Перейти к содержимому



С сайта поперли вирусы

#1 softgaz
softgaz
  • Неактивные
  • 14 сообщений
  • Репутация: 0
0

Отправлено 08 Февраль 2011 - 14:41

Народ, умоляю: помогите!
Проблема в том, что с моего сайта поперли вирусы. Я прошерстил код вдоль и поперек - нет ничего!
Но обратил внимание на одну вещь: дата изменения моего htaccess почему-то стала 5.02.2011 - с какого фига - непонятно (я ничего там не менял).
Умоляю - гляньте на исходник: может, там переадресация идет? На хостинге три домена
=============
Options +Includes +FollowSymLinks -Indexes
AddHandler server-parsed .shtml
DirectoryIndex index.shtml index.htm index.php index.html
AddDefaultCharset windows-1251
CookieTracking on
CookieExpires "1 years"

# default php version is 4.3.9
# uncomment next line to use latest 4.4.x
#AddType application/x-httpd-php44 php
# uncomment next line to use latest 5.x
#AddType application/x-httpd-php5 php

DirectoryIndex index.php

RewriteEngine On
RewriteRule ^yuriblog/ - [last]
RewriteCond %{HTTP_HOST} (www.)?yuriblog.ru [nocase]
RewriteRule (.*) yuriblog/$1 [last]

RewriteEngine On
RewriteRule ^4dachnik/ - [last]
RewriteCond %{HTTP_HOST} (www.)?4dachik.ru [nocase]
RewriteRule (.*) 4dachnik/$1 [last]

# BEGIN WordPress

# END WordPress

=============

 

 

  • 0

#2 surfer
surfer
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71

Отправлено 08 Февраль 2011 - 15:38

сравни с родным, т.е. с чистого дистрибутива
а как ты понял, что вирусы поперли? и что за вирусы?
  • 0

#3 softgaz
softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 08 Февраль 2011 - 17:05

сравни с родным, т.е. с чистого дистрибутива
а как ты понял, что вирусы поперли? и что за вирусы?


Речь идет о Winlock/
Во-первых, антивирус орет (Касперский и НОД - без разницы). Причем, это случается безо всякой закономерности: в некий случайный момент. Потом могу хоть сто раз открывать сайт - все нормально. И происходит это с периодичностью примерно раз в неделю.
Во-вторых, за последний месяц Яндекс уже дважды помечал мой сайт, как потенциально опасный. Причем - парадокс! - на этом же хостинге еще два моих сайта и тоже сделаны на Вордпрессе: с ними все нормально.
Я уже весь код перелопатил, все посмотрел - нет ничего криминального:
1. Баннерных сетей нет
2. Счетчики стоят только от Яндекса, Рамблера и Майлру
3. Гиперссылки - только вручную установлены
4. партнерка - от Гугла
5. Сапы нет
Впрочем, убедитесь сами: http://www.softgaz.ru/
Что там криминального - не понимаю!
Единственное подозрение - это htaccess: дата изменена
  • 0

#4 Kismedia
Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 08 Февраль 2011 - 22:16

http://www.softgaz.ru/ HTML/Iframe.B.Gen вирус соединение прервано

У Вас походу фрейм левый всплывает

Подцепить вирус, левый код Вы могли в момент обмена по FTP протоколу.
Обычно код цепляется в конце файла, скрипта.
Жертвой вируса в основном становятся файлы index.php или index.html

Что нужно сделать:
1. Сменить текущий FTP пароль
2. Опредилить зараженные файлы.
- Внимательно просмотрите все файлы Вашей текущей темы, попробуйте залить новую ,любую тему и активировать ее, посмотрите результат.

При входе в админку не ругается?

Что бы быть в курсе, на будующие, о том в каких файлах Wordpress произошли изменения, используйте плагин belavir
  • 0

#5 softgaz
softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 11:09

1. Сменить текущий FTP пароль
2. Опредилить зараженные файлы.
- Внимательно просмотрите все файлы Вашей текущей темы, попробуйте залить новую ,любую тему и активировать ее, посмотрите результат.

