X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Помогите обнаружить источник вируса на сайте
duoseo
duoseo
Topic Starter сообщение 22.7.2012, 21:00; Ответить: duoseo
Сообщение #1


Старожил
******

Группа: Active User
Сообщений: 1958
Регистрация: 24.11.2009
Из: Россия
Поблагодарили: 1191 раз
Репутация:   216  


Проблема: к старым, уже опубликованным статьям сайта на WP каким-то "магическим" образом дописываются ссылки, дописываются в конце статьи, дописываются коряво, и всегда на одних и тех же ребят, на сайт www.rtours.ru, но с разными анкорами. Причем НЕ дописывают сразу к сотням статей, а раз в несколько дней выбирают одну старенькую, и к ней дописывают, я вижу, какую статью именно выбрали, только благодаря файлу sitemap, т.к. он при обновлении материала на сайте, сам же тоже обновляется, сразу иду редактирую, и проблема исчерпывает себя, потом через несколько дней, снова повторяется, но уже с другой статьей, и все идет по кругу, меняются статьи, я их исправляю обратно.

Что имею: уже сам исследовал вдоль и поперек сайт, найти источник проблемы не смог, права на управление файлами темы стоят нормальные, доступ никому не предоставлял для редактирования, подгружаемых скриптов не заметил, тема на сайте стоит уже год, проблема появилась месяц назад.

Пациент: сразу дам ссылку, на страницу, которую буквально 20 минут назад снова постигла эта участь, я ее еще не исправлял до исходного состояния, возможно при виде эффекта проблемы, кто то сможет подсказать в чем дело - http://czlife.ru/unicredtit-bank/

Сообщение отредактировал duoseo - 22.7.2012, 21:02
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
OMGet
OMGet
сообщение 22.7.2012, 21:19; Ответить: OMGet
Сообщение #2


Завсегдатай
*****

Группа: Active User
Сообщений: 561
Регистрация: 7.11.2011
Поблагодарили: 220 раз
Репутация:   27  


теперь понятно откуда у этих ребят ТИЦ 1100
По вашему вопросу помочь наврятли смогу, но вы обратитесь к хостеру, на котором у них сайт пожалуйтесь, CJSC MasterHost


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
duoseo
duoseo
Topic Starter сообщение 22.7.2012, 21:37; Ответить: duoseo
Сообщение #3


Старожил
******

Группа: Active User
Сообщений: 1958
Регистрация: 24.11.2009
Из: Россия
Поблагодарили: 1191 раз
Репутация:   216  


Спасибо, хостера уже оповестил о чудесах. Наверника сами www.rtours.ru не в курсе происходящего, заказали продвижение у какого-то оптимизатора, и вот так им продвигают их сайт по нужным запросам, у каждого свои методы, меня больше волнует, каким методом они смогли прокрасться в мои статьи.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
diks
diks
сообщение 22.7.2012, 21:40; Ответить: diks
Сообщение #4


Участник
***

Группа: User
Сообщений: 194
Регистрация: 20.6.2011
Из: Киев
Поблагодарили: 6 раз
Репутация:   -2  


duoseo, несколько советов:
1. сменить ароли к: имеилу, биллинг панели хостинга, всем админам сайта.
2. путь к админке у вас такой: ваш_сайт/wp-admin/. смените адрес на такого типа: ваш_сайт/9vbere9erb8565erb656erb3eb6/ и запишите гденибудь.


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
eduarddis
eduarddis
сообщение 22.7.2012, 21:44; Ответить: eduarddis
Сообщение #5


Да выпей чаю
*****

Группа: Active User
Сообщений: 817
Регистрация: 7.1.2012
Поблагодарили: 182 раза
Репутация:   50  


Вполне возможна кража через ФТП-клиента, доступ к фтп смените (пароль). Плюс скачайте бэкап сайта на ПК и проверьте на наличие в файлах сайта rtours.ru через notepad ++.
Личный опыт, правда с ДЛЕ. Хостеры, кажется, такими делами не занимаются, хотя кто их знает... Но джино точно нет.

Сообщение отредактировал eduarddis - 22.7.2012, 21:46


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
duoseo
duoseo
Topic Starter сообщение 22.7.2012, 21:59; Ответить: duoseo
Сообщение #6


Старожил
******

Группа: Active User
Сообщений: 1958
Регистрация: 24.11.2009
Из: Россия
Поблагодарили: 1191 раз
Репутация:   216  


Diks, спасибо, действительно пароль к админке давно не менялся. Поменял сейчас на новый, и на почте тоже поменял. Посмотрим, принесет ли это плоды.

