Хостер сообщает о заражении моего сайта, но никакими сканами я не могу найти вирусы
Здравствуйте.
Сайт tboservice.ru. На Joomla 2.5.
Уже третий раз приходит письмо от хостера о заражении сайта (текст прилагается). Проверила свой компьютер (админили только с него), проверила неоднократно сам сайт в он-лайне (с помощью Доктор Вэба и др.) - все чисто. Запросила у хостера бэкап, перезалила - снова прислали письмо того же содержания. Все пароли сменила (и от админки и от фтп).
У меня сайт открывается корректно и прямой ссылкой и из яндекса, но некоторые люди жаловались на то, что их из яндекса пересылают на другой сайт, и срабатывает антивирус. Следовательно проблема все же есть.
Скачала содержимое сайта, проверила антивирусом, нашел все перечисленное((.. Лечению не поддается - или в карантин, или удалить(
"На замок" не видит ничего(... Правда в бета-версии.
1. Что делать в данной ситуации?
2. Возможно, проще и надежнее полностью удалить сайт и залить заново (сохранился на локалхосте), благо с тех пор контента добавлено было немного?
3. Если вирус пришел из моего компьютера, то почему не зарпазил другой сайт, который я администрирую (разница только в том, что здесь Джумла 2.5, а там 1.5).
Спасибо.
Последний раз редактировалось Darya Zvyagintseva; 05.11.2012 в 10:55.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Darya Zvyagintseva, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Если вирус пришел из моего компьютера, то почему не зарпазил другой сайт, который я администрирую (разница только в том, что здесь Джумла 2.5, а там 1.5).
Возможно, он пришел не с Вашего компьютера, а через дыры в ПО поддержки сайта.
Сообщение от Darya Zvyagintseva
У меня сайт открывается корректно и прямой ссылкой и из яндекса, но некоторые люди жаловались на то, что их из яндекса пересылают на другой сайт, и срабатывает антивирус.
Пароли от сайта на Вашем компьютере сохранены?
В Опере открыл. Никуда вроде не отправили.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Пароли не сохранены.
Если все чисто (как показывают все сканеры), то почему, скачав через файлзиллу содержимое сайта на свой компьютер, и проверив его антивирусом, я увидела ту же картину, что прислал хостер?
Вообще так и не поняла пока... проблема все же есть или нет объективно?
Попробовала еще раз: хромом из яндекса - антивирус блокирует (скрин прилагаю), после этого пробую напрямую - аналогично, в эксплорере сразу перехожу прямой ссылкой - ок, из яндекса - тоже ок.
Последний раз редактировалось Darya Zvyagintseva; 06.11.2012 в 22:53.
бэкап проверяла перед заливкой - ничего не обнаруживалось.
Что в итоге делать посоветуете? Снести и перезалить с локалхоста?
Еще раз перепроверила бэкап - чисто. Может, он не перезалился по каким-то причинам? Не заменились зараженные файлы?( Закачивала с указанием перезаписать. Может, сначала в файлзилле удалить папки из корня, а потом из бэкапа закинуть?
P.S. Пардон, если задаю глупые вопрос...)) Я только осваиваюсь))
Последний раз редактировалось Darya Zvyagintseva; 06.11.2012 в 23:04.
Спасибо, что взялись за мой случай)
Еще раз сорри - я пока совсем чайник, потому буду переспрашивать: что значит "хотфиксы проставлены"?
Обновления? Да, все стоит самое новое (по крайней мере в панели управления написано так)
- - - Добавлено - - -
Пароли менять сейчас? или сначала перезалить еще раз из бэкапа?
В прошлый раз пароли меняла только от фтп и от админки, от базы не меняла((... Сейчас меняю все.
Последний раз редактировалось Darya Zvyagintseva; 07.11.2012 в 14:50.
хм... а у меня ж есть только бэкап контента за то число, а нужно базы данных? или этого хватит?
- - - Добавлено - - -
Еще, может, это важно...
1. на всякий случай заказала отчет уязвимостей хостеру (прикладываю)
2. Перед тем, как возникли вирусные проблемы была такая странность - захожу на сайт (и в админку - та же фигня) - вижу Ошибка CGI-приложения / CGI Script Error, потом все нормализовалось, хостер объяснил так: "На директории Вашего сайта были выставлены некорректные права(777). С нашей стороны мы установили права по умолчанию, работа сайта восстановлена".
1. Надо заливать из бекапа сами php-модули + на в базе MySQL менять пароли к админке.
2. Придется поперенастраивать доступ: проверка .htaccess + во многих местах ставить права только на чтение.
3. Изучение лога сервера. Там можно найти что тебе и откуда заливали.
Если сайт делался из шаблонов по умолчанию, то возможно много дыр.
Я в этом всем не знаток, да и здесь не знаю кто тебе сможет помочь. Если этих советов не хватит, то напишу в ЛС куда идти.
robots.txt -- файл в шаблоне поизучайте. То, что там советуют Выполнено?
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Спасибо за помощь).
Что значит, из шаблонов по умолчанию? Тех, что изначально стоят в Джумле? Нет, скачивались бесплатные. Вряд ли они были инфицированы, ибо вирусы обнаружились только через несколько месяцев. А дыры вполне могли быть(. С другой стороны, обращаясь опять же к примеру второго сайта на 1.5-й Джумле... там тоже бесплатные шаблоны... Но пока тьфу-тьфу))...
по п.1 - в базе же пароли закодированы... нельзя поменять через панель управления просто?
п.2 для меня, честно говоря, вообще темный лес... не представляю, как это делать((
Равно как и 3.
Посмотрела robots.txt. И не поняла, что конкретно мне надо сделать или у меня и так уже все, как надо?(
Моих скромных познаний хватит только на п.1)))
Если этого недостаточно будет, то, может, посоветуете, к кому обратиться?
Спасибо.
Уважаемый(ая) Darya Zvyagintseva, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: