Отключили сайт, нужна помощь

#16 14 марта 2017 в 21:51
До этого сайт работал больше года со всеми теми файлами и скриптами, которые они потребовали удалить, никаких претензий не было и вдруг нате вам.

Проверил на вирусы последний бэкап, все чисто
#17 14 марта 2017 в 21:59
Подскажите, за что отвечает удаленный файл Plugins / p_ckeditor / editor / plugins / oembed / libs / jquery.oembed.min.js?
#18 14 марта 2017 в 22:01


Подскажите, за что отвечает удаленный файл Plugins / p_ckeditor / editor / plugins / oembed / libs / jquery.oembed.min.js?

al955

это js файл он не может быть 100% угрозой для взлом… Вам нужно искать бэкдор или шелл на сервере.
#19 14 марта 2017 в 22:07
Способы поиска?
#20 14 марта 2017 в 22:15

Способы поиска?

al955
залить файлы на компьютер и проверить антивирусником, как минимум. Хостер Вам может писать о файлах которые нагружают сервер, но не обязательно, что именно они заражены. Они могут управляться сторонними скриптами залитыми хакерами.
#21 14 марта 2017 в 22:18


Способы поиска?

al955
залить файлы на компьютер и проверить антивирусником, как минимум. Хостер Вам может писать о файлах которые нагружают сервер, но не обязательно, что именно они заражены. Они могут управляться сторонними скриптами залитыми хакерами.

Владимир С

Залил и проверил уже двумя разными, в том числе каспером. Все чисто
#22 14 марта 2017 в 22:23
Нашел на сайте такое: components/dezzo/ В 1.10.6 такого не помню. Это что?

В чистой 1.10.7 тоже такого нет

состоит из 2 файлов: фронтенд и инсталл

содержание файла фронтенд:

<?php

if(!defined('VALID_CMS')) { die('ACCESS DENIED'); }
cmsCore::error404();

?>
#23 14 марта 2017 в 22:25

Способы поиска?

al955
Я уже выше предлагал простой способ — скачиваете текущие файлы сайта и сравниваете их с чистой (свежеустановленной) cms той же версии с помощь какой-нибудь Merge-программы. Все отличающиеся от оригинальных файлов подозреваешь и просматриваешь ручками


Нашел на сайте такое: components/dezzo/

al955
Это вроде от шаблона letsgo
#24 14 марта 2017 в 22:53

Нашел на сайте такое: components/dezzo/ В 1.10.6 такого не помню. Это что?

al955

Это компонент шаблона. Вычислить вирусы: скачайте сайт на компьютер, установите windowa aibolit — прогоните на проверку, почистите и перезалейте сайт.
#25 14 марта 2017 в 23:43
Прогнал айболитом.Ничего подозрительного не заметил. Удалил кое-чего на всякий случай. Айболит кстати в списке файлов, которые могут быть вредоносными или хакерскими скриптами, выдал пару картинок jpg shock
#26 14 марта 2017 в 23:57

выдал пару картинок jpg

al955
именно картинок или файлов с расширением jpg? неплохо бы проверить
#27 15 марта 2017 в 00:01
можно еще смержить файлы по размеру
#28 15 марта 2017 в 01:42
Найти бэкдор возможно по логу сервера посмотреть какими GET и POST запросами обращались к сайту..

Да часто бывают вирусы с расширением .jpg просто. Проверить это можно просто. Запустив картинку через браузер и если она не откроется тогда это вредоносное ПО. Хотя может и открыть, тогда прост через блокнот открыть картинку и если есть PHP код тогда это вирус.
#29 15 марта 2017 в 11:17

Найти бэкдор возможно по логу сервера посмотреть какими GET и POST запросами обращались к сайту..

@ONi
Если сайт популярный, потеряетесь в логах hoho
#30 16 марта 2017 в 00:30


Найти бэкдор возможно по логу сервера посмотреть какими GET и POST запросами обращались к сайту..

@ONi
Если сайт популярный, потеряетесь в логах hoho

Sonat

Предложите другой вариант :)
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.