X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Помогите обнаружить источник вируса на сайте
duoseo
duoseo
Topic Starter сообщение 22.7.2012, 21:00; Ответить: duoseo
Сообщение #1


Проблема: к старым, уже опубликованным статьям сайта на WP каким-то "магическим" образом дописываются ссылки, дописываются в конце статьи, дописываются коряво, и всегда на одних и тех же ребят, на сайт www.rtours.ru, но с разными анкорами. Причем НЕ дописывают сразу к сотням статей, а раз в несколько дней выбирают одну старенькую, и к ней дописывают, я вижу, какую статью именно выбрали, только благодаря файлу sitemap, т.к. он при обновлении материала на сайте, сам же тоже обновляется, сразу иду редактирую, и проблема исчерпывает себя, потом через несколько дней, снова повторяется, но уже с другой статьей, и все идет по кругу, меняются статьи, я их исправляю обратно.

Что имею: уже сам исследовал вдоль и поперек сайт, найти источник проблемы не смог, права на управление файлами темы стоят нормальные, доступ никому не предоставлял для редактирования, подгружаемых скриптов не заметил, тема на сайте стоит уже год, проблема появилась месяц назад.

Пациент: сразу дам ссылку, на страницу, которую буквально 20 минут назад снова постигла эта участь, я ее еще не исправлял до исходного состояния, возможно при виде эффекта проблемы, кто то сможет подсказать в чем дело - http://czlife.ru/unicredtit-bank/

Сообщение отредактировал duoseo - 22.7.2012, 21:02
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
OMGet
OMGet
сообщение 22.7.2012, 21:19; Ответить: OMGet
Сообщение #2


теперь понятно откуда у этих ребят ТИЦ 1100
По вашему вопросу помочь наврятли смогу, но вы обратитесь к хостеру, на котором у них сайт пожалуйтесь, CJSC MasterHost


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
duoseo
duoseo
Topic Starter сообщение 22.7.2012, 21:37; Ответить: duoseo
Сообщение #3


Спасибо, хостера уже оповестил о чудесах. Наверника сами www.rtours.ru не в курсе происходящего, заказали продвижение у какого-то оптимизатора, и вот так им продвигают их сайт по нужным запросам, у каждого свои методы, меня больше волнует, каким методом они смогли прокрасться в мои статьи.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
diks
diks
сообщение 22.7.2012, 21:40; Ответить: diks
Сообщение #4


duoseo, несколько советов:
1. сменить ароли к: имеилу, биллинг панели хостинга, всем админам сайта.
2. путь к админке у вас такой: ваш_сайт/wp-admin/. смените адрес на такого типа: ваш_сайт/9vbere9erb8565erb656erb3eb6/ и запишите гденибудь.


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
eduarddis
eduarddis
сообщение 22.7.2012, 21:44; Ответить: eduarddis
Сообщение #5


Вполне возможна кража через ФТП-клиента, доступ к фтп смените (пароль). Плюс скачайте бэкап сайта на ПК и проверьте на наличие в файлах сайта rtours.ru через notepad ++.
Личный опыт, правда с ДЛЕ. Хостеры, кажется, такими делами не занимаются, хотя кто их знает... Но джино точно нет.

Сообщение отредактировал eduarddis - 22.7.2012, 21:46


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
duoseo
duoseo
Topic Starter сообщение 22.7.2012, 21:59; Ответить: duoseo
Сообщение #6


Diks, спасибо, действительно пароль к админке давно не менялся. Поменял сейчас на новый, и на почте тоже поменял. Посмотрим, принесет ли это плоды.

Eduarddis, поиск по файлам сайта ничего не дал. Примечательно, что на фтп аккаунте есть несколько других проектов, в которых, тоже поидее было бы им интересно ссылку поставить, однако другие сайты такой проблемой не страдают. Сейчас с OMGet думаем, что возможно это "ручная работа", украли доступ к админке и постят ссылки, но что то уж слишком коряво это все делается, слетают тэги которые были изначально (вставка картинки, жирность и т.п) так что и про кражу пароля мало похоже, скорее всего это автоматически происходит, но вот как, это пока небольшая загадка.

Сообщение отредактировал duoseo - 22.7.2012, 21:59
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Rampage
Rampage
сообщение 22.7.2012, 22:11; Ответить: Rampage
Сообщение #7


у меня есть подозрение что пишут прямо в базу данных, попробуйте сменить пароли и посмотрите будет ли это повторятся если да может быть заражен сам двиг, да и не мешалобы логи сервера смотреть за даты изменений


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
anevrine
anevrine
сообщение 22.7.2012, 22:17; Ответить: anevrine
Сообщение #8


Может быть постят через mysql например через phpmyadmin Отсююда корявость. Дописывают в начало и вконец. Дописывает возможно скрипт по крону. Ищите на ФТП исполняемые файлы, либо вызов внешнего файла. На дату файла смотреть смысла нет.
Скорее всего у Вас увели пароли. Сменить все поголовно!
ПРоверить компики где прописаны пароли антивирусом, лучше несколькими. Есть вирусы которые например каспер пропускает. Был инцидент. Вирус не вспомню, но каспер не отрабатывал. С Дрвебом такое еще чаще.
Если не справитесь - послезавтра велком в личку.

Так же надо посмотреть на бекдоры на сайте. Если есть - смена пасса не спасет.
В новых новостях нет = полуавтомат, либо по таймеру.
Руками маловероятно - легче бедор сделать.

Сообщение отредактировал anevrine - 22.7.2012, 22:18


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
prftc
prftc
сообщение 22.7.2012, 22:17; Ответить: prftc
Сообщение #9


если на хостинге установлен clamav, попросите хостера его запустить для проверки всех скриптов.
у меня одного клиента удалось таким образом "вылечить", так как clamav нашёл бэкдор.

Сообщение отредактировал prftc - 22.7.2012, 22:18


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
House
House
сообщение 22.7.2012, 22:33; Ответить: House
Сообщение #10


Шо вы городите народ ?

Самый постой вариант - переустановить wp. Именно удалить полностью, а потом установить.


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Горячая тема (нет новых ответов) CryptoCloud — прием USDT, BTC, ETH, LTC на любом сайте
34 CryptoCLoud 10077 18.3.2024, 16:56
автор: CryptoCLoud
Открытая тема (нет новых ответов) Странный трафик на сайте длительное время
26 TABAK 7530 16.3.2024, 17:31
автор: Boymaster
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыБыстрый и качественный обмен на сайте Baksman.org
Обмен Bitcoin, BTC-e, PM, Qiwi, Yandex money, Карты банк
51 Baksman 33208 15.3.2024, 21:14
автор: Baksman
Открытая тема (нет новых ответов) Помогите вспомнить рекламного бота Телеграм для обмена рекламой
0 Mixatraider 692 21.2.2024, 23:42
автор: Mixatraider
Открытая тема (нет новых ответов) Алтуально ли заработок на сайте?
Оцение пожалуйста идею
10 hitman20 1780 1.2.2024, 5:37
автор: Liudmila


 



RSS Текстовая версия Сейчас: 29.3.2024, 9:17
Дизайн