При входе в админку не ругается?


1. Пароль сменил
2. Зараженных файлов НЕТ
3. При входе в админку не ругается
4. Сегодня утром Яндекс опять пометил сайт, как зараженный
5. Проверяю сайт DrWeb - ни хрена не находит!
6. Делаю глубокую проверку компа, с которого захожу на FTP - комп чист

Ничего не пойму - мистика какая-то! Где еще искать вирус?
  • 0

#6 surfer
surfer
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71

Отправлено 09 Февраль 2011 - 11:13

еще отпиши в Яндекс, чтоб сняли пометку
  • 0

#7 Kismedia
Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 11:13

Вы тему меняли, пробовали как я писал?
Давайте архив текущей темы выкладывайте, я посмотрю сам.
  • 0

#8 softgaz
softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 11:21

еще отпиши в Яндекс, чтоб сняли пометку


Это я сделал в первую очередь!
  • 0

#9 softgaz
softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 11:27

Вы тему меняли, пробовали как я писал?
Давайте архив текущей темы выкладывайте, я посмотрю сам.


С темой было интересно! Меня - и неоднократно - причем в разных вариациях.
Во-первых, скачивал ту же тему и перезаливал. Во-вторых, ставил другие темы. Но всегда возвращал существующую тему после тщательной проверки. Но этот вирус время от времени возвращается, как заговоренный!

Что касается файлов темы - вот архив: http://www.softgaz.r...load/stamag.rar
  • 0

#10 Kismedia
Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 11:38

Ну вроде чистая, сейчас.
Кстати, у меня антивирус уже не ругается на Ваш сайт.
Попробуйте написать в Яндекс.

Это я сделал в первую очередь!


Это когда было?
  • 0

#11 softgaz
softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 11:43

Ну вроде чистая, сейчас.
Кстати, у меня антивирус уже не ругается на Ваш сайт.
Попробуйте написать в Яндекс.



Это когда было?


Написал сегодня. Но весь фокус в том, что в теме я НИЧЕГО не менял!
А откуда он вообще может на сайт попадать? И, главное, как?
  • 0

#12 surfer
surfer
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71

Отправлено 09 Февраль 2011 - 11:45

тебе выше написали, через ФТП, еще почисти свой комп и не храни пароль в фтп менеджере
  • 0

#13 Kismedia
Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 11:53

С темой было интересно! Меня - и неоднократно - причем в разных вариациях.
Во-первых, скачивал ту же тему и перезаливал. Во-вторых, ставил другие темы.

Так сейчас какая версия темы стоит в результате всех манипуляций?

Дайте еще код index.php из корня, там где .htaccess
  • 0

#14 softgaz
softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 11:59

Так сейчас какая версия темы стоит в результате всех манипуляций?

Дайте еще код index.php из корня, там где .htaccess


В результате манипуляций стоит самая последняя тема
Вот index.php из корневой директории http://www.softgaz.r...nload/index.rar

Кстати, вопрос: если вирус попадает через ФТП - как он умудряется не изменять даты файлов?!
  • 0

#15 Kismedia
Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 12:04

В результате манипуляций стоит самая последняя тема


То есть новая оригинальная? Не та что была вчера, изначально?

Когда были произведены последние изменения с темой и когда Вы написали в Яндекс? По времени а не просто сегодня.
  • 0

#16 softgaz
softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 12:11

То есть новая оригинальная? Не та что была вчера, изначально?

Когда были произведены последние изменения с темой и когда Вы написали в Яндекс? По времени а не просто сегодня.


Последние изменения с темой я длал примерно две недели тому назад: мелкие доработки. А на Яндекс написал сегодня - сразу же после того, как появилась пометка о том, что "сайт угрожает безопасности компьютера". Т.е. я отправил Вам тему ту, которая была ДО заражения.
  • 0

#17 Kismedia
Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 12:26

Не совсем Вас понял, ну ладно.
А где тема после заражения, сейчас какая тема стоит?

