Показано с 1 по 17 из 17.

Хостер сообщает о заражении моего сайта, но никакими сканами я не могу найти вирусы (заявка № 126576)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    04.11.2012
    Сообщений
    8
    Вес репутации
    15

    Хостер сообщает о заражении моего сайта, но никакими сканами я не могу найти вирусы

    Здравствуйте.
    Сайт tboservice.ru. На Joomla 2.5.
    Уже третий раз приходит письмо от хостера о заражении сайта (текст прилагается). Проверила свой компьютер (админили только с него), проверила неоднократно сам сайт в он-лайне (с помощью Доктор Вэба и др.) - все чисто. Запросила у хостера бэкап, перезалила - снова прислали письмо того же содержания. Все пароли сменила (и от админки и от фтп).
    У меня сайт открывается корректно и прямой ссылкой и из яндекса, но некоторые люди жаловались на то, что их из яндекса пересылают на другой сайт, и срабатывает антивирус. Следовательно проблема все же есть.
    Скачала содержимое сайта, проверила антивирусом, нашел все перечисленное((.. Лечению не поддается - или в карантин, или удалить(
    "На замок" не видит ничего(... Правда в бета-версии.
    1. Что делать в данной ситуации?
    2. Возможно, проще и надежнее полностью удалить сайт и залить заново (сохранился на локалхосте), благо с тех пор контента добавлено было немного?
    3. Если вирус пришел из моего компьютера, то почему не зарпазил другой сайт, который я администрирую (разница только в том, что здесь Джумла 2.5, а там 1.5).
    Спасибо.
    Вложения Вложения
    Последний раз редактировалось Darya Zvyagintseva; 05.11.2012 в 10:55.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) Darya Zvyagintseva, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member (OID) Репутация
    Регистрация
    04.11.2012
    Сообщений
    8
    Вес репутации
    15
    Спасибо.
    Я же вроде прикрепила все файлы, о которых говорилось в инструкции.
    С уважением.

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,524
    Вес репутации
    2915
    Логи в порядке, что вполне ожидаемо
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от Darya Zvyagintseva Посмотреть сообщение
    Если вирус пришел из моего компьютера, то почему не зарпазил другой сайт, который я администрирую (разница только в том, что здесь Джумла 2.5, а там 1.5).
    Возможно, он пришел не с Вашего компьютера, а через дыры в ПО поддержки сайта.

    Цитата Сообщение от Darya Zvyagintseva Посмотреть сообщение
    У меня сайт открывается корректно и прямой ссылкой и из яндекса, но некоторые люди жаловались на то, что их из яндекса пересылают на другой сайт, и срабатывает антивирус.
    Пароли от сайта на Вашем компьютере сохранены?

    В Опере открыл. Никуда вроде не отправили.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member (OID) Репутация
    Регистрация
    04.11.2012
    Сообщений
    8
    Вес репутации
    15
    Пароли не сохранены.
    Если все чисто (как показывают все сканеры), то почему, скачав через файлзиллу содержимое сайта на свой компьютер, и проверив его антивирусом, я увидела ту же картину, что прислал хостер?
    Вообще так и не поняла пока... проблема все же есть или нет объективно?

    Попробовала еще раз: хромом из яндекса - антивирус блокирует (скрин прилагаю), после этого пробую напрямую - аналогично, в эксплорере сразу перехожу прямой ссылкой - ок, из яндекса - тоже ок.
    Изображения Изображения
    Последний раз редактировалось Darya Zvyagintseva; 06.11.2012 в 22:53.

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,524
    Вес репутации
    2915
    AVZ не предназначен для поиска зараженных htm-файлов
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Надо Ваш сайт прогнать сканером на предмет уязвимостей. Как и чем, к сожалению ,подсказать не могу

    - - - Добавлено - - -

    Цитата Сообщение от Darya Zvyagintseva Посмотреть сообщение
    то почему, скачав через файлзиллу содержимое сайта на свой компьютер, и проверив его антивирусом, я увидела ту же картину, что прислал хостер?
    Если увидели, то заражют не

    Цитата Сообщение от Darya Zvyagintseva Посмотреть сообщение
    Запросила у хостера бэкап,
    Он проверялся антивирусами?

    В сообщении хостера малваре сидит php-шное, т.е в нутрехах. Проверяйте бэкар антивирусами.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member (OID) Репутация
    Регистрация
    04.11.2012
    Сообщений
    8
    Вес репутации
    15
    бэкап проверяла перед заливкой - ничего не обнаруживалось.
    Что в итоге делать посоветуете? Снести и перезалить с локалхоста?
    Еще раз перепроверила бэкап - чисто. Может, он не перезалился по каким-то причинам? Не заменились зараженные файлы?( Закачивала с указанием перезаписать. Может, сначала в файлзилле удалить папки из корня, а потом из бэкапа закинуть?
    P.S. Пардон, если задаю глупые вопрос...)) Я только осваиваюсь))
    Последний раз редактировалось Darya Zvyagintseva; 06.11.2012 в 23:04.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    /mod_toolbar.php + include.php файл пришлите. Посмотрим на Вашего трояна поближе.

