X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Сайт взломан - вредоносный контент
koroluk1990
koroluk1990
Topic Starter сообщение 11.3.2016, 2:20; Ответить: koroluk1990
Сообщение #1


Завсегдатай
*****

Группа: Active User
Сообщений: 808
Регистрация: 20.1.2013
Из: Лос-Анджелес, США
Поблагодарили: 159 раз
Репутация:   45  


День добрый, друзья. Сегодня получил письмо от Гугла (впервые такое получаю вообще), о том, что сайт был взломан и на нем разместили вредоносный контент. Гугл показал ссылку http://politadvice.com/gf4q5si/nhmtw-dbtrn_6055539.html, и действительно, при переходе по данной ссылки я попадаю на какой-то китайский сайт.

В связи с этим вопрос - как исправить ситуацию? Как удалить вредоносный код и кто с этим сталкивался?

Буду рад любой помощи и совету. Благодарю!

UPD: зашел на FTP и вижу, что на сервер 6 числа было добавлено с десяток папок, а также 10.000 файлов. Папки имеют название типа - gf4q5si. Скриншот - https://yadi.sk/i/Sva23FKBq4ppx

Я их все почистил с сервера, пароль от ФТП поменял, но думаю, что этого мало.

Сообщение отредактировал koroluk1990 - 11.3.2016, 2:30
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
priest
priest
сообщение 11.3.2016, 2:43; Ответить: priest
Сообщение #2


Участник
***

Группа: User
Сообщений: 137
Регистрация: 8.3.2016
Поблагодарили: 24 раза
Репутация:   3  


Сравните по дате изменение в файлах, это вам поможет сократить поиск. Если файлов не много, думаю вы увидите лишний код. Ну скорей всего это не в одном и не в трех файлах, а на много больше. Я подозреваю у вас cms wp?

Отсортируйте файлы по дате последнего изменения. У тех файлов, которые заражены, дата должна быть свежая и одинаковая. Откройте эти файлы и ищите код iframe, как правило этот код располагается в самом конце. В основном, вредоносный код прописывается в файлах: index.php, index.html, в файлах с расширением .js. Нередко, эта зараза проживает между тегами <script>…</script>.

Сообщение отредактировал priest - 11.3.2016, 2:46


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
koroluk1990
koroluk1990
Topic Starter сообщение 11.3.2016, 2:50; Ответить: koroluk1990
Сообщение #3


Завсегдатай
*****

Группа: Active User
Сообщений: 808
Регистрация: 20.1.2013
Из: Лос-Анджелес, США
Поблагодарили: 159 раз
Репутация:   45  


priest, хочу отметить, что сайт на WP. Но как сделать то, что вы советуете - не знаю :) Я мало в коде разбираюсь)

Цитата(priest @ 11.3.2016, 0:43) *
Отсортируйте файлы по дате последнего изменения. У тех файлов, которые заражены, дата должна быть свежая и одинаковая. Откройте эти файлы и ищите код iframe, как правило этот код располагается в самом конце. В основном, вредоносный код прописывается в файлах: index.php, index.html, в файлах с расширением .js. Нередко, эта зараза проживает между тегами <script>…</script>.


Благодарю, сейчас буду смотреть. Как я уже писал ранее, за 6 марта у меня добавлено куча папок и файлов на сайт. Уже час вычищаю. Там, как оказалось, более 20.000 файлов - и .js, и .html - это все не файлы сайта, а добавленные преднамеренно.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
priest
priest
сообщение 11.3.2016, 3:00; Ответить: priest
Сообщение #4


Участник
***

Группа: User
Сообщений: 137
Регистрация: 8.3.2016
Поблагодарили: 24 раза
Репутация:   3  


Есть скрипт, для поиска вредоностного по "AI-BOLIT" щас скину ссылку в личку на сайт разработчика. По моему бесплатная утилита.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
koroluk1990
koroluk1990
Topic Starter сообщение 11.3.2016, 3:00; Ответить: koroluk1990
Сообщение #5


Завсегдатай
*****

Группа: Active User
Сообщений: 808
Регистрация: 20.1.2013
Из: Лос-Анджелес, США
Поблагодарили: 159 раз
Репутация:   45  


UPD: - вычистил все папки и файлы. Вроде бы пропал контент. Код никакой не встраивался, только добавилось куча файлов, которые успешно удалил. Поменял пароль от FTP. Что еще можно сделать, чтоб обезопасить себя?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
priest
priest
сообщение 11.3.2016, 3:05; Ответить: priest
Сообщение #6


Участник
***

Группа: User
Сообщений: 137
Регистрация: 8.3.2016
Поблагодарили: 24 раза
Репутация:   3  


Цитата(koroluk1990 @ 11.3.2016, 3:00) *
Что еще можно сделать, чтоб обезопасить себя?

