Показано с 1 по 19 из 19.

Нашли дыру на сайте, форуме или на хостинге.....

  1. #1
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    478
    Вес репутации
    36

    Нашли дыру на сайте, форуме или на хостинге.....

    Здравствуйте....
    Имеется сайт на drupal , плюс форум на ipb.
    Делал все для родителей, но пока заниматься нет времени, сам адрес

    myhomeidea(точка)ru.

    Так вот.
    Как то совсем недавно, яндекс вебмастер стал ругаться что на сайте завелся посторонний код.Я этому значение не придал, не было времени,..но позже тот же яндекс стал говорить что все нормально....

    После этого я стал замечать, сначало при загрузке форума, подгружалась одна страничка.Ведущая либо на ссылку...(см ниже)...либо смотри на скриншот....

    http go.unicume.com/aff_r?offer_id=1104&aff_id=1254&url=http%3A%2F%2Fh astrk1.com%2Fserve%3Faction%3Dclick%26publisher_id %3D54804%26site_id%3D31202%26offer_id%3D256908%26r ef_id%3D10232e1d809e79f855bb98578349cf%26sub_publi sher%3D1254%26sub_campaign%3D1104%26destination_id %3D37748&urlauth=729560057965593802907637329929

    Или сюда....Внимание ссылка походу ведет на вредоносный сайт...

    http:ip.goitpc.su/?944154=biduaDx4dnV5cXN-aScjIyk





    Потом стало такое же происходить но когда гуляешь по сайту.Регулярно один раз в день..В большинстве случаев попадал на скриншот...
    Он блокирует браузер, и просит установить обнову,..выход только один - убить процесс браузера...


    Помогите пожалуйста избавиться от этого.....
    Изображения Изображения
    • Тип файла: jpg 1.jpg (68.1 Кб, 16 просмотров)

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    478
    Вес репутации
    36
    Сюда залил видеофайл, как все происходит..http://dfiles.ru/files/1ls7meigt

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    02.09.2014
    Адрес
    Москва
    Сообщений
    9
    Вес репутации
    27
    Судя по описанному поведению, в коде страниц должен быть javascript инжект, который выполняет при определенных условиях редирект на сторонний сайт (партнерку, "связку", вредонос).

    Пробовал в разных браузерах, воспроизвести редирект не удалось. В коде и javascript файлах тоже очевидного, что могло привести к подобным редиректам, не видно.

    Попробуйте самостоятельно снять сессию с редиректом. Это можно сделать по простому, через Internet Explorer 11 (нажать F12, перейти в закладку "Network", нажать на запись, погулять по сайту и когда возникнет редирект - остановить запись, сохранить сессию и приаттачить xml файл сюда). Если позволяет опыт, то можно записать сессию в программе Wireshark (включить его на запись, погулять по сайту, если редирект возникнет - сохранить файл pcap и приаттачить его сюда).

    На сайте у вас висит виджет xuxu.org.ua. Попробуйте его убрать и понаблюдать. Бывает, что с виджетами в нагрузку идут вредоносы + http://virusinfo.info/showthread.php?t=165938 выполните пункт 6,7
    "Ревизиум" - лечение сайтов от вирусов

  5. #4
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    478
    Вес репутации
    36
    Попробую это сделать...что смогу.....но такая бяка выскавивает стабильно раз в сутки.....по крайней мере у меня когда я на него захожу......

    - - - - -Добавлено - - - - -

    У меня тут нет IE11 только 9...

  6. #5
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,272
    Вес репутации
    172
    nbnfy, в браузере искать вредоносный код бесполезно в данном случае. Судя по симптомам на зараженный сайт пускают только один раз в сутки, т.е. работают фильтры чтобы на палиться. Поисковикам показывают чистую страницу опять же чтобы не привлекать внимание. IP роботов известны и сделать правила для это совсем несложно.

    Чтобы подтвердить гипотезу попробуйте зайти на сайт через Tor с ip из разных стран с полной очисткой куков. В этом случае вредоносная активность должна проявляться, так как вы будете каждый раз свежей жертвой.

    Нужно искать изменения в скриптах php. По опыту использования drupal и ipb могу сказать, что изменяют или index.php в соответствующей директории или же файлы темплейтов. Смотрите какие файлы менялись относительно не давно. Посторонний код будет сразу заметно (скорее всего он будет внизу дописан).
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  7. Ilya Shabanov получил(а) 2 благодарностей за это сообщение от


  8. #6
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    478
    Вес репутации
    36
    Спасибо.Как только будет время,.сразу этим займусь.
    А что можете сказать сказать про это--ip.goitpc.su/?944154=biduaDx4dnV5cXN-aScjIyk
    Проверил ссылку на вирустотале...2 из 60 брендов, в том числе касперский, показывает что там Малваре..

  9. #7
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,272
    Вес репутации
    172
    Похоже на вредонос, Касперский не врет. Визуально настораживают последние строки кода скрипта.
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  10. #8
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    478
    Вес репутации
    36
    В общем, появилось время порешать проблему...да делов я наворотил.
    Залез на свой сайт,в админке увидел еще парочку администарторов с меньшими правами,.быстренько их удалил,блокнул, обновил версию друпала,обновил все модули..в итоге слетел шаблон, в итоге слетели настройки форума.
    Хосте шлет письма, что с моего аккаунта идет огромный спам на почту...вообщем дела....

    Есть кто нибудь....у кого есть желание помочь настроить грамотно все на хосте и обнаружить и удалить вредоносный код....

    - - - - -Добавлено - - - - -

    С трудом разобрался как сделать бэкап..скачал сайты на комп...проверил сканером Айболит, там ужас..одна краснота....бэкдоры и все такое.....
    Есть кто может помочь.Скину логи айболита для анализов.

