • Награды КМС поисковой оптимизации
      • Просмотр профиля
Re: Вирус на сайте - как найти и убить?
« Ответ #3 : 23-05-2012, 11:35:04 »
посмотри вот это http://sitecheck.sucuri.net/results/advokatrt.ru

Оффлайн TazitАвтор темы

  • Бизнес оценка: (0)
  • КМС
  • *****
  • СПАСИБО: 874
  • Сообщений: 2175
  • Карма: 50
  • Пол: Мужской
  • Яндекс хороший, хороший, хороший...
    • Просмотр профиля
    • Секретный словарь Тацита

Оффлайн TazitАвтор темы

  • КМС
  • *****
  • Доп. информация
    • Бизнес оценка: (0)
    • СПАСИБО: 874
    • Сообщений: 2175
    • Карма: 50
    • Пол: Мужской
    • Яндекс хороший, хороший, хороший...
      • Просмотр профиля
      • Секретный словарь Тацита
Re: Вирус на сайте - как найти и убить?
« Ответ #4 : 23-05-2012, 15:20:52 »
вот это http://sitecheck.sucuri.net/
Вроде работает. Я пока другой свой сайт проверил и устранил вирус.

Короче у меня, похоже все сайты заражены, пока один сделал - по нему сегодня Яндекс в меня плевался по почте, уже в выдаче предупреждает об опасности. Вопрос по этому сайту так решил (может кому интересно):

В этом сервисе sitecheck.sucuri.net определил на сайте http://www.bigplusforyou.ru/ (джумла 1.5.22)  2 заражённых файла -
/domains/bigplusforyou.ru/media/mootools.js и /domains/bigplusforyou.ru/media/caption.js

Скачал заново копию этой версии джумлы и эти файлы залил по новой на хостинг.
Перепроверил на этом же сервисе - пишет, что вирусов нет.
Отправил в Яндекс-вебмастер запрос на перепроверку.

Короче этот вирус админку гробит. Потому что админка полетела и на других моих сайтах.
Я в другой теме - http://www.sbup.com/seo-forum/joomla/ne_zahodit_v_adminku_/20/ по совету Ametist
на одном сайте админку так починил - перезалил джумлу заново, но там вирус сидит в бесплатном шаблоне, который сам где-то нашёл уже не помню, так что придётся ковырять его. Но админка всё-таки работает, т.е. по второму кругу он её не убивает (может пока).

Короче мне придётся все сайты свои проверять и ремонтировать.
Но причина и метод понятны. Спасибо всем за помощь.


Добавлено: 24-05-2012, 05:06:44

Всё вроде сделал, но на одном сайте http://адвокат-рт.рф/ что есть по ихнему так xn----7sbahj1b1atqc.xn--p1ai/  сервис sitecheck.sucuri.net мне вот что выдаёт:
Suspicious domain detected.
Details: http://sucuri.net/malware/malware-entry-mwblacklisted35
<script id="top100Counter" type="text/javascript" src="http://counter.rambler.ru/top100.jcn?2627343"></script>

"Обнаружены подозрительные домен" - это в переводе.
Это код счётчика рамблера, я его и переставил уже, а толку нет или это глюк на зону РФ? по сайтам в зоне Ру нет прблем.
« Последнее редактирование: 24-05-2012, 05:06:44 от bigplus »


 

Похожие темы

  Тема / Автор Ответов Последний ответ
0 Ответов
1276 Просмотров
Последний ответ 07-03-2011, 23:52:13
от SHAMAN
2 Ответов
1679 Просмотров
Последний ответ 06-09-2011, 23:44:11
от Sarpedon
4 Ответов
1682 Просмотров
Последний ответ 16-04-2012, 07:45:33
от stalk1982
7 Ответов
1576 Просмотров
Последний ответ 05-02-2014, 08:29:05
от 112rub
1 Ответов
506 Просмотров
Последний ответ 31-01-2019, 18:55:29
от zanuda