Появляется вредоносный скрипт на сайте =(
Страницы: 1 2 След.
Появляется вредоносный скрипт на сайте =(
Всем привет, есть сайт money-new.ru так вот вчера начал появляться сторонний скрипт на сайте а именно в header.php и в двух папках css и js появляются сторонние скрипты!!!
Подскажите как это остановить?
header.php вызывается практически на всех страницах сайта, вот думаю если изменить его название то это поможет? Или взломщик имеет доступ ко всем php на моём сайте?
Скачайте самые новые фильмы торент

Прогон по твиттеру, постинг в 1500 аккунтов
Постинг в твиттер аккаунты, для ускорения индексации ваших сайтов, сателлитов, дорвеев.

Как понимаю, у вас wordpress... а скрипты с рандомным именем типа dirs.php, renovation.php, title.php, utf.php и т.д. ?
Цитата
xschneider пишет:
Как понимаю, у вас wordpress... а скрипты с рандомным именем типа dirs.php, renovation.php, title.php, utf.php и т.д. ?
Нет не вордпресс.. Там своя система, не CMS но да появляются скрипты типа images.js и css.php
А в самом header.php появляется <script>тут какая то хрень</script>
Цитата
Олег Былинкин пишет:
Цитата
xschneider пишет:
Как понимаю, у вас wordpress... а скрипты с рандомным именем типа dirs.php, renovation.php, title.php, utf.php и т.д. ?
Нет не вордпресс.. Там своя система, не CMS но да появляются скрипты типа images.js и css.php
А в самом header.php появляется <script>тут какая то хрень</script>
Да, извините, я ляпнул, не глянув на сайт. Просто недавно на вордпрессе словил вирус - там создавались php-файлы с почти рандомным названием и зашифрованным кодом внутри. Как я решил проблему (мне легче, так как сервак стоит дома свой). Я остановил сайт, а именно  /var/www/название сайта переименовал /var/www/название сайта_stop. Я тогда сразу заметил в шаблонном header.php спрятанный скрипт. Проверял для начала сайт ai-bolit антивирусником, хотя его врядли так можно назвать, просто поиск скриптов, похожих по сигнатуре на вирусы. А потом вручную искал через ssh по именам файлов (имена файлов мне выдал ai-bolit и вручную кое-что нашел). Все удалялось вручную. У меня были примерные имена файлов такие: article.php, title.php, config.php, renovation.php, login.php, session.php,  utf.php,dirs.php,inc.php,include.php,cache.php,page.php,user.php,general.php, global.php, system.php,    start.php,     db.php,      defines.php,    model.php,   view.php,    css.php,info.php.Очень советую использовать ai-bolit скрипт. Он бесплатный и скачать его можно по адресу http://revisium.com/ai/  
Цитата
xschneider пишет:
Цитата
Олег Былинкин пишет:
Цитата
xschneider пишет:
Как понимаю, у вас wordpress... а скрипты с рандомным именем типа dirs.php, renovation.php, title.php, utf.php и т.д. ?
Нет не вордпресс.. Там своя система, не CMS но да появляются скрипты типа images.js и css.php
А в самом header.php появляется <script>тут какая то хрень</script>
Да, извините, я ляпнул, не глянув на сайт. Просто недавно на вордпрессе словил вирус - там создавались php-файлы с почти рандомным названием и зашифрованным кодом внутри. Как я решил проблему (мне легче, так как сервак стоит дома свой). Я остановил сайт, а именно /var/www/название сайта переименовал /var/www/название сайта_stop. Я тогда сразу заметил в шаблонном header.php спрятанный скрипт. Проверял для начала сайт ai-bolit антивирусником, хотя его врядли так можно назвать, просто поиск скриптов, похожих по сигнатуре на вирусы. А потом вручную искал через ssh по именам файлов (имена файлов мне выдал ai-bolit и вручную кое-что нашел). Все удалялось вручную. У меня были примерные имена файлов такие: article.php, title.php, config.php, renovation.php, login.php, session.php, utf.php,dirs.php,inc.php,include.php,cache.php,page.php,user.php,general.php, global.php, system.php, start.php, db.php, defines.php, model.php, view.php, css.php,info.php.Очень советую использовать ai-bolit скрипт. Он бесплатный и скачать его можно по адресу http://revisium.com/ai/
У меня тоже свой сервер дома. Но вы не совсем поняли, я очистил от вируса ещё вчера. Всё было нормально, но утром сного появился только уже с другими файлами и другим кодом... Сейчас всё очистил, но боюсь повторения! Вот суть вопроса состоит в том, как защитить себя? Это иньекция или кто то получил доступ к файлу? Если иньекция то можно же просто изменить название с header.php на что то другое и по логике взломщик не сможет определить новое название? Или я не в том направлении думаю)
Тогда такой вопрос: есть вероятность того, что кто-то подобрал пароль от админки или доступа к серверу? Может быть с самого начала в подключаемых js-скриптах сидел бэкдор?