Если cms wp ищите плагины для защиты, они есть и платные и бесплатные. Ну конечно это не гарантирует 100% защиты. Способов много. Все зависит от движка и ваших знаний языка программирования.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Lisel85
Lisel85
сообщение 11.3.2016, 3:32; Ответить: Lisel85
Сообщение #7


Всех благ!
******


Группа: Active User
Сообщений: 2139
Регистрация: 3.4.2013
Из: дома
Поблагодарили: 1222 раза
Репутация:   220  


Сменить стандартный логин admin на другой любой - это в базе данных делается.
Добавить в .htaccess код для доступа только по определенному IP.

Советуют потом создавать дополнительно "admin" только уже без прав администратора.
Еще вовремя обновлять папки и файлы движка.

Сообщение отредактировал Lisel85 - 11.3.2016, 3:35


--------------------
Цельтесь в луну, даже если промахнетесь, то окажетесь среди звезд.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
stopxaker
stopxaker
сообщение 11.3.2016, 5:09; Ответить: stopxaker
Сообщение #8


Новичок
*

Группа: Viewer
Сообщений: 7
Регистрация: 1.4.2009
Поблагодарили: 1 раз
Репутация:   0  


koroluk1990,

Для начала нужно определить почему произошёл взлом , смена паролей и чиста ничего не даст , тут несколько вариантов или уязвимость в wp или в каком нить его плагине или ещё хуже , уязвимость на сервере.

У вас шара хостинг или VPS ?


--------------------
Добро пожаловать на Stop}{akeR
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
koroluk1990
koroluk1990
Topic Starter сообщение 11.3.2016, 11:59; Ответить: koroluk1990
Сообщение #9


Завсегдатай
*****

Группа: Active User
Сообщений: 808
Регистрация: 20.1.2013
Из: Лос-Анджелес, США
Поблагодарили: 159 раз
Репутация:   45  


Цитата(stopxaker @ 11.3.2016, 3:09) *
У вас шара хостинг или VPS ?


VPS. Причем на сервере висит 2-а проекта. Один взломали, другой нет. Но у другой самописный сайт, с хорошей защитой. У каждого сайта свои доступы к серверу, под своим логином и паролем.


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
stopxaker
stopxaker
сообщение 11.3.2016, 17:46; Ответить: stopxaker
Сообщение #10


Новичок
*

Группа: Viewer
Сообщений: 7
Регистрация: 1.4.2009
Поблагодарили: 1 раз
Репутация:   0  


Цитата(koroluk1990 @ 11.3.2016, 11:59) *
VPS. Причем на сервере висит 2-а проекта. Один взломали, другой нет. Но у другой самописный сайт, с хорошей защитой. У каждого сайта свои доступы к серверу, под своим логином и паролем.


Ну вот всё и прояснилось , значит уязвимость в WP или в его плагинах .
Вывод , обновится или пропатчить WP

Так же не будет лишним просканировать взломанный сайт , Plugin Vulnerabilities , он находит уязвимости плагинах WP .

https://wpvulndb.com - База уязвимостей WP

Сообщение отредактировал stopxaker - 11.3.2016, 17:58


--------------------
Добро пожаловать на Stop}{akeR


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Посоветуйте тему WP! Новостной сайт
Нужна тема WP желательно рус и с ТП
12 aidos 852 Вчера, 22:58
автор: Nell
Открытая тема (нет новых ответов) Тема имеет прикрепленные файлыПрошу оценить новостной сайт
7 Cunningfox 678 Вчера, 20:31
автор: alexandrrr
Открытая тема (нет новых ответов) Оцените сайт на профпригодность
помощь по сайту
3 kupec 529 Вчера, 15:21
автор: Iga
Открытая тема (нет новых ответов) Продается сайт о Крымском операторе связи
4 Cunningfox 619 Вчера, 11:30
автор: Cunningfox
Горячая тема (нет новых ответов) Дешевый трафик на сайт, накрутка счетчиков
накрутка статистики (бот трафик)
145 StarWareznik 68811 9.12.2017, 22:02
автор: StarWareznik


 



RSS Текстовая версия Сейчас: 13.12.2017, 3:42
Дизайн