Eduarddis, поиск по файлам сайта ничего не дал. Примечательно, что на фтп аккаунте есть несколько других проектов, в которых, тоже поидее было бы им интересно ссылку поставить, однако другие сайты такой проблемой не страдают. Сейчас с OMGet думаем, что возможно это "ручная работа", украли доступ к админке и постят ссылки, но что то уж слишком коряво это все делается, слетают тэги которые были изначально (вставка картинки, жирность и т.п) так что и про кражу пароля мало похоже, скорее всего это автоматически происходит, но вот как, это пока небольшая загадка.

Сообщение отредактировал duoseo - 22.7.2012, 21:59
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Rampage
Rampage
сообщение 22.7.2012, 22:11; Ответить: Rampage
Сообщение #7


Участник
***

Группа: User
Сообщений: 239
Регистрация: 20.11.2010
Из: localhost
Поблагодарили: 67 раз
Репутация:   23  


у меня есть подозрение что пишут прямо в базу данных, попробуйте сменить пароли и посмотрите будет ли это повторятся если да может быть заражен сам двиг, да и не мешалобы логи сервера смотреть за даты изменений


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
anevrine
anevrine
сообщение 22.7.2012, 22:17; Ответить: anevrine
Сообщение #8


Частый гость
**

Группа: User
Сообщений: 67
Регистрация: 2.2.2011
Из: Москва
Поблагодарили: 14 раз
Репутация:   2  


Может быть постят через mysql например через phpmyadmin Отсююда корявость. Дописывают в начало и вконец. Дописывает возможно скрипт по крону. Ищите на ФТП исполняемые файлы, либо вызов внешнего файла. На дату файла смотреть смысла нет.
Скорее всего у Вас увели пароли. Сменить все поголовно!
ПРоверить компики где прописаны пароли антивирусом, лучше несколькими. Есть вирусы которые например каспер пропускает. Был инцидент. Вирус не вспомню, но каспер не отрабатывал. С Дрвебом такое еще чаще.
Если не справитесь - послезавтра велком в личку.

Так же надо посмотреть на бекдоры на сайте. Если есть - смена пасса не спасет.
В новых новостях нет = полуавтомат, либо по таймеру.
Руками маловероятно - легче бедор сделать.

Сообщение отредактировал anevrine - 22.7.2012, 22:18


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
prftc
prftc
сообщение 22.7.2012, 22:17; Ответить: prftc
Сообщение #9


Участник
***

Группа: User
Сообщений: 229
Регистрация: 4.5.2012
Из: Moscow
Поблагодарили: 49 раз
Репутация:   7  


если на хостинге установлен clamav, попросите хостера его запустить для проверки всех скриптов.
у меня одного клиента удалось таким образом "вылечить", так как clamav нашёл бэкдор.

Сообщение отредактировал prftc - 22.7.2012, 22:18


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
House
House
сообщение 22.7.2012, 22:33; Ответить: House
Сообщение #10


Завсегдатай
*****


Группа: Banned
Сообщений: 628
Регистрация: 2.11.2011
Из: Саранск
Поблагодарили: 154 раза
Репутация:   19  


Шо вы городите народ ?

Самый постой вариант - переустановить wp. Именно удалить полностью, а потом установить.


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Как установить источник заражения сайтов?
5 kelevra 276 Сегодня, 17:55
автор: Nell
Открытая тема (нет новых ответов) Как правильно сделать категории на сайте?
Хелппп!!!
5 norino 619 Сегодня, 16:28
автор: One_on_One
Открытая тема (нет новых ответов) Помогите выбрать программу
Помогите выбрать программу
11 impak 1309 Сегодня, 13:11
автор: Mikki
Открытая тема (нет новых ответов) ALFAcoins.com - Приём криптовалюты на вашем сайте
16 ALFAcoins 3509 Вчера, 17:06
автор: ALFAcoins
Открытая тема (нет новых ответов) Размещу Вашу статью с ссылкой на сайте с Тиц 50 навсегда
11 vyacheslav333 1286 9.12.2017, 22:16
автор: Мамай


 



RSS Текстовая версия Сейчас: 11.12.2017, 19:30
Дизайн