# Форум на русском языке  > Лечение и защита сайтов от вирусов  >  Нашли дыру  на сайте, форуме  или на хостинге.....

## nbnfy

Здравствуйте....
Имеется сайт на drupal , плюс форум на ipb.
Делал все для родителей, но пока заниматься нет времени, сам адрес

myhomeidea(точка)ru.

Так вот.
Как то совсем недавно, яндекс вебмастер стал ругаться что на сайте завелся посторонний код.Я этому значение не придал, не было времени,..но позже тот же яндекс стал говорить что все нормально....

После этого я стал замечать, сначало при загрузке форума, подгружалась одна страничка.Ведущая либо на ссылку...(см ниже)...либо смотри на скриншот....

http   go.unicume.com/aff_r?offer_id=1104&aff_id=1254&url=http%3A%2F%2Fh  astrk1.com%2Fserve%3Faction%3Dclick%26publisher_id  %3D54804%26site_id%3D31202%26offer_id%3D256908%26r  ef_id%3D10232e1d809e79f855bb98578349cf%26sub_publi  sher%3D1254%26sub_campaign%3D1104%26destination_id  %3D37748&urlauth=729560057965593802907637329929

Или сюда....Внимание ссылка походу ведет на вредоносный сайт...

http:ip.goitpc.su/?944154=biduaDx4dnV5cXN-aScjIyk 





Потом стало такое же происходить но когда гуляешь по  сайту.Регулярно один раз в день..В большинстве случаев попадал на скриншот...
Он блокирует браузер, и просит установить обнову,..выход только один - убить процесс браузера...


Помогите пожалуйста избавиться от этого.....

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## nbnfy

Сюда залил видеофайл, как все происходит..http://dfiles.ru/files/1ls7meigt

----------


## revisium

Судя по описанному поведению, в коде страниц должен быть javascript  инжект, который выполняет при определенных условиях редирект на сторонний сайт (партнерку, "связку", вредонос). 

Пробовал в разных браузерах, воспроизвести редирект не удалось. В коде и javascript файлах тоже очевидного, что могло привести к подобным редиректам, не видно.

Попробуйте самостоятельно снять сессию с редиректом. Это можно сделать по простому, через Internet Explorer 11 (нажать F12, перейти в закладку "Network", нажать на запись, погулять по сайту и когда возникнет редирект - остановить запись, сохранить сессию и приаттачить xml файл сюда). Если позволяет опыт, то можно записать сессию в программе Wireshark (включить его на запись, погулять по сайту, если редирект возникнет - сохранить файл pcap и приаттачить его сюда). 

На сайте у вас висит виджет xuxu.org.ua. Попробуйте его убрать и понаблюдать. Бывает, что с виджетами в нагрузку идут вредоносы + http://virusinfo.info/showthread.php?t=165938 выполните пункт 6,7

----------


## nbnfy

Попробую это сделать...что смогу.....но такая бяка выскавивает стабильно раз в сутки.....по крайней мере у меня  когда я на него захожу......

- - - - -Добавлено - - - - -

У меня тут нет IE11 только 9...

----------


## Ilya Shabanov

*nbnfy*, в браузере искать вредоносный код бесполезно в данном случае. Судя по симптомам на зараженный сайт пускают только один раз в сутки, т.е. работают фильтры чтобы на палиться. Поисковикам показывают чистую страницу опять же чтобы не привлекать внимание. IP роботов известны и сделать правила для это совсем несложно.

Чтобы подтвердить гипотезу попробуйте зайти на сайт через Tor с ip из разных стран с полной очисткой куков. В этом случае вредоносная активность должна проявляться, так как вы будете каждый раз свежей жертвой. 

Нужно искать изменения в скриптах php. По опыту использования drupal и ipb могу сказать, что изменяют или index.php в соответствующей директории или же файлы темплейтов. Смотрите какие файлы менялись относительно не давно. Посторонний код будет сразу заметно (скорее всего он будет внизу дописан).

----------

*mike 1*,  nbnfy

----------


## nbnfy

Спасибо.Как только будет время,.сразу этим займусь.
А что можете сказать сказать про это--ip.goitpc.su/?944154=biduaDx4dnV5cXN-aScjIyk 
Проверил ссылку на вирустотале...2 из 60 брендов, в том числе касперский, показывает что там Малваре..

----------


## Ilya Shabanov

Похоже на вредонос, Касперский не врет. Визуально настораживают последние строки кода скрипта.

