Вирус на сайте

Сообщений: 1513 Регистрация: Окт 2013

28 Апреля 2015 20:25

Всем привет.Пришло письмо на почту от хостера:

Уважаемый(ая) ,

Тема: Запрещённый контент (ID 16384)
--------------------------------------------------------
Здравствуйте.

На Ваш сайт поступила жалоба. На нём вирус и запрещенный контент.

http://ojargone.ru/?a1=/igrovye-avtomaty-sloty-kazino-kristall-igrat-besplatno-bez-r
Примите, пожалуйста, меры.

Спасибо.

Вот подскажите пожалуйста как найти эту страницу, и вообще почистить от левых кодов. Через панель посмотрел но такой страницы нет yна сайте.
Письмо пришло спустя несколько часов после обновления вордпресс до 4.2.1 и обновления нескольких плагинов. Возможно просто совпадение.

Пациент ojargone.ru

Блатные слова.

О. Н.

Сообщений: 839 Регистрация: Июн 2013

28 Апреля 2015 20:40

Совпадение 100%. Вирус там был еще до обновлении.
Это обыкновенный дор. Хитрость только в том, что сделан редирект дабы не палить папку с говном.
Дор скорее всего залит в wp-content/uploads. Возможно залили через другой сайт на том же сервере.

paltarasych

Сообщений: 3289 Регистрация: Янв 2011

28 Апреля 2015 21:05

Индульгенция, смотрим внимательно я.вебмастер - если там куча левых страниц - дор на сайте (на двух своих, тоже вп, было такое)

для начала смотрим корневой аттаче, по возможности делаем копию того что имеем и ставим чистый с другого сайта, т.к. в архиве его нет - он создается при установке на лету вроде как (могу и ошибаться)
все эти страницы заточены под интим услуги (в основном, опять таки мой случай) ну я их редиректом и отправляю на проклу с ночными бабочками.

первый дор сидел в дефолтном шаблоне, второй был похитрее и подгружался откуда-то (надо кстати пойти базы посмотреть вдруг кака еще осталась)
ну вот как-то так.

Биржа криптовалюты

Отличный хостинг Webhost1

Индульгенция

Сообщений: 1513 Регистрация: Окт 2013

28 Апреля 2015 21:11

О. Н., спасибо, ищу эту каку).

paltarasych, посмотрел я.вебмастер. И правда появилось около 2 тысяч новых страниц и чуть больше тысячи попало в индекс(.

Спасибо за помощь). Теперь вот где искать эту каку. Смотрю все папки подряд.
Извиняюсь, нуб я в этих дорвеях. Это будет просто левая папка или php файл?

Максим

Сообщений: 2212 Регистрация: Мар 2013

28 Апреля 2015 21:18

Кто нибудь знает цель всего этого? Обычно подобные дорвеи содержат ссылки на какую нибудь пп с подписками, а здесь просто страницы с левым текстом, даже ссылок нету.

Изменено: Максим - 28 Апреля 2015 21:18

paltarasych

Сообщений: 3289 Регистрация: Янв 2011

28 Апреля 2015 21:32

Максим, цель - опробация на живучесть и пробив, наверное

Индульгенция, смотрим страницы что в индексе и в аттаче отправляем всех куда надо.

paltarasych

Сообщений: 3289 Регистрация: Янв 2011

28 Апреля 2015 21:37

Цитата
Индульгенция пишет: Это будет просто левая папка или php файл?

может и так и так

Индульгенция

Сообщений: 1513 Регистрация: Окт 2013

28 Апреля 2015 21:45

paltarasych, в индексе показывает такую хрень (скрин). в атаче не разбираюсь. Вас не затруднит самому посмотреть? (в личку скину доступ к фтп).

Прикрепленные файлы

Image 1.png (27.99 КБ) [ Скачать ]

paltarasych

Сообщений: 3289 Регистрация: Янв 2011

28 Апреля 2015 23:57

Индульгенция, можно и посмотреть, а то что на скрине это все ведет на сайт так полагаю - надо копнуть поглубже в явм и будут заголовки другие и урлы будут иметь вид типа

Код
ojargone.ru/blogs/kak-obigrat-kasino

или что в первом посте, только думаю ?a1= скорее запрос куда-то, который и тащит запрос и страницу, а не раздел\категория

у меня он практически все выплюнул из поиска, но остались в структуре данных пока запросы

Прикрепленные файлы

28.04.png (48.46 КБ) [ Скачать ]

KoLoBoK

Сообщений: 369 Регистрация: Мар 2013

#10

29 Апреля 2015 09:21

Индульгенция, а не проще ли выгрузить сайт на комп и банальным поиском посмотреть даты изменений файлов? он найдет и созданные тоже, а потом потереть все незнакомое которое будет соответствовать этой дате? (предположительно дате заражения, можно на день раньше взять)

Coder

Сообщений: 10781 Регистрация: Мар 2013

#11

29 Апреля 2015 12:02

Цитата
Индульгенция пишет: Всем привет

На форуме уже есть темы, где многое расписано. И это есть, но еще раз:

Простая защита сайта от вирусов _http://coderhs.com/archive/simple_virusprotect
Удалить вирус с сайта самостоятельно _http://coderhs.com/archive/delete_virus

+aibolit

PS Логика всегда) одна:
1. Предотвратить дальнейшие моменты с точки обнаружения
2. Поменять все пароли
3. Найти причину/предлотвратить дальнейшее (см.1)
4. Почистить и привести в порядок.

