Перейти к содержимому


Конкурс "Лучший отзовик"
× Быстрый вопрос
Пользователь месяца
ShowPrint ShowPrint 1-й за Март
Очков активности: 1 152 1 тема, 61 сообщение, 12 баллов репутации
Сайт: ShowPrint.ru
ТОП самых активных за этот месяц
  • Фотография Андрей WPMasterKZ
    #1

    Андрей WPMasterKZ (wpmaster.kz)
    Очков активности: 1008 Вне конкурса за определение пользователя месяца

  • Фотография OlgaGetman
    #2

    OlgaGetman
    Очков активности: 564 Вне конкурса за определение пользователя месяца

  • Фотография Vmir
    #3

    Vmir
    Очков активности: 528 4 темы, 32 сообщения, 8 баллов репутации

  • Фотография Mandarin
    #4

    Mandarin
    Очков активности: 252 7 тем, 21 сообщение, 4 балла репутации

  • Фотография ShowPrint
    #5

    ShowPrint (ShowPrint.ru)
    Очков активности: 204 Вне конкурса за определение пользователя месяца

  • Фотография maxnik
    #6

    maxnik (konovalovpavel.ru)
    Очков активности: 72 1 тема, 21 сообщение, 2 балла репутации

  • Фотография pozitron123
    #7

    pozitron123
    Очков активности: 67.5 3 темы, 6 сообщений, 3 балла репутации

  • Фотография Megoydagi
    #8

    Megoydagi (24ho.ru)
    Очков активности: 66 1 тема, 19 сообщений, 2 балла репутации

  • Фотография re-search
    #9

    re-search
    Очков активности: 49.5 7 тем, 12 сообщений, 1 балл репутации

  • Фотография Constantine
    #10

    Constantine
    Очков активности: 39 4 темы, 14 сообщений, 1 балл репутации

  • Показать весь ТОП 10
Поддержите форум! =)
Апдейты
  • Яндекс ИКС: 20.04.2019
  • Яндекс выдача: 21.04.2019
Топ 5 участников по репутации


С сайта поперли вирусы

#1 softgaz

softgaz
  • Неактивные
  • 14 сообщений
  • Репутация: 0
0

Отправлено 08 Февраль 2011 - 14:41

Народ, умоляю: помогите!
Проблема в том, что с моего сайта поперли вирусы. Я прошерстил код вдоль и поперек - нет ничего!
Но обратил внимание на одну вещь: дата изменения моего htaccess почему-то стала 5.02.2011 - с какого фига - непонятно (я ничего там не менял).
Умоляю - гляньте на исходник: может, там переадресация идет? На хостинге три домена
=============
Options +Includes +FollowSymLinks -Indexes
AddHandler server-parsed .shtml
DirectoryIndex index.shtml index.htm index.php index.html
AddDefaultCharset windows-1251
CookieTracking on
CookieExpires "1 years"

# default php version is 4.3.9
# uncomment next line to use latest 4.4.x
#AddType application/x-httpd-php44 php
# uncomment next line to use latest 5.x
#AddType application/x-httpd-php5 php

DirectoryIndex index.php

RewriteEngine On
RewriteRule ^yuriblog/ - [last]
RewriteCond %{HTTP_HOST} (www.)?yuriblog.ru [nocase]
RewriteRule (.*) yuriblog/$1 [last]

RewriteEngine On
RewriteRule ^4dachnik/ - [last]
RewriteCond %{HTTP_HOST} (www.)?4dachik.ru [nocase]
RewriteRule (.*) 4dachnik/$1 [last]

# BEGIN WordPress

# END WordPress

=============

 

 

  • 0

#2 surfer

surfer
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71

Отправлено 08 Февраль 2011 - 15:38

сравни с родным, т.е. с чистого дистрибутива
а как ты понял, что вирусы поперли? и что за вирусы?
  • 0

#3 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 08 Февраль 2011 - 17:05

сравни с родным, т.е. с чистого дистрибутива
а как ты понял, что вирусы поперли? и что за вирусы?


Речь идет о Winlock/
Во-первых, антивирус орет (Касперский и НОД - без разницы). Причем, это случается безо всякой закономерности: в некий случайный момент. Потом могу хоть сто раз открывать сайт - все нормально. И происходит это с периодичностью примерно раз в неделю.
Во-вторых, за последний месяц Яндекс уже дважды помечал мой сайт, как потенциально опасный. Причем - парадокс! - на этом же хостинге еще два моих сайта и тоже сделаны на Вордпрессе: с ними все нормально.
Я уже весь код перелопатил, все посмотрел - нет ничего криминального:
1. Баннерных сетей нет
2. Счетчики стоят только от Яндекса, Рамблера и Майлру
3. Гиперссылки - только вручную установлены
4. партнерка - от Гугла
5. Сапы нет
Впрочем, убедитесь сами: http://www.softgaz.ru/
Что там криминального - не понимаю!
Единственное подозрение - это htaccess: дата изменена
  • 0

#4 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 08 Февраль 2011 - 22:16

http://www.softgaz.ru/ HTML/Iframe.B.Gen вирус соединение прервано

У Вас походу фрейм левый всплывает

Подцепить вирус, левый код Вы могли в момент обмена по FTP протоколу.
Обычно код цепляется в конце файла, скрипта.
Жертвой вируса в основном становятся файлы index.php или index.html

Что нужно сделать:
1. Сменить текущий FTP пароль
2. Опредилить зараженные файлы.
- Внимательно просмотрите все файлы Вашей текущей темы, попробуйте залить новую ,любую тему и активировать ее, посмотрите результат.

При входе в админку не ругается?