Ищите код который расставляет эти скрипты, сверяйте содержание каждого файла с оригиналом.
Обычно ломают, запихивают код, и он расставляет скрипты в определенное время после удаления.
Открой свой магазин за 5 минут, их товары, их обслуживание, с тебя только клиенты >>> РЕГИСТРАЦИЯ <<<
Скрин выплат по запросу.
Рефералам помощь.
Цитата
xschneider пишет:
Тогда такой вопрос: есть вероятность того, что кто-то подобрал пароль от админки или доступа к серверу? Может быть с самого начала в подключаемых js-скриптах сидел бэкдор?
У меня стоит блок на доступ к фтп всем кроме моего второго пк, точнее никто из инета не сможет войти на фтп только по локалке и только один ip
Цитата
Алексей SP пишет:
Ищите код который расставляет эти скрипты, сверяйте содержание каждого файла с оригиналом.
Обычно ломают, запихивают код, и он расставляет скрипты в определенное время после удаления.
В принципе, согласен. Если в одном из файлов вредоносный код остался, он может, допустим при заходе на сайт-при обработке этого скрипта, создавать заново файлы и раскидывать их по папкам
Цитата
Алексей SP пишет:
Ищите код который расставляет эти скрипты, сверяйте содержание каждого файла с оригиналом.
Обычно ломают, запихивают код, и он расставляет скрипты в определенное время после удаления.
А как код может приблизительно выглядеть? И в каком расширении файла он залазеет? в php? Скорее всего в кроновский скрипт могли внести да? потому что без крона как он будет выполняться в определённое время?
Бывает, что, если есть возможность заливать картинки или аватары, а скрипт заливки (какой-нибудь upload.php не защищен), то можно залить картинку с вредоносным кодом.
Цитата
xschneider пишет:
Бывает, что, если есть возможность заливать картинки или аватары, а скрипт заливки (какой-нибудь upload.php не защищен), то можно залить картинку с вредоносным кодом.
Кстати да, надо посмотреть) Это один из вариантов!
[COLOR=#005187]Troj/JsRedir-OY[/COLOR] Вот сам вирус.
Если cron, то смотрите в cron.daily, cron.daily, cron.monthly
Извините, не помню как смотреть через консоль.... crontab -l или нет..(((
Цитата
xschneider пишет:
Извините, не помню как смотреть через консоль.... crontab -l или нет..(((
Да, вроде так, но у меня на серваке перестала работать такая команда, поэтому я смотрю в /etc/cron*
Страницы: 1 2 След.
Похожие темы:
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
21:42 Можно с помощью накрутки ПФ "почувствовать выход в опу мира и ощутить ответ тех поддержки яшы"? 
18:50 АП выдача 05.08.2020 | После открытия границ, кто-то куда-то? 
18:48 Накрутка поведенческих факторов весна - лето 2020 для продвижения сайта в ТОП Яндекса и Google 
18:11 Помогите с продвижением 
11:10 Lottery Partner в поиске партнеров! Самые высокие ставки! 
20:26 Падение трафика с Гугла более чем в 2 раза! А дальше - больше 
18:26 ClickDealer- свои люди на рынке буржа! 
22:08 Скупаю каналы Дзен 
21:58 Продаю Гадальные скрипты (47шт) для wordpress и dle 
21:32 Profit-smm.ru - раскрутка в Vk/Inst/Yt/Tg. Подписчики от 11.5р, лайки от 2.4р 
19:48 Качественный прогон Хрумером, Zennoposterом всего 10 WMZ, Большой опыт работы. Статьи, комментарии, профиля, гостевые. 
19:46 продам Зеброид 
17:35 SocksHub.net - proxy, которые подходят всем 
17:18 Привлеку подписчиков на Ваш канал в Яндекс Дзен, а также дочитку на статьи канала. 
18:52 ruposters.ru: На турецких курортах резко началась новая волна коронавируса 
18:07 Партнёрская рекламная сеть Vadideo Network 
16:47 [b]Webvork [/b]- международная товарная СРА сеть с сертифицированными офферами на Европу. 
11:59 Edu-affiliates - лучшая партнерка в нише эссе! 
07:46 Обсчитали в магазине 
22:08 Ваш сайт блокируют гос органы? Есть решение! 
20:41 Болезни нет, а вакцина есть