Новогодние вирусы - ищу лекарство
- hush
- Автор темы
- Не в сети
- Завсегдатай
Less
Больше
- Сообщений: 197
- Спасибо получено: 2
12 года 4 дн. назад - 12 года 4 дн. назад #4777
от hush
hush создал тему: Новогодние вирусы - ищу лекарство
Всем привет!
с наступившим НГ и прочими радостями жизни. У меня НАСТУПИЛО конкретно:
в течении недели были заражены около 10 сайтов на джумле 1.5. Пишет везде одно и тоже.
Имя вируса: JS:Icluder-A [Trj]
Тип - Троян
Версия VPS - 130116-0, 16.01.2013
Сразу же захотелось с неодолимой силой пообщаться с этими людьми в неформальной обстановке. Так сказать - дружеский брифинг без галстуков. Это лирика, теперь - проза.
Раньше с этим не сталкивался, что делать не знаю. Поменял пароли по фтп и к админкам.
Вопросы:
1) возможно ли почистить сайты без переустановки?
2) Есть ли какие компоненты для этого? (например - Eyesite)
3) Если на первые два ответ отрицательный - кто-нибудь с этим сталкивался и может ли почистить сайты (за деньги естественно)?
4) На будущее: какие профилактические меры нужно предпринять?
с наступившим НГ и прочими радостями жизни. У меня НАСТУПИЛО конкретно:
в течении недели были заражены около 10 сайтов на джумле 1.5. Пишет везде одно и тоже.
Имя вируса: JS:Icluder-A [Trj]
Тип - Троян
Версия VPS - 130116-0, 16.01.2013
Сразу же захотелось с неодолимой силой пообщаться с этими людьми в неформальной обстановке. Так сказать - дружеский брифинг без галстуков. Это лирика, теперь - проза.
Раньше с этим не сталкивался, что делать не знаю. Поменял пароли по фтп и к админкам.
Вопросы:
1) возможно ли почистить сайты без переустановки?
2) Есть ли какие компоненты для этого? (например - Eyesite)
3) Если на первые два ответ отрицательный - кто-нибудь с этим сталкивался и может ли почистить сайты (за деньги естественно)?
4) На будущее: какие профилактические меры нужно предпринять?
Последнее редактирование: 12 года 4 дн. назад пользователем hush.
Пожалуйста Войти или Зарегистрируйтесь, чтобы присоединиться к беседе.
- Wedal
- Не в сети
- Администратор
Less
Больше
- Сообщений: 2869
- Спасибо получено: 659
12 года 4 дн. назад #4781
от Wedal
Wedal ответил в теме Re: Новогодние вирусы - ищу лекарство
hush, все сайты были у одного хостера?
Чистить сайты после взлома - дело крайне неблагодарное. Гораздо проще восстановить сайт из резервной копии, которой, как я понял, у вас нет. Теперь по вопросам:
1) Есть некоторые полуручные алгоритмы выявления вредоносного кода в php-файлах. Погуглите.
2) Возможно, я не пользовался. Стоит посмотреть в JED.
4) Бэкап, регулярный. Если все зараженные сайты были на одном хостинге - переносите на другой. Как показывает практика, корявые админы после таких инцидентов прямее не становятся и рано или поздно все повториться снова. Если сайты на разных хостингах, то очевидно, уязвимость в Joomla или установленных расширениях. Здесь нужно анализировать.
Чистить сайты после взлома - дело крайне неблагодарное. Гораздо проще восстановить сайт из резервной копии, которой, как я понял, у вас нет. Теперь по вопросам:
1) Есть некоторые полуручные алгоритмы выявления вредоносного кода в php-файлах. Погуглите.
2) Возможно, я не пользовался. Стоит посмотреть в JED.
4) Бэкап, регулярный. Если все зараженные сайты были на одном хостинге - переносите на другой. Как показывает практика, корявые админы после таких инцидентов прямее не становятся и рано или поздно все повториться снова. Если сайты на разных хостингах, то очевидно, уязвимость в Joomla или установленных расширениях. Здесь нужно анализировать.
Спасибо сказали: hush
Пожалуйста Войти или Зарегистрируйтесь, чтобы присоединиться к беседе.
- endersparco
- Не в сети
- Осваиваюсь на форуме
Less
Больше
- Сообщений: 27
- Спасибо получено: 1
12 года 4 дн. назад #4784
от endersparco
endersparco ответил в теме Re: Новогодние вирусы - ищу лекарство
hush возможно у Вас та же проблема, что была и у меня. Каким хостингом пользовались? Мои сайты были на таймвеб (не сочтите за рекламу) и все 6 сайтов, которые были на аккаунте заразились. Вирус Trojan.PHP.Agent.cp жестко прописался в файлах сайта.
Я не разбираюсь в работе вирусов, но на файлах моих сайтов был прописан код в кодировке base64. Решил. что все дело именно в нем.
Как я вылечил свои сайты.
Так как антивирусник сразу удалял вредоносные файлы пришлось его отключить. Я нашел вредоносный код. И затем используя поиск TotalCommander нашел его в сотнях файлов по всему сайту. Затем открыл их все в notepad++, и заменил вредоносный код, пробелом. Рутинную работу по замене каждого файла помог избежать тотал и нотпад. Так вот после этих манипуляций я проверил файлы сайта и антивирусник показал, что все норм. Проверил работоспособность сайта на локалке и убедившись, что все работает, закинул его опять на хост.
Надеюсь мой способ Вам поможет хоть чем то. Так как сам столкнулся с такой ситуацией впервые. Кстати все сайты были на Joomla версии 1.5 с установленным кодом от сэйп. Грешу на него, но не факт.
Я не разбираюсь в работе вирусов, но на файлах моих сайтов был прописан код в кодировке base64. Решил. что все дело именно в нем.
Как я вылечил свои сайты.
Так как антивирусник сразу удалял вредоносные файлы пришлось его отключить. Я нашел вредоносный код. И затем используя поиск TotalCommander нашел его в сотнях файлов по всему сайту. Затем открыл их все в notepad++, и заменил вредоносный код, пробелом. Рутинную работу по замене каждого файла помог избежать тотал и нотпад. Так вот после этих манипуляций я проверил файлы сайта и антивирусник показал, что все норм. Проверил работоспособность сайта на локалке и убедившись, что все работает, закинул его опять на хост.
Надеюсь мой способ Вам поможет хоть чем то. Так как сам столкнулся с такой ситуацией впервые. Кстати все сайты были на Joomla версии 1.5 с установленным кодом от сэйп. Грешу на него, но не факт.
Спасибо сказали: hush
Пожалуйста Войти или Зарегистрируйтесь, чтобы присоединиться к беседе.
- hush
- Автор темы
- Не в сети
- Завсегдатай
Less
Больше
- Сообщений: 197
- Спасибо получено: 2
12 года 3 дн. назад - 12 года 2 дн. назад #4802
от hush
hush ответил в теме Re: Новогодние вирусы - ищу лекарство
спасибо за ответы!
в общем - решил я подождать пару дней. отправил через панель яндексвебмастера сайты на повторную проверку. Результат - вирусов не обнаружено. У меня единственная версия - что все-таки на хостинге почистили.
2 вопроса есть, немного не по теме, но все таки, в порядке общего развития:
1) в выдаче яндекса почти все сайты висят с пометкой - Сайт может угрожать безопасности вашего компьютера или мобильного устройства. Соответственно - переход на сайты заблокирован. Что делать? Ждать новой выдачи?
2) у одного сайта пометка об угрозе изчезла, но сайт блокируется на моем компе браузером (конкретно - аваст). Что это значит: сайт попал в вирусную базу аваста и теперь нужно его как то оттуда вытаскивать? Или есть другие варианты? (сайт дважды чистил drveb-ом - пишет что вирусов на компе нет)
Спасибо
p/s/ - удивительное рядом. стал искать про хостинг-центр (где все сайты) и нашел ответ: вирус добавляет код "script src="http://kinoshkaxa. changeip . name / rsize . js" script" внизу страницы в index.php, который лежит в корне сайта (может, кому пригодится). Стал проверять - оказывается никто его и не удалял. хотя яша написал, что все ок. такие дела
в общем - решил я подождать пару дней. отправил через панель яндексвебмастера сайты на повторную проверку. Результат - вирусов не обнаружено. У меня единственная версия - что все-таки на хостинге почистили.
2 вопроса есть, немного не по теме, но все таки, в порядке общего развития:
1) в выдаче яндекса почти все сайты висят с пометкой - Сайт может угрожать безопасности вашего компьютера или мобильного устройства. Соответственно - переход на сайты заблокирован. Что делать? Ждать новой выдачи?
2) у одного сайта пометка об угрозе изчезла, но сайт блокируется на моем компе браузером (конкретно - аваст). Что это значит: сайт попал в вирусную базу аваста и теперь нужно его как то оттуда вытаскивать? Или есть другие варианты? (сайт дважды чистил drveb-ом - пишет что вирусов на компе нет)
Спасибо
p/s/ - удивительное рядом. стал искать про хостинг-центр (где все сайты) и нашел ответ: вирус добавляет код "script src="http://kinoshkaxa. changeip . name / rsize . js" script" внизу страницы в index.php, который лежит в корне сайта (может, кому пригодится). Стал проверять - оказывается никто его и не удалял. хотя яша написал, что все ок. такие дела
Последнее редактирование: 12 года 2 дн. назад пользователем hush.
Пожалуйста Войти или Зарегистрируйтесь, чтобы присоединиться к беседе.
- Wedal
- Не в сети
- Администратор
Less
Больше
- Сообщений: 2869
- Спасибо получено: 659
12 года 1 день назад #4815
от Wedal
Wedal ответил в теме Re: Новогодние вирусы - ищу лекарство
hush,
1) Да. Можно попробовать написать в саппорт.
2) Возможно, именно ваш аваст добавил сайт в блэк-лист. Попробуйте зайти с любого другого ПК, где установлен аваст.
1) Да. Можно попробовать написать в саппорт.
2) Возможно, именно ваш аваст добавил сайт в блэк-лист. Попробуйте зайти с любого другого ПК, где установлен аваст.
Спасибо сказали: hush
Пожалуйста Войти или Зарегистрируйтесь, чтобы присоединиться к беседе.