Новогодние вирусы - ищу лекарство

4 года 10 мес. назад - 4 года 10 мес. назад #4777 от hush
Всем привет!
с наступившим НГ и прочими радостями жизни. У меня НАСТУПИЛО конкретно:
в течении недели были заражены около 10 сайтов на джумле 1.5. Пишет везде одно и тоже.
Имя вируса: JS:Icluder-A [Trj]
Тип - Троян
Версия VPS - 130116-0, 16.01.2013



Сразу же захотелось с неодолимой силой пообщаться с этими людьми в неформальной обстановке. Так сказать - дружеский брифинг без галстуков. Это лирика, теперь - проза.

Раньше с этим не сталкивался, что делать не знаю. Поменял пароли по фтп и к админкам.

Вопросы:
1) возможно ли почистить сайты без переустановки?
2) Есть ли какие компоненты для этого? (например - Eyesite)
3) Если на первые два ответ отрицательный - кто-нибудь с этим сталкивался и может ли почистить сайты (за деньги естественно)?
4) На будущее: какие профилактические меры нужно предпринять?
Вложения:

Пожалуйста Войдите или Зарегистрируйтесь, чтобы присоединиться к беседе.

4 года 10 мес. назад #4781 от Wedal
hush, все сайты были у одного хостера?

Чистить сайты после взлома - дело крайне неблагодарное. Гораздо проще восстановить сайт из резервной копии, которой, как я понял, у вас нет. Теперь по вопросам:
1) Есть некоторые полуручные алгоритмы выявления вредоносного кода в php-файлах. Погуглите.
2) Возможно, я не пользовался. Стоит посмотреть в JED.
4) Бэкап, регулярный. Если все зараженные сайты были на одном хостинге - переносите на другой. Как показывает практика, корявые админы после таких инцидентов прямее не становятся и рано или поздно все повториться снова. Если сайты на разных хостингах, то очевидно, уязвимость в Joomla или установленных расширениях. Здесь нужно анализировать.
Спасибо сказали: hush

Пожалуйста Войдите или Зарегистрируйтесь, чтобы присоединиться к беседе.

4 года 10 мес. назад #4784 от endersparco
hush возможно у Вас та же проблема, что была и у меня. Каким хостингом пользовались? Мои сайты были на таймвеб (не сочтите за рекламу) и все 6 сайтов, которые были на аккаунте заразились. Вирус Trojan.PHP.Agent.cp жестко прописался в файлах сайта.

Я не разбираюсь в работе вирусов, но на файлах моих сайтов был прописан код в кодировке base64. Решил. что все дело именно в нем.

Как я вылечил свои сайты.

Так как антивирусник сразу удалял вредоносные файлы пришлось его отключить. Я нашел вредоносный код. И затем используя поиск TotalCommander нашел его в сотнях файлов по всему сайту. Затем открыл их все в notepad++, и заменил вредоносный код, пробелом. Рутинную работу по замене каждого файла помог избежать тотал и нотпад. Так вот после этих манипуляций я проверил файлы сайта и антивирусник показал, что все норм. Проверил работоспособность сайта на локалке и убедившись, что все работает, закинул его опять на хост.

Надеюсь мой способ Вам поможет хоть чем то. Так как сам столкнулся с такой ситуацией впервые. Кстати все сайты были на Joomla версии 1.5 с установленным кодом от сэйп. Грешу на него, но не факт.
Спасибо сказали: hush

Пожалуйста Войдите или Зарегистрируйтесь, чтобы присоединиться к беседе.

4 года 10 мес. назад - 4 года 10 мес. назад #4802 от hush
спасибо за ответы!

в общем - решил я подождать пару дней. отправил через панель яндексвебмастера сайты на повторную проверку. Результат - вирусов не обнаружено. У меня единственная версия - что все-таки на хостинге почистили.

2 вопроса есть, немного не по теме, но все таки, в порядке общего развития:

1) в выдаче яндекса почти все сайты висят с пометкой - Сайт может угрожать безопасности вашего компьютера или мобильного устройства. Соответственно - переход на сайты заблокирован. Что делать? Ждать новой выдачи?

2) у одного сайта пометка об угрозе изчезла, но сайт блокируется на моем компе браузером (конкретно - аваст). Что это значит: сайт попал в вирусную базу аваста и теперь нужно его как то оттуда вытаскивать? Или есть другие варианты? (сайт дважды чистил drveb-ом - пишет что вирусов на компе нет)

Спасибо

p/s/ - удивительное рядом. стал искать про хостинг-центр (где все сайты) и нашел ответ: вирус добавляет код "script src="http://kinoshkaxa. changeip . name / rsize . js" script" внизу страницы в index.php, который лежит в корне сайта (может, кому пригодится). Стал проверять - оказывается никто его и не удалял. хотя яша написал, что все ок. такие дела

Пожалуйста Войдите или Зарегистрируйтесь, чтобы присоединиться к беседе.

4 года 10 мес. назад #4815 от Wedal
hush,
1) Да. Можно попробовать написать в саппорт.
2) Возможно, именно ваш аваст добавил сайт в блэк-лист. Попробуйте зайти с любого другого ПК, где установлен аваст.
Спасибо сказали: hush

Пожалуйста Войдите или Зарегистрируйтесь, чтобы присоединиться к беседе.


Вверх