PDA

Просмотр полной версии : Заражение сайта. Не можем понять в чем дело.



shieldandsword
28.11.2015, 00:58
Уважаемые друзья!
Год работал сайт без проблем. Две недели назад хостинг Timeweb сообщил что у нас вредоносные программы и что наложены ограничения на сайт. Первым делом зашли в админку сайта Joomla и нашли там с десяток "пользователей" -удалили и остался один супер-юзер.
Мы скачали сайт на компьютер и проверили папку сайта утилитами доктор вэб,кастперским, нод утилитой,авастом (установлен на компьютере) . Выявилось самое большое 9 (доктор вэб) число как писалось в отчете сканирования "троян". Удалили все. Закачали что осталось на хостинг и тут начались чудеса. Для начала сайт исчез из доступа. Провайдер прислал отчет о фатальной ошибке в файле-восстановили файл из бекапа и сайт стал открываться. Получили от провайдера сообщения что к нам теперь претензий нет и санкции снимаются.
Однако теперь при открытии сайта AVAST кричит о вредоносном mail.ru через некоторый сайт и не один -разные каждый раз как минимум два. Адрес вредоносного сайта в поиске винды открывает Интернет експлоер ,но страницу вредоносного сайта не открывает.
Проверки утилитами исходников сайта на компьютере и исходников сайта он-лайн утилитами не показывает никаких угроз.
Вручную выяснил что заражен файл c точкой (.htaccess) . Убрал его все содержимое со ссылкой на вредоносный сайт (файл пустой) и закачал на хостинг. Через несколько часов заражение того же файла повторилось тем же содержимым! Удалил его с хостинга совсем-сайт работает но сын говорит что этот файл важный и он нужен на хостинге.
Просим помочь кто может!

frantzev
01.12.2015, 17:25
ПРоблема вообще должным образом не описана.
Но скорее всего заразили хостинг. Поэтому попробуйте выкачать сайт на локалку и все удалить. Потом почистить хостинг. Залить заново сайт. Появляться не должно если будет опаять появляться, то смените хостинг.

shieldandsword
01.12.2015, 17:52
ПРоблема вообще должным образом не описана.
Но скорее всего заразили хостинг. Поэтому попробуйте выкачать сайт на локалку и все удалить. Потом почистить хостинг. Залить заново сайт. Появляться не должно если будет опаять появляться, то смените хостинг.

Скачивали. Удалили все что показали утилиты антивирусов. Без файла .htaccess сайт работает, если возвращаем файл .htaccess на место то он опять заражается через несколько часов. Как поменять хостинг?
Заражение где то в логах . Я не могу найти где.

Val_Ery
01.12.2015, 22:09
Как поменять хостинг?
Не надо ничего менять... Таймвеб вполне себе хостер, ни хуже, ни лучше других.

Мы скачали сайт на компьютер и проверили папку сайта утилитами доктор вэб,кастперским, нод утилитой,авастом
От того, что Вы проделали - толку ноль. Не умеют они проверять сайты, ИМХО. Лучше воспользуйтесь Ай-Болитом (https://www.revisium.com/ai/). Есть версия, которую можно "запускать" прямо на хостинге. Если таймвеб не даст просканировать (ещё совсем недавно они просто "убивали" процесс, который загружает систему больше, чем предписано тарифным планом), тогда заберите версию под Винду, скачайте сайт на свой комп и просканируйте.

Вручную выяснил что заражен файл c точкой (.htaccess)
В этом случае лучшим решением было бы скачать сборку Жумлы на свой комп, распаковать архив и найти в нём этот файл (с прописанными дефолтными правилами). После чего залить его на таймвеб.
Ещё более лучшим решением будет обновление движка до актуального. В котором закрыты все известные уязвимости... Плюс - смена паролей админ-панели сайта, си-панели хостинга, фтп- и ssh-доступа, почтового клиента (если использовали)...

P.S. Может быть поможет - https://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced - последовательность действий, которые надо выполнить при проблемах с сайтом на жумле.

Kistochka
31.03.2016, 13:49
Можно я не буду отдельную тему создавать? Братцы помогайте. Такие же симптомы! Сайт http://gd-rezerv.ru/. Сайт уже несколько раз чистили, заливали обратно. Меняли пароли всего, что только можно - Базы Данных, FTP-аккаунта, ISP-менеджера. Сейчас вот в очередной раз всё вычистили в исходных файлах, техподдержка сайта поменяла нам IP сайта. Что ещё можно предпринять? Может быть есть какой-нибудь антивирус, который можно установить прямо на сайт?