    Заменять надо только те файлы, которые указаны в письме. + На всякий случай пришлите еще /mod_toolbar.php из бэкапа.


    http://skripters.biz/forum/topic_45729/ -- для образования. Примерно Ваш случай.

    Joomla 2.5 на него все хотфиксы поставлены?
    Последний раз редактировалось PavelA; 07.11.2012 в 09:24.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member (OID) Репутация
    Регистрация
    04.11.2012
    Сообщений
    8
    Вес репутации
    15
    Спасибо, что взялись за мой случай)
    Еще раз сорри - я пока совсем чайник, потому буду переспрашивать: что значит "хотфиксы проставлены"?
    Обновления? Да, все стоит самое новое (по крайней мере в панели управления написано так)
    - - - Добавлено - - -

    Файл из бэкапа - http://rghost.ru/41401080
    Файлы из содержимого сайта:
    http://rghost.ru/41401100
    http://rghost.ru/41401104
    Последний раз редактировалось Darya Zvyagintseva; 07.11.2012 в 12:53.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от Darya Zvyagintseva Посмотреть сообщение
    Обновления?
    Да
    Файл из бекапа чистый. С сайта зараженный.
    Пароли от админки и от Администратора базы сменили после первого заражения?

    Попробуйте поменять все-все пароли от сайта. Да, на файлзилле тоже.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member (OID) Репутация
    Регистрация
    04.11.2012
    Сообщений
    8
    Вес репутации
    15
    Пароли менять сейчас? или сначала перезалить еще раз из бэкапа?
    В прошлый раз пароли меняла только от фтп и от админки, от базы не меняла((... Сейчас меняю все.
    Последний раз редактировалось Darya Zvyagintseva; 07.11.2012 в 14:50.

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Сначала перезалить и тут же сменить. М.б. не успеют упереть. Вечерком, если будет время, посмотрю что тебе засовывают на сайт.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member (OID) Репутация
    Регистрация
    04.11.2012
    Сообщений
    8
    Вес репутации
    15
    хм... а у меня ж есть только бэкап контента за то число, а нужно базы данных? или этого хватит?

    - - - Добавлено - - -

    Еще, может, это важно...
    1. на всякий случай заказала отчет уязвимостей хостеру (прикладываю)
    2. Перед тем, как возникли вирусные проблемы была такая странность - захожу на сайт (и в админку - та же фигня) - вижу Ошибка CGI-приложения / CGI Script Error, потом все нормализовалось, хостер объяснил так: "На директории Вашего сайта были выставлены некорректные права(777). С нашей стороны мы установили права по умолчанию, работа сайта восстановлена".

    Это связанные моменты?

    Отчет об уязвимостях - http://rghost.ru/41405812

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    1. Надо заливать из бекапа сами php-модули + на в базе MySQL менять пароли к админке.
    2. Придется поперенастраивать доступ: проверка .htaccess + во многих местах ставить права только на чтение.
    3. Изучение лога сервера. Там можно найти что тебе и откуда заливали.

    Если сайт делался из шаблонов по умолчанию, то возможно много дыр.

    Я в этом всем не знаток, да и здесь не знаю кто тебе сможет помочь. Если этих советов не хватит, то напишу в ЛС куда идти.

    robots.txt -- файл в шаблоне поизучайте. То, что там советуют Выполнено?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member (OID) Репутация
    Регистрация
    04.11.2012
    Сообщений
    8
    Вес репутации
    15
    Спасибо за помощь).
    Что значит, из шаблонов по умолчанию? Тех, что изначально стоят в Джумле? Нет, скачивались бесплатные. Вряд ли они были инфицированы, ибо вирусы обнаружились только через несколько месяцев. А дыры вполне могли быть(. С другой стороны, обращаясь опять же к примеру второго сайта на 1.5-й Джумле... там тоже бесплатные шаблоны... Но пока тьфу-тьфу))...
    по п.1 - в базе же пароли закодированы... нельзя поменять через панель управления просто?
    п.2 для меня, честно говоря, вообще темный лес... не представляю, как это делать((
    Равно как и 3.
    Посмотрела robots.txt. И не поняла, что конкретно мне надо сделать или у меня и так уже все, как надо?(
    Моих скромных познаний хватит только на п.1)))
    Если этого недостаточно будет, то, может, посоветуете, к кому обратиться?
    Спасибо.

  • Уважаемый(ая) Darya Zvyagintseva, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Не могу найти вирусы.
      От ArrghGrogh в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.11.2011, 15:47
    2. Ответов: 24
      Последнее сообщение: 22.02.2010, 23:49
    3. Ответов: 6
      Последнее сообщение: 06.12.2009, 00:47
    4. Ответов: 17
      Последнее сообщение: 24.10.2009, 00:56
    5. Ответов: 12
      Последнее сообщение: 22.02.2009, 04:14

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00708 seconds with 22 queries