Взлом, Сайт, Срочно, Помощь

#1 4 января 2013 в 14:02
Здравствуйте! Программисты сайта и так дали срочно напишите на почту mayrmen@mail.ru
Сайт взломан нужна помощь.
Деньги не проблема.
#2 4 января 2013 в 14:07
MAYRMEN, ну так самое простое письмо хостеру об откате назад сайта, перед этим если не поменены пароли на ftp себе бэкап сделать вместе с sql, при восстановлении из бэкапа хостера менять все пароли, а дальше копать как взломали…
#3 6 января 2013 в 20:04
также желательно пробежаться на предмет поиска оставленных шеллов. команда:
  1. $ find /usr -mtime +356 -daystart
выведет все файлы в папке /usr измененённые за последние 365 дней. соответственно менять папку и дату "по вкусу"
#4 7 октября 2017 в 22:05
Экспериментирую я сегодня на своем тестовом сайте (на который закрыт доступ с других айпи, кроме моего) и тут при переходе на одну из страниц меня кидает на совсем левый сайт "moneypr.ru".
Через несколько минут захожу из другого браузера на основной сайт, та же самая история. Повторить проблему не получается. Пробовал много раз переходить на страницам сайта, чистить кэш браузера и т.д. Все нормально открывается.

Проверил есть ли эта ссылка в файлах сайта и в БД. Нет. Во всяком случае в незашифрованном виде.
Кинулся проверять сайт всякими онлайн сервисами проверки, показывают что все в порядке. Антивирус хостера тоже ничего не нашел. AI-Bolit указал, что в некоторых файлах (обычно файлах в кэше) может быть вирус и привел куски кода. Но оценить насколько это отвечает действительности не могу. Также в Интернете не нашел информации о вирусе, который добавляет ссылки на этот сайт.

Вариант, что вирус на компе маловероятный, так как Линукс. Хотя завтра поставлю полную проверку компа.

Ни у кого больше нет такой же проблемы с этим "moneypr.ru"?
#5 7 октября 2017 в 23:19
BoAnRo не пугайте facepalm
теме 4 года.
#6 8 октября 2017 в 09:57
Не хотел создавать еще одну такую же тему.
Ну и тема взлома и заражения сайтов, наверно, всегда будет актуальной smile


теме 4 года.

Cтудия Sitestroi
#7 8 октября 2017 в 20:52
Потестил комп, на нем тоже нет вирусов. Сравнил версию файлов сайта на начало сентября с текущей копией, в основных файлах изменений нет. В папке upload вроде только картинки добавились. Ну и конечно, в папке cache много чего поменялось, но там файлы .dat, поэтому это ни о чем не говорит. Анализировать POST запросы пока что не берусь, поскольку не совсем понятно, когда было заражение, та и даже если что-либо интересное там увижу, это не подскажет где находится файл с кодом.

Попросил постоянных пользователей сайта сообщить если проблема у них проявится. Пока что тишина. Та и у меня больше не срабатывает этот редирект. Может все будет ок. Хотя все равно неприятна мысль, что какая-то вирусяка имеет доступ на мой сайт.
#8 30 августа 2019 в 22:13
Тогда проблема визуально не проявлялась и я закинул этот вопрос. Но вот сегодня в связи с другой проблемой попал в админке хостинга в раздел "Нагрузка по URL" и там увидел такой ужас:


Зафиксировано очень много таких редиректов.
#9 30 августа 2019 в 22:28

и там увидел такой ужас:

BoAnRo

docs.instantcms.ru/manual/components/redirect


Проверять HTTP referer


Или (что почти одно и то же) в .htaccess прописать:

  1.  
  2. RewriteCond %{HTTP_HOST} !site.ru
  3. RewriteRule (.*) - [G,L]
  4.  
где site.ru Ваш сайт
#10 30 августа 2019 в 22:39

попал в админке хостинга в раздел "Нагрузка по URL"

BoAnRo
А админка хостинга ISPManager? Не могу найти у себя.
#11 30 августа 2019 в 23:12

Проверять HTTP referer

Rainbow
Включил. Спасибо.

Но вот смотрю логи. Например,

  1.  
  2. GET /redirect?url=http://rhymbamfastmeds.cf HTTP/1.0" 200 35833 "https://csharp.love/go.php?url=https%3A%2F%2FДОМЕН-МОЕГО-САЙТА%2Fredirect%3Furl%3Dhttp%3A%2F%2Frhymbamfastmeds.cf" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.26 Safari/537.36 Core/1.63.5383.400 QQBrowser/10.0.1313.400
  3.  
и получается, что referer действительно не мой сайт. Но вообще не понимаю, зачем кому-то такое делать. Какой-то двойной редирект… Последние 3 дня нагрузка на сервер сильно выросла.

Но с другой стороны, если referer не мой сайт, значит мой сайт не взломан (эти ссылки на левые сайты не на моем сайте) и всего лишь используется страница компонента "Редиректы" моего сайта для этого двойного редиректа, который запускается совсем с другого сайта непонятно зачем...

Update: С этим разобрался.
#12 30 августа 2019 в 23:14

А админка хостинга ISPManager? Не могу найти у себя.

fincheck

Нет, у моего хостера своя очень продвинутая админка, у которой много всяких таких полезных "фишек".
#13 1 сентября 2019 в 00:01

Update: С этим разобрался.

BoAnRo
И к чему пришли? У самого похожая проблема с одним сайтом. Тупо редитектят домен.
#14 1 сентября 2019 в 07:03
Вот тоже интересует как бороться, отключил регистрацию и сделал пока только по приглашениям но выдачу юзерам этих самых приглашений отключил в планировщике и выдаю только админу. Удалил регистрации подряд с сомнительными емайлами. И вот думаю как решить, Пробовал сначала емайлы, айпи в блэклист заносить, но их слишком много и айпи тоже меняют сцуки.
#15 1 сентября 2019 в 11:41

И к чему пришли? У самого похожая проблема с одним сайтом. Тупо редитектят домен.

vikont

Поставил галочку "Проверять HTTP referer". Большое спасибо Rainbow за подсказку! После этого нагрузка на хостинг уменьшилась в 2-2,5 раза до обычных значений.
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.