Что я могу сделать для Вас, вообще.
Отправляйте мне в личку весь архив всей директории Wordpress все файлы.
Будем искать подозрительный код.

Заражение может так же быть в БД с этим по-тяжелее.

Можете попробовать сами, почитайте эту информацию http://www.vashmaste...52.php#header_2
  • 0

#18 almatar
almatar
  • Неактивные
  • 203 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 12:52

softgaz, Зачем так мучатся, возьмите и перезалейте весь сайт заного вместе с базой данных, тот старый ржавый сайт удаляйте полностью, потом можно и пароль по фтп поменять.
  • 0

#19 Kismedia
Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 13:00

потом можно и пароль по фтп поменять


пароль по фтп - нужно сразу менять ,а потом уже перезаливать.
  • 0

#20 softgaz
softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 13:11

Не совсем Вас понял, ну ладно.
А где тема после заражения, сейчас какая тема стоит?

Что я могу сделать для Вас, вообще.
Отправляйте мне в личку весь архив всей директории Wordpress все файлы.
Будем искать подозрительный код.

Заражение может так же быть в БД с этим по-тяжелее.


Вопрос: а базу в формате XML тоже отправить?

softgaz, Зачем так мучатся, возьмите и перезалейте весь сайт заного вместе с базой данных, тот старый ржавый сайт удаляйте полностью, потом можно и пароль по фтп поменять.


А если в самом деле вирус в базе сидит? По моему верно подмечено: надо вначале его найти...
  • 0

robot
robot
  • Пользователь PRO
  • 2 652 сообщений
  • Репутация: 85


Похожие темы
  Название темы Автор Статистика Последнее сообщение

× Быстрый вопрос
Пользователь месяца
Rodiola Rodiola 1-й за Август
Очков активности: 1 552 3 темы, 106 сообщений, 9 баллов репутации
Сайт: rukodelkovo.ru
ТОП самых активных за этот месяц
  • Фотография MattCutts
    #1

    MattCutts (dmitrylee.ru)
    Очков активности: 954 6 тем, 88 сообщений, 6 баллов репутации

  • Фотография Андрей WPM
    #2

    Андрей WPM (wpmaster.kz)
    Очков активности: 564 Вне конкурса за определение пользователя месяца

  • Фотография lena220678
    #3

    lena220678
    Очков активности: 43.5 2 темы, 23 сообщения, 1 балл репутации

  • Фотография Chaser
    #4

    Chaser (majento.ru)
    Очков активности: 33 1 тема, 8 сообщений, 2 балла репутации

  • Фотография maxnik
    #5

    maxnik (konovalovpavel.ru)
    Очков активности: 30 0 тем, 10 сообщений, 2 балла репутации

  • Фотография BLIK
    #6

    BLIK
    Очков активности: 27 0 тем, 18 сообщений, 1 балл репутации

  • Фотография Megoydagi
    #7

    Megoydagi (24ho.ru)
    Очков активности: 25.5 2 темы, 11 сообщений, 1 балл репутации

  • Фотография Rodiola
    #8

    Rodiola (rukodelkovo.ru)
    Очков активности: 24 Вне конкурса за определение пользователя месяца

  • Фотография Constantine
    #9

    Constantine (constantine.video.blog)
    Очков активности: 19.5 2 темы, 7 сообщений, 1 балл репутации

  • Фотография NataliaAntalia
    #10

    NataliaAntalia (zdorovemedicina.ru)
    Очков активности: 15 0 тем, 10 сообщений, 1 балл репутации

  • Показать весь ТОП 10
Поддержите форум! =)
Апдейты
  • Яндекс ИКС: 27.08.2019
  • Яндекс выдача: 20.09.2019
Топ 5 участников по репутации

Оформление форума – IPBSkins.ru