----------


## nbnfy

В общем, появилось время порешать проблему...да делов я наворотил.
Залез на свой сайт,в админке увидел еще парочку администарторов с меньшими правами,.быстренько их удалил,блокнул, обновил версию друпала,обновил все модули..в итоге слетел шаблон, в итоге слетели настройки форума.
Хосте шлет письма, что с моего аккаунта идет огромный спам  на почту...вообщем дела....

Есть кто нибудь....у кого есть желание помочь настроить грамотно все на хосте и обнаружить и удалить вредоносный код....

- - - - -Добавлено - - - - -

С трудом разобрался как сделать бэкап..скачал сайты на комп...проверил сканером Айболит, там ужас..одна краснота....бэкдоры и все такое.....
Есть кто может помочь.Скину логи айболита для анализов.

----------


## Val_Ery

> да делов я наворотил


Друпал какой? Седьмой?
Про уязвимость SA-CORE-2014-005 слышали? Очень рекомендую почитать... Ибо риски 25/25...
Главный вердикт тама такой - если в течении 7 часов после официального выхода релиза 7.32 вы не обновили свой сайт до актуальной версии, то можете считать его скомпроментированным.
Я попал с двумя сайтами: на одном появился мегаюзер с мегаправами (в коде - чисто), а вот второй пришлось долго лечить с пристрастием. Причем, именно на нем осознал необходимость своевременных обновлений (это я про 7 часов): через два дня ситуация повторилась на пролеченно-обновленном до безпредела сайте...

P.S. Про то, что вы можете сделать сами...
Связка модулей Hacked! и Diff - покажет, что творится в вашей файловой системе (удалено/изменено/добавлено), сравнивая ваши друпал-файлы с "оригиналом" (последние актуальные версии модулей и системы)
Если Друпал всё-таки седьмой - ещё очень рекомендую использовать Site Audit и Drupalgeddon. Это drush-команды. Результат работы сохраняется в виде html-файла, который было бы неплохо просмотреть и выполнить рекомендации... По приведенным ссылкам есть примеры команд, показывающие, как этим пользоваться.

Про логи для анализа...
Посмотреть можно, но без обещаний. Если Вас такое устроит  :Roll Eyes (Sarcastic):  
Или подождите, может кто ещё откликнется...

----------


## nbnfy

У меня на хосте два сайта. Один из них кишит вирусами....и его либо нуно излечить..либо залить все заново на хост....
Так как с него идет спам...и редирект на другие сайты,. об этом мне сообщил хостер....

Но дело все в том что я не особо в этом понимаю....

Друпал 7.34


Если есть желание и хотите посмотреть....пишите как их вам скинуть

----------


## Val_Ery

Дык, ссылкой в личку  :Smiley:

----------


## nbnfy

Кинул в ЛК :Sad:

----------


## a.alona

пишите на каких операционках сайты, чтобы понимать проблема в движке или в системе.

----------


## nbnfy

> пишите на каких операционках сайты, чтобы понимать проблема в движке или в системе.


В теме все написано..... :Stick Out Tongue:

----------


## totoless

Поменяй хостинг, Замени все файлы на оригиналы. Обычно когда взламывают сайт, в страницу вшивают код. У меня так было. Был один хостинг. У него была дырка. Пришлось оттуда переезжать через полгода. При том что хостер с пеной у рта твердит что нет вирусов у меня на сайтах.) Переезжай в другое место. Проверь также все цепочки через онлайн проверки. Посмотри базу данных на наличие левых ссылок. Также погляди в сайте что вшили.

----------


## totoless

А какой у тебя хостер? Имя? Мой тебе совет, иди на свеб.ру. Хоть и дорого чуть, но за 2 года нет проблем ваще!

----------


## sanechek

> А какой у тебя хостер? Имя? Мой тебе совет, иди на свеб.ру. Хоть и дорого чуть, но за 2 года нет проблем ваще!


Вполне согласен я уже на нем больше 3-х лет  и тоже ни каких проблем!!!

----------


## revisium

Хостинг в данном случае ни причем. И бежать его менять не нужно. Причина взлома в большинстве случаев - уязвимости в скриптах, и чуть реже - в перехваченных доступах к FTP/панели хостинга.

----------


## a.alona

проблемы с сайтами:
взлом через админку (подбор паролей)
взлом через уязвимость движка
взлом через уязвимость сервера
взлом чрез взлом сервера (подбор паролей)

----------