  11. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.06.2010
    Сообщений
    389
    Вес репутации
    304
    Цитата Сообщение от nbnfy Посмотреть сообщение
    да делов я наворотил
    Друпал какой? Седьмой?
    Про уязвимость SA-CORE-2014-005 слышали? Очень рекомендую почитать... Ибо риски 25/25...
    Главный вердикт тама такой - если в течении 7 часов после официального выхода релиза 7.32 вы не обновили свой сайт до актуальной версии, то можете считать его скомпроментированным.
    Я попал с двумя сайтами: на одном появился мегаюзер с мегаправами (в коде - чисто), а вот второй пришлось долго лечить с пристрастием. Причем, именно на нем осознал необходимость своевременных обновлений (это я про 7 часов): через два дня ситуация повторилась на пролеченно-обновленном до безпредела сайте...

    P.S. Про то, что вы можете сделать сами...
    Связка модулей Hacked! и Diff - покажет, что творится в вашей файловой системе (удалено/изменено/добавлено), сравнивая ваши друпал-файлы с "оригиналом" (последние актуальные версии модулей и системы)
    Если Друпал всё-таки седьмой - ещё очень рекомендую использовать Site Audit и Drupalgeddon. Это drush-команды. Результат работы сохраняется в виде html-файла, который было бы неплохо просмотреть и выполнить рекомендации... По приведенным ссылкам есть примеры команд, показывающие, как этим пользоваться.

    Про логи для анализа...
    Посмотреть можно, но без обещаний. Если Вас такое устроит
    Или подождите, может кто ещё откликнется...

  12. #10
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    478
    Вес репутации
    36
    У меня на хосте два сайта. Один из них кишит вирусами....и его либо нуно излечить..либо залить все заново на хост....
    Так как с него идет спам...и редирект на другие сайты,. об этом мне сообщил хостер....

    Но дело все в том что я не особо в этом понимаю....

    Друпал 7.34


    Если есть желание и хотите посмотреть....пишите как их вам скинуть

  13. #11
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.06.2010
    Сообщений
    389
    Вес репутации
    304
    Дык, ссылкой в личку

  14. #12
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    478
    Вес репутации
    36
    Кинул в ЛК

  15. #13
    Junior Member Репутация
    Регистрация
    21.12.2014
    Сообщений
    15
    Вес репутации
    8
    пишите на каких операционках сайты, чтобы понимать проблема в движке или в системе.

  16. #14
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    478
    Вес репутации
    36
    Цитата Сообщение от a.alona Посмотреть сообщение
    пишите на каких операционках сайты, чтобы понимать проблема в движке или в системе.
    В теме все написано.....

  17. #15
    Junior Member Репутация
    Регистрация
    26.02.2015
    Адрес
    Тамбов
    Сообщений
    2
    Вес репутации
    7
    Поменяй хостинг, Замени все файлы на оригиналы. Обычно когда взламывают сайт, в страницу вшивают код. У меня так было. Был один хостинг. У него была дырка. Пришлось оттуда переезжать через полгода. При том что хостер с пеной у рта твердит что нет вирусов у меня на сайтах.) Переезжай в другое место. Проверь также все цепочки через онлайн проверки. Посмотри базу данных на наличие левых ссылок. Также погляди в сайте что вшили.

  18. #16
    Junior Member Репутация
    Регистрация
    26.02.2015
    Адрес
    Тамбов
    Сообщений
    2
    Вес репутации
    7
    А какой у тебя хостер? Имя? Мой тебе совет, иди на свеб.ру. Хоть и дорого чуть, но за 2 года нет проблем ваще!

  19. #17
    Junior Member Репутация
    Регистрация
    06.08.2015
    Адрес
    Москва, Московская область, Россия
    Сообщений
    1
    Вес репутации
    5
    Цитата Сообщение от totoless Посмотреть сообщение
    А какой у тебя хостер? Имя? Мой тебе совет, иди на свеб.ру. Хоть и дорого чуть, но за 2 года нет проблем ваще!
    Вполне согласен я уже на нем больше 3-х лет и тоже ни каких проблем!!!

  20. #18
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    02.09.2014
    Адрес
    Москва
    Сообщений
    9
    Вес репутации
    27
    Хостинг в данном случае ни причем. И бежать его менять не нужно. Причина взлома в большинстве случаев - уязвимости в скриптах, и чуть реже - в перехваченных доступах к FTP/панели хостинга.
    "Ревизиум" - лечение сайтов от вирусов

  21. #19
    Junior Member Репутация
    Регистрация
    21.12.2014
    Сообщений
    15
    Вес репутации
    8
    проблемы с сайтами:
    взлом через админку (подбор паролей)
    взлом через уязвимость движка
    взлом через уязвимость сервера
    взлом чрез взлом сервера (подбор паролей)

Похожие темы

  1. Что делать, если сайт заблокировали на хостинге?
    От revisium в разделе Лечение и защита сайтов от вирусов
    Ответов: 0
    Последнее сообщение: 03.09.2014, 08:54
  2. Заражается сайт на хостинге
    От Анастасия Olsen в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 05.05.2013, 22:23
  3. Tunisian Cyber Army выявила очередную дыру на сайте American Express
    От CyberWriter в разделе Другие новости
    Ответов: 0
    Последнее сообщение: 05.03.2013, 00:30
  4. Заразился сайт на хостинге
    От reefGraff в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 03.06.2011, 14:17
  5. На сайте McAfee нашли уязвимости
    От CyberWriter в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 29.03.2011, 08:10

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00304 seconds with 25 queries