Нужно удалить вирусы с двух сайтов
 

Вирусом заражены два сайта на одном аккаунте хостинга. Об одном заражении Яндекс уже сообщил. А с другого идут атаки на компьютер. Нужен человек, который их почистит. Что это может стоить?
Почта: [email]elektraq@mail.ru[/email]

Сайты на Джумле.

Яндекс иногда ошибочно ругается на вирусы

у меня когда-то ругалось на баннерный код bigbn.com.ua
Убрал код и передал им привет через саппорт. =)
Может и у вас такое.
А вообще для этого надо тупо полазить по фтп. Вряд ли оно в базе храниццо.

)) Да ну что же вы всё время на фтп грешите, ваше фтп в большинстве случаев как бы и [filolog]нах[/filolog] не нужно.

[quote=security;25859595] )) Да ну что же вы всё время на фтп грешите, ваше фтп в большинстве случаев как бы и [*****] не нужно. [/quote]
фтп - это инструмент отлова вирей. На него грешить не надоть. =))

[quote=Украинские субтитры;25867263] Цитата: Сообщение от security )) Да ну что же вы всё время на фтп грешите, ваше фтп в большинстве случаев как бы и [*****] не нужно. фтп - это инструмент отлова вирей. На него грешить не надоть. =)) [/quote]

Ух ты, а расскажите мне пожалуйста как это ? Я как то по дурости думал что фтп это протокол для передачи файлов и ни разу не видел использование фтп для поиска\отлова вирусов, при этом каких именно вирусов, локальных, удалённых, если удалённых то что в этом понятие заключается.

Если вы мне расскажите я буду очень признателен, честно. (безумно жду ответа)

6-security > Оооо, ты узнаешь много нового, Я недавно от Субтитров узнал что некоторые стандартные функции PHP - это трояны в чистом виде.

7-Kuba >ну это ещё ладно, а вот что будет когда субтритры узнаю про array_filter() и иже с ними, как их можно использовать в ацких целях

6-security > Ты не прав, Украинские субтитры-правильно сказал, фтп помимо всего используется и для отлова вирусов, просто передача файлов одна из возможностей данного инструмента. И я соглашусь с 3-Украинские субтитры > стопудово не хранится вирь в базе, а где то лежит на хостинге.

7-Kuba > А разве он не прав, для чего они вообще нужны тогда эти функции.
8-Гламурный Креведко > Ну в адских целях можно использовать и вилку, а многие функции не нужны.

3-Украинские субтитры > Подскажите пожалуйста, у меня есть 2 сайта на которых обнаружен вирус, один на вордпресс, другой на когеар, где примерно искать вирус и если у меня не получится, сколько будет стоить ваша работа.

Признаки такие, при заходе с некоторых телефонов выскакивает окно обновить браузер, оперу мини, при заходе с компьютера вроде нормально, но порой антивирус ругается. Я уже даже не знаю где искать причину.
Подскажите пожалуйста !!

Заранее спасибо за помощь.

:))))

9-Художник что рисует Дождь > вы специально троллите или тупо тупите!? :)

[quote=security;25872429]Я как то по дурости думал что фтп это протокол для передачи файлов и ни разу не видел использование фтп для поиска\отлова вирусов[/quote]
это потому что для отлова по фтп надо еще иметь и прямые руки и хоть немного мозгов.

9-Художник что рисует Дождь >Для правильной работы сайта нужны эти функции. В руках дурака и палка стреляет.

У меня тоже на нескольких сайтах были вирусы, которые показывали свой код. Уязвимости в в скриптах не нашел (может плохо искал), Просил хостера разобраться, получил ответ, что вирус был занесен по FTP, и предоставленны соответствующие логи.

Так вот, на сайте были заражены все страницы, НО вируса в папках и файлах не было. Был только вредоносный код во всех JS и HTML файлах (типичный IFRAME).

Вирус сидел у меня на компьютере, которй воровал пароли из клиентов фтп, передавал его злоумышленику, а тот в свою очередь с помощью паука, который заходил на хостинг по моим данным, открывал все файлы по маске, и дописывал в них свой код. Или просто выполнял команду :

ftp> append имя локального файла имя файла удаленной машины

Теперь как изменить все нужные файлы без использования сторонних программ.