Что бы быть в курсе, на будующие, о том в каких файлах Wordpress произошли изменения, используйте плагин belavir
  • 0

#5 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 11:09

1. Сменить текущий FTP пароль
2. Опредилить зараженные файлы.
- Внимательно просмотрите все файлы Вашей текущей темы, попробуйте залить новую ,любую тему и активировать ее, посмотрите результат.

При входе в админку не ругается?


1. Пароль сменил
2. Зараженных файлов НЕТ
3. При входе в админку не ругается
4. Сегодня утром Яндекс опять пометил сайт, как зараженный
5. Проверяю сайт DrWeb - ни хрена не находит!
6. Делаю глубокую проверку компа, с которого захожу на FTP - комп чист

Ничего не пойму - мистика какая-то! Где еще искать вирус?
  • 0

#6 surfer

surfer
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71

Отправлено 09 Февраль 2011 - 11:13

еще отпиши в Яндекс, чтоб сняли пометку
  • 0

#7 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 11:13

Вы тему меняли, пробовали как я писал?
Давайте архив текущей темы выкладывайте, я посмотрю сам.
  • 0

#8 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 11:21

еще отпиши в Яндекс, чтоб сняли пометку


Это я сделал в первую очередь!
  • 0

#9 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 11:27

Вы тему меняли, пробовали как я писал?
Давайте архив текущей темы выкладывайте, я посмотрю сам.


С темой было интересно! Меня - и неоднократно - причем в разных вариациях.
Во-первых, скачивал ту же тему и перезаливал. Во-вторых, ставил другие темы. Но всегда возвращал существующую тему после тщательной проверки. Но этот вирус время от времени возвращается, как заговоренный!

Что касается файлов темы - вот архив: http://www.softgaz.r...load/stamag.rar
  • 0

#10 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 11:38

Ну вроде чистая, сейчас.
Кстати, у меня антивирус уже не ругается на Ваш сайт.
Попробуйте написать в Яндекс.

Это я сделал в первую очередь!


Это когда было?
  • 0

#11 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 11:43

Ну вроде чистая, сейчас.
Кстати, у меня антивирус уже не ругается на Ваш сайт.
Попробуйте написать в Яндекс.



Это когда было?


Написал сегодня. Но весь фокус в том, что в теме я НИЧЕГО не менял!
А откуда он вообще может на сайт попадать? И, главное, как?
  • 0

#12 surfer

surfer
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71

Отправлено 09 Февраль 2011 - 11:45

тебе выше написали, через ФТП, еще почисти свой комп и не храни пароль в фтп менеджере
  • 0

#13 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 11:53

С темой было интересно! Меня - и неоднократно - причем в разных вариациях.
Во-первых, скачивал ту же тему и перезаливал. Во-вторых, ставил другие темы.

Так сейчас какая версия темы стоит в результате всех манипуляций?

Дайте еще код index.php из корня, там где .htaccess
  • 0

#14 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 11:59

Так сейчас какая версия темы стоит в результате всех манипуляций?

Дайте еще код index.php из корня, там где .htaccess


В результате манипуляций стоит самая последняя тема
Вот index.php из корневой директории http://www.softgaz.r...nload/index.rar

Кстати, вопрос: если вирус попадает через ФТП - как он умудряется не изменять даты файлов?!
  • 0

#15 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 12:04

В результате манипуляций стоит самая последняя тема


То есть новая оригинальная? Не та что была вчера, изначально?

Когда были произведены последние изменения с темой и когда Вы написали в Яндекс? По времени а не просто сегодня.
  • 0

#16 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 12:11

То есть новая оригинальная? Не та что была вчера, изначально?

Когда были произведены последние изменения с темой и когда Вы написали в Яндекс? По времени а не просто сегодня.


Последние изменения с темой я длал примерно две недели тому назад: мелкие доработки. А на Яндекс написал сегодня - сразу же после того, как появилась пометка о том, что "сайт угрожает безопасности компьютера". Т.е. я отправил Вам тему ту, которая была ДО заражения.
  • 0

#17 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 12:26

Не совсем Вас понял, ну ладно.
А где тема после заражения, сейчас какая тема стоит?

Что я могу сделать для Вас, вообще.
Отправляйте мне в личку весь архив всей директории Wordpress все файлы.
Будем искать подозрительный код.

Заражение может так же быть в БД с этим по-тяжелее.

Можете попробовать сами, почитайте эту информацию http://www.vashmaste...52.php#header_2
  • 0

#18 almatar

almatar
  • Неактивные
  • 203 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 12:52

softgaz, Зачем так мучатся, возьмите и перезалейте весь сайт заного вместе с базой данных, тот старый ржавый сайт удаляйте полностью, потом можно и пароль по фтп поменять.
  • 0

#19 Kismedia

Kismedia
  • Неактивные
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 13:00

потом можно и пароль по фтп поменять


пароль по фтп - нужно сразу менять ,а потом уже перезаливать.
  • 0

#20 softgaz

softgaz
    Topic Starter
  • Неактивные
  • 14 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 13:11

Не совсем Вас понял, ну ладно.
А где тема после заражения, сейчас какая тема стоит?

Что я могу сделать для Вас, вообще.
Отправляйте мне в личку весь архив всей директории Wordpress все файлы.
Будем искать подозрительный код.

Заражение может так же быть в БД с этим по-тяжелее.


Вопрос: а базу в формате XML тоже отправить?

softgaz, Зачем так мучатся, возьмите и перезалейте весь сайт заного вместе с базой данных, тот старый ржавый сайт удаляйте полностью, потом можно и пароль по фтп поменять.


А если в самом деле вирус в базе сидит? По моему верно подмечено: надо вначале его найти...
  • 0

robot

robot
  • Пользователь PRO
  • 2 652 сообщений
  • Репутация: 85


Похожие темы

  Название темы Автор Статистика Последнее сообщение

Оформление форума – IPBSkins.ru