exces

Удалить вредоносный код

32 posts in this topic

Для начала стоит обновиться до 10.x, так как на античате крайне много "тем" по взлому 9.х и более ранних. Причем ставить чистый дистрибутив, а не самопальный нулл.

на дле 10 есть дыра тоже. просто ее надо закрыть

Share this post


Link to post
Share on other sites

 

 


зайди на сайт, выбери старую новость. нажми редактировать в полной и краткой смотри нет ли левых ссылок 5 разных типа гугл, яндекс иеще пару. точно скинуть не могу так как пишу с планшета.

Есть такое.

Share this post


Link to post
Share on other sites

Есть такое.

это надо в базе даных этот код удалить и закрыть дыру, сменить пароль и пользователя. вирус будет виден в каждой новости.

Share this post


Link to post
Share on other sites

Автор темы обратился за помощью в лечении вируса. Ситуация весьма критическая (со взломом). Работаем над устранением всех последствий.

 

Также напоминаю, вы можете заказать у меня бесплатный поверхностный аудит сайта на безопасность в ветке форума 

http://talk.pr-cy.ru/topic/1639-бесплатный-аудит-безопасности-сайта/

 

Следите за своими сайтами. Начиная с июля месяца от атак ботнетов пострадало и страдает очень много сайтов на самых различных движках. В частности, проблем больше у тех вебмастеров у которых стандартный логин на вход в панель управления - admin

exces likes this

Share this post


Link to post
Share on other sites

Спасибо адекватному и знающему свое дело человеку-files . Помог в решении проблемы и заработал на пиво :) , будут проблемы, смело обращайтесь к нему.

files likes this

Share this post


Link to post
Share on other sites

Несколько слов о пациенте - зараженном сайте

 

Был закачан шелл - изменен один из служебных файлов.

Каким образом - установить не удалось, не зафиксирована дата изменения файла

С большей вероятностью причина - старая версия движка.

 

Был установлен код с биржи по покупке трафика. Сам код был прописан в engine/classes/mysql.php (настройках mysql и срабатывал он таким образом, что редиректил мобильные устройства на вирусный сайт при переходе пользователем на внутренние страницы. Код был весьма удачно модифицирован (например, 

 

/ndroi|htc_|htc-|okia|pera min|j2me|martph|pera mo|peramob|ymbian/i

 

и его не видел не один сканер для выявления подобной заразы.

 

Владельцу даны рекомендации во избежание подобных ситуаций в будущем, поставлен сканер для обнаружения файлов, в которых происходят какие-либо изменения.

ApxuBapuyc likes this

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.