Сайт взломан - вредоносный контент

Сайт взломан - вредоносный контент

Опции

koroluk1990

Topic Starter сообщение

11.3.2016, 2:20; Ответить: koroluk1990

Сообщение #1

Завсегдатай

Группа: Active User
Сообщений: 832
Регистрация: 20.1.2013
Из: Лос-Анджелес, США
Поблагодарили: 183 раза
Репутация:

46

День добрый, друзья. Сегодня получил письмо от Гугла (впервые такое получаю вообще), о том, что сайт был взломан и на нем разместили вредоносный контент. Гугл показал ссылку http://politadvice.com/gf4q5si/nhmtw-dbtrn_6055539.html, и действительно, при переходе по данной ссылки я попадаю на какой-то китайский сайт.

В связи с этим вопрос - как исправить ситуацию? Как удалить вредоносный код и кто с этим сталкивался?

Буду рад любой помощи и совету. Благодарю!

UPD: зашел на FTP и вижу, что на сервер 6 числа было добавлено с десяток папок, а также 10.000 файлов. Папки имеют название типа - gf4q5si. Скриншот - https://yadi.sk/i/Sva23FKBq4ppx

Я их все почистил с сервера, пароль от ФТП поменял, но думаю, что этого мало.

Сообщение отредактировал koroluk1990 - 11.3.2016, 2:30

0

Ответить с цитированием данного сообщения

priest priest 11.3.2016, 2:43; Сообщений: 2126 Поблагодарили: 24 раза Репутация: 384 Просмотр профиля	11.3.2016, 2:43; Ответить: priest Сообщение #2
Старожил Группа: Active User Сообщений: 2126 Регистрация: 8.3.2016 Поблагодарили: 24 раза Репутация: 384	Сравните по дате изменение в файлах, это вам поможет сократить поиск. Если файлов не много, думаю вы увидите лишний код. Ну скорей всего это не в одном и не в трех файлах, а на много больше. Я подозреваю у вас cms wp? Отсортируйте файлы по дате последнего изменения. У тех файлов, которые заражены, дата должна быть свежая и одинаковая. Откройте эти файлы и ищите код iframe, как правило этот код располагается в самом конце. В основном, вредоносный код прописывается в файлах: index.php, index.html, в файлах с расширением .js. Нередко, эта зараза проживает между тегами <script>…</script>. Сообщение отредактировал priest - 11.3.2016, 2:46 -------------------- Поисковое продвижение в Яндекс и Google

koroluk1990 Topic Starter koroluk1990Topic Starter 11.3.2016, 2:50; Сообщений: 832 Поблагодарили: 183 раза Репутация: 46 Просмотр профиля	Topic Starter 11.3.2016, 2:50; Ответить: koroluk1990 Сообщение #3
Завсегдатай Группа: Active User Сообщений: 832 Регистрация: 20.1.2013 Из: Лос-Анджелес, США Поблагодарили: 183 раза Репутация: 46	priest, хочу отметить, что сайт на WP. Но как сделать то, что вы советуете - не знаю Я мало в коде разбираюсь) Цитата(priest @ 11.3.2016, 0:43) Отсортируйте файлы по дате последнего изменения. У тех файлов, которые заражены, дата должна быть свежая и одинаковая. Откройте эти файлы и ищите код iframe, как правило этот код располагается в самом конце. В основном, вредоносный код прописывается в файлах: index.php, index.html, в файлах с расширением .js. Нередко, эта зараза проживает между тегами <script>…</script>. Благодарю, сейчас буду смотреть. Как я уже писал ранее, за 6 марта у меня добавлено куча папок и файлов на сайт. Уже час вычищаю. Там, как оказалось, более 20.000 файлов - и .js, и .html - это все не файлы сайта, а добавленные преднамеренно.

priest priest 11.3.2016, 3:00; Сообщений: 2126 Поблагодарили: 24 раза Репутация: 384 Просмотр профиля	11.3.2016, 3:00; Ответить: priest Сообщение #4
Старожил Группа: Active User Сообщений: 2126 Регистрация: 8.3.2016 Поблагодарили: 24 раза Репутация: 384	Есть скрипт, для поиска вредоностного по "AI-BOLIT" щас скину ссылку в личку на сайт разработчика. По моему бесплатная утилита. -------------------- Поисковое продвижение в Яндекс и Google

koroluk1990 Topic Starter koroluk1990Topic Starter 11.3.2016, 3:00; Сообщений: 832 Поблагодарили: 183 раза Репутация: 46 Просмотр профиля	Topic Starter 11.3.2016, 3:00; Ответить: koroluk1990 Сообщение #5
Завсегдатай Группа: Active User Сообщений: 832 Регистрация: 20.1.2013 Из: Лос-Анджелес, США Поблагодарили: 183 раза Репутация: 46	UPD: - вычистил все папки и файлы. Вроде бы пропал контент. Код никакой не встраивался, только добавилось куча файлов, которые успешно удалил. Поменял пароль от FTP. Что еще можно сделать, чтоб обезопасить себя?

priest priest 11.3.2016, 3:05; Сообщений: 2126 Поблагодарили: 24 раза Репутация: 384 Просмотр профиля	11.3.2016, 3:05; Ответить: priest Сообщение #6
Старожил Группа: Active User Сообщений: 2126 Регистрация: 8.3.2016 Поблагодарили: 24 раза Репутация: 384	Цитата(koroluk1990 @ 11.3.2016, 3:00) Что еще можно сделать, чтоб обезопасить себя? Если cms wp ищите плагины для защиты, они есть и платные и бесплатные. Ну конечно это не гарантирует 100% защиты. Способов много. Все зависит от движка и ваших знаний языка программирования. -------------------- Поисковое продвижение в Яндекс и Google

Lisel85 Lisel85 11.3.2016, 3:32; Сообщений: 2192 Поблагодарили: 1268 раз Репутация: 231 Просмотр профиля	11.3.2016, 3:32; Ответить: Lisel85 Сообщение #7
Всех благ! Группа: Active User Сообщений: 2192 Регистрация: 3.4.2013 Из: СПб Поблагодарили: 1268 раз Репутация: 231	Сменить стандартный логин admin на другой любой - это в базе данных делается. Добавить в .htaccess код для доступа только по определенному IP. Советуют потом создавать дополнительно "admin" только уже без прав администратора. Еще вовремя обновлять папки и файлы движка. Сообщение отредактировал Lisel85 - 11.3.2016, 3:35 -------------------- Всегда идите впред и ничего не бойтесь!

stopxaker stopxaker 11.3.2016, 5:09; Сообщений: 7 Поблагодарили: 1 раз Репутация: 0 Просмотр профиля	11.3.2016, 5:09; Ответить: stopxaker Сообщение #8
Новичок Группа: Viewer Сообщений: 7 Регистрация: 1.4.2009 Поблагодарили: 1 раз Репутация: 0	koroluk1990, Для начала нужно определить почему произошёл взлом , смена паролей и чиста ничего не даст , тут несколько вариантов или уязвимость в wp или в каком нить его плагине или ещё хуже , уязвимость на сервере. У вас шара хостинг или VPS ? -------------------- Добро пожаловать на Stop}{akeR

koroluk1990 Topic Starter koroluk1990Topic Starter 11.3.2016, 11:59; Сообщений: 832 Поблагодарили: 183 раза Репутация: 46 Просмотр профиля	Topic Starter 11.3.2016, 11:59; Ответить: koroluk1990 Сообщение #9
Завсегдатай Группа: Active User Сообщений: 832 Регистрация: 20.1.2013 Из: Лос-Анджелес, США Поблагодарили: 183 раза Репутация: 46	Цитата(stopxaker @ 11.3.2016, 3:09) У вас шара хостинг или VPS ? VPS. Причем на сервере висит 2-а проекта. Один взломали, другой нет. Но у другой самописный сайт, с хорошей защитой. У каждого сайта свои доступы к серверу, под своим логином и паролем. Поблагодарили: (1) stopxaker

stopxaker stopxaker 11.3.2016, 17:46; Сообщений: 7 Поблагодарили: 1 раз Репутация: 0 Просмотр профиля	11.3.2016, 17:46; Ответить: stopxaker Сообщение #10
Новичок Группа: Viewer Сообщений: 7 Регистрация: 1.4.2009 Поблагодарили: 1 раз Репутация: 0	Цитата(koroluk1990 @ 11.3.2016, 11:59) VPS. Причем на сервере висит 2-а проекта. Один взломали, другой нет. Но у другой самописный сайт, с хорошей защитой. У каждого сайта свои доступы к серверу, под своим логином и паролем. Ну вот всё и прояснилось , значит уязвимость в WP или в его плагинах . Вывод , обновится или пропатчить WP Так же не будет лишним просканировать взломанный сайт , Plugin Vulnerabilities , он находит уязвимости плагинах WP . https://wpvulndb.com - База уязвимостей WP Сообщение отредактировал stopxaker - 11.3.2016, 17:58 -------------------- Добро пожаловать на Stop}{akeR Поблагодарили: (1) kostyanych

« Предыдущая тема · Google · Следующая тема »

1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)

Пользователей: 0

Похожие темы

Тема	Ответов	Автор	Просмотров	Последний ответ
Ваш сайт блокирует Роскомнадзор?	27	hollywooduk	5714	17.4.2024, 0:19 автор: Omaxis
Прототипирование + дизайн + вёрстка = красивый и эффективный сайт под ключ	0	bunneh	320	16.4.2024, 18:02 автор: bunneh
Если в сайт с одними ключами, которые там долго, добавить новую рубрику с новыми ключами	2	Tutich	1208	16.4.2024, 8:27 автор: Tutich
Ищу помощника на контент-рутину (ru, ua, бурж)	11	SergeyLinkin	2932	3.4.2024, 13:14 автор: 2Index
Хороший контент от нейросети за копейки	6	satherland	667	2.4.2024, 12:47 автор: Skyworker