✓ Проверенные скрипты и полезности для сайта

✓ Курсы

✓ Сервис временных ссылок

О. Н.

Сообщений: 839 Регистрация: Июн 2013

#12

29 Апреля 2015 15:53

Ну что там, разобрались?

Индульгенция

Сообщений: 1513 Регистрация: Окт 2013

#13

29 Апреля 2015 21:03

Coder, спасибо).

О. Н., да, нашли каку и удалили. Сейчас начну ставить защиту и пароли менять (хоть пипец какие сложные).
Всем большое спасибо)

Coder

Сообщений: 10781 Регистрация: Мар 2013

#14

29 Апреля 2015 21:56

Цитата
Индульгенция пишет: Coder, спасибо)

Пожалуйста)

Цитата
Индульгенция пишет: нашли каку и удалили. Сейчас начну ставить защиту

Поздравляю) Если будут проблемы с администрированием (добавлением материала) при установке вышеназванной защиты - два пути - либо подправить защиту, либо просто отключать для добавления и потом снова включать - небольшая заморочка, которая стоит получаемого результата.

Индульгенция Сообщений: 1513 Регистрация: Окт 2013	#15 15 Июля 2015 21:25 Coder, спасибо Вам за советы. Ближе к факту - айболитом проверил. Почистил все что он нашел. Не просто код удалил а нафиг плагины и js на которые он указал. Сменил пароль от админки сайта, фтп, базы, удалил полностью четыре сайта "соседа" которые мне не нужны (остался этот один). Пробовал поставить защиту по вашей ссылке но она не сработала (coderhs.com/archive/simple_virusprotect ). Зашел на источник и вновь пункт за пунктом сделал но все равно не показало при переходе на http://ваш_сайт/?x=eval() это "denied_by antivirus-alarm 1" . Примерно через недели две вновь письмо счастья о заражение "Внедрение через URL". Вновь айболитом проверил и вновь куча ифреме и прочего зверья. И вновь почистил, и комп почти всеми что есть антивирусниками проверил - чист говорят. Общественными сетями и даже к вафле друзей никогда не подключаюсь. На данный момент вижу два решения: 1) Искать помощи на просторах. 2) Оплатить "айболитам" за чистку и установку защиты. Но все же платить не каждый хочет спешить. Теперь о сайте. Обычный словарь с посещаемостью не более трехсот в сутки. пр 3 тиц 40. но он по основным ключам в топе. Отрицаю то что конкуренты. Я его как 2 года (примерно) уже не монетизирую. У кого какие мнения и советы? Любая информация пригодится).

Похожие темы:

11.12.2024 14:57	Конгресс США заявил о лабораторном происхождении коронавируса
22.11.2024 09:05	Продвижение петиций на сайте change.org
30.06.2024 21:52	Корейский провайдер наказал пользователей торрентов вирусами, а теперь наказание грозит ему
06.03.2024 12:01	Спойлер на 2024: "Зомби-вирус"
18.08.2023 10:49	Установка Wordpress в папку на статическом сайте

Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)

Новые темы	Объявления	Свободное общение
05:00 узнать больше dm_avitos 23:22 Рост эффективности моего интернет‑магазина 23:12 Adsense личный опыт 22:07 С чего сейчас проще начать? 22:02 как оплатить claude и gpt-5 из рф в 2026 чтобы не забанили через три дня 21:54 WB и Ozon - новые "русские поисковики"? Яндекс теряет коммерческую выдачу 21:36 Трафик в минус, соцсети в топе - Завершено февральское обновление Google Discover	04:32 От $0.015 за IP \| $0.68 за ГБ \| 9PROXY.COM \| 20+ млн резидентных прокси \| 99,95% аптайм \| Без чёрных списков 21:20 Русские народные сказки - оцените! 21:08 Продам сотню хороших доменов по минимальным ценам 20:43 JustProxy.Biz - Резидентные прокси без ограничения по трафику 19:02 Mixmasters - Exchange without AML and KYC 18:10 UltraXchina: Современный сервис обмена Alipay, USDT, Наличные 16:58 Proxy SOCKS5/HTTP(S) : Резидентские-$1.5/GB \| Мобильные-$2/GB \| Datacenter-$1/GB \| PREMIUM-$4 /GB	22:55 С юмором по жизни! 22:49 Список обновленных тем пуст... 22:37 Чак Норрис ушел - 19 марта 2026, 86 лет, семья подтвердила 22:19 8 марта: желаю аптайма 99.9% и e-e-a-t без локов 21:16 Почему не обновляется счетчик ИКС (индекса качества сайта) 19:57 молодильные яблоки и живая вода 01:50 Точные прогнозы на футбол