- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта
Применяем отклонение ссылок
Сервис Rookee
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Добрый день, уже более полугода "лечу" один из аккаунтов на хостинге (название говорить нехочу, чтобы не посчитали антирекламой). Проблема заключается в том, что вирусы каждый раз возвращаются. Что я делаю:
1. Скачиваю файлы
2. Сканирую Ai-bolit-ом, чищу все файлы
3. Осуществляю поиск по файлам (POST, preg_replace и т.д.)
4. Проверяю базу данных
5. Обновляю все плагины и версию движка (WP, Joomla). Хотя вирусы заражают всё популярные CMS, html сайты, папки не принадлежащие не одному из сайтов
6. Меняю все пароли (бд, ftp, хостинг, админка)
Меня смущают 2 вещи
1. Время заражения, к примеру в папке лежат залиты файлы движка все созданы 09.06.16, новый файл с вирусом context.php будет иметь ту же дату создания и будет создан тем же пользователем. Хотя я точно знаю что не 09, ни 10 его там не было (то есть вирус обманывает файловую систему). Тоже самое происходит если вирус дописывает себя в файлы, сервер не видит дату изменений, то есть будет написано последнее изменение 09.06.16
Вот сюда был дописан вредоносный код 1-2 дня назад
2. Вирусные файлы появляются даже в папках без сайтов, была папка на сервере "1111" через какое-то время в ней появилось несколько вирусных файлов.
Собственно возможно ли что проблемы у хостера? Хостер естественно на такой вопрос нормально не ответил.
P.S. Вирусы - зашифрованные куски php кода + формы для загрузки файлов вызываемые GET параметром, если нужно будет - скину
Muzicant, конечно, возможен взлом хостинга.
Но вы не продемонстрировали, что действительно проверили все.
Что насчет проверок новых файлов с помощью ctime ? как здесь :/ru/forum/900084 , хотя этот скрипт не печатает точное время модификации, его надо дополнить.
Важно, чтобы это задача запускалась достаточно часто. Хорошо бы раз в 15 минут.
какова посещаемость? может быть логи за 1-2 дня можно просто глазами проанализировать ?
P.S. Вирусы - зашифрованные куски php кода + формы для загрузки файлов вызываемые GET параметром, если нужно будет - скину
точно нет.
Дело в том, что в логах ничего интересного.
Есть POST запросы на вирусные файлы, причем первый POST может появится 11-го числа (ответ сервера - 200), хотя указано, что сам файл создан 15-го
Или может я не на то смотрю?
Подскажите, пока ставил скрипт что вы посоветовали, нашёл интересный файл, прямо в корне
".bash_history"
и там есть такие строчки:
#1465911485
grep -lr '###=CACHE START=###' ./*
#1465911505
find ./ -name '*.php' | xargs -d'\n' egrep -sl '###=CACHE START=###'
И большинство файлов с вирусами имеют вредонеосный код:
<?php
//###=CACHE START=###
error_reporting(0);
$strings = "as";$strings .= "sert";
@$strings(str_rot13('riny(onfr64_qrpbqr("nJLtXT.../*ОБРЕЗАЛ*/....wg9"));'));
//###=CACHE END=###
?>
Muzicant, .bash_history - это bash history. Файл с историей команд запускаемых вами (или не вами) в bash. Разумеется, он меняется и скрипт срабатывает. Кто-то искал код и запускал эту команду.
Собственно возможно ли что проблемы у хостера? Х
Возможно просто дыры в скриптах, через которые заливают шелл, с пом которого уже всё отрабатывают и после удаляют.
Возможно увод ФТП.
Возможны ещё др причины.
Но возможно и хостер. На практике это менее вероятная причина.
атрибут "время изменения содержимого" может быть изменен
необходимо смотреть атрибут "время изменения атрибутов" (ctime)
но и это может не сильно помочь т.к. злоумышленники часто меняют ctime у всех файлов сразу, что бы сделать невозможным поиск конкретного файла
если есть доступ, то логи злоумышленник может удалять целиком или выборочно после своей работы
пол года? ))
а почему за это время в вашем списке не появилось "обратиться к специалисту"?
или ваш план такой:
4. ...
5. Обновляю все плагины
6. Меняю все пароли
7. Хакерам надоело восстанавливать свои вирусы и они залили вам в отместку, например, пару сотен чужих фото с фотобанка и забили на вас
8. Фотобанк подал на вас в суд за нарушение авторских прав и отсудил квартиру, авто и всё, что есть
не играйтесь с хакерами
проиграете
Если хотите иметь представление о том, насколько вероятен взлом хостинга, задайте хостеру вопрос о том, как реализована изоляция аккаунтов друг от друга на сервере.
Закройте административную часть сайта, сделайте доступ только с определённого IP адреса и закройте доступ на ваш сайт через FTP.
А та же хотелось бы знать, где вы брали шаблоны для ваших сайтов и те же плагины или компоненты,
если качали халявные или нулёные с интернета, то там куча сюрпризов, в том числе и вирусы и с открытием доступа к сайту.