Трояном украли пароли, заходим на сервер, окрываем главный исполняемый файл, как правило index.php и пишем в начало примерно (повторяю, ПРИМЕРНО) такой код :

$filename = рекурсивно находим все нужные файлы;
if ( is_writeable($filename) )**
$fh = fopen($filename, "file");
fwrite($fh, "зловредный код");
fclose($fh);
**

далее просто заходим по адресу сайта и он сам себе заражает все нужные файлы. Возращаем index.php в первоначальное состояние, дело сделано, опять же, вирус вы не отловили.

Если хакер молодой и неопытный, то он забудет или поленится почистить следы пребывания и тогда Вы можете отловить вирус, найти его ручками. сравнить все файлы с оригиналом, допустим в Notepad++ или другими способами, но ни как не с помощью каких либо магических свойств FTP, по фтп вы только загрузите эти файлы на свой компьютердля дальнейшей работы с ними.

[b]Не путайте понятия![/b] FTP, SSH, тунелирование, снифинг, Троян, бэкдор, эксплойт и еще куча страшных слов - это разные вещи.

P.S.
В тексте выше описан самый примитивный пример

К нам присоеденился Интелект, дискуссии продолжаются ))

11-Украинские субтитры > Так а секрет так и не откроешь??

[quote=security;25872429]а расскажите мне пожалуйста как это ? [/quote]

Как ловить вирусы ? Или ты на наших "Кривых руках" и "Безмозглых клиентах" только и живешь, А коммерческие тайны не раскрываются??

10-Искусственный Интеллект1 > Вас оскорбить или вы сразу родились умным !? Я попросил помощи и совершенно не ожидал оскорбления, если вы столь умный, пожалуйста объясните что вы пытались этим сказать.

11-Украинские субтитры > Я тоже так считаю, порой бесят вот такие люди, которые скорее всего нахватаются вершков, или залезут в википедию и тупо берут первую строчку, пытаясь показаться умным. И вновь, пожалуйста, подскажите как мне найти и сколько будут стоить ваши услуги если я сам не справлюсь.

12-Kuba > Спасибо большое за помощь и подсказку, а подскажите пожалуйста как наиболее быстро сравнить файлы в нотепад++, так как во многих сайтах много файлов, мне их каждый смотреть и как сравнивать, ведь там много кода. И как мне определить что именно этот фаил является вирусом, он имеет какое то специальное расширение ?

14-Kuba > Тут я с вами согласен, мне тоже хочется узнать как найти вирус, так как уже устал, пользователей теряю, а многие уже и деньги потеряли скачав обновление оперы.

15-Художник что рисует Дождь > для начала стоит проверять файлы с измененной датой последнего изменения. Открываем измененный и оригинальный в Notepadd++ - в меню дополнения->Compare и смотрим различия, Инструментов для массового сравнения не назову, нужно поискать.

[quote=Художник что рисует Дождь;25883399]И вновь, пожалуйста, подскажите как мне найти и сколько будут стоить ваши услуги если я сам не справлюсь.[/quote]
Пожалуйста - приват. Скидывайте мыло, отпишусь.

17-Украинские субтитры > а почему приват, я думаю многим будет интересно, может так же вы найдёте себе клиентов за исключением меня.

Причина, по которой я не хочу в приват(но написал).

1. Я не хочу чтоб между нами появилась недосказанность и по тому хочу всё на виду, простите, это подстраховка, в приват я вам дам только необходимые вам данные для доступа к хостингу, так как меня уже не раз кидали, простите .
2. Я думаю что многим будет полезна информация.
3. Я хочу узнать гарантии которые вы можете представить.
...
12. Я думаю и вам реклама будет не лишней.

Плюс утрёте этим всем умникам нос если опишите хоть примерный алгоритм поиска и способ лечение, вы один из самых адекватных, как мне кажется пользователей в данной ветке.



Я не могу отправить вам сообщение в личку, по тому продублирую сюда:

Подскажите мне, как мне при помощи фтп найти быстрее вирус, если самому не получится сколько будут стоить ваш услуги и какие вы даёте гарантии.

Спасибо.

16-Kuba > Спасибо большое, плагин скачал.

7-Kuba > ))))) Да я весь в ожидании.

8-Гламурный Креведко > Ты шО, сплюнь, сплюнь, а то ещё накаркаешь ).

9-Художник что рисует Дождь > Смешной, вы похоже друг друга стоите ).

10-Искусственный Интеллект1 > Я думаю 2, такой же профессионал.

[quote=Украинские субтитры;25882722] Цитата: Сообщение от security Я как то по дурости думал что фтп это протокол для передачи файлов и ни разу не видел использование фтп для поиска\отлова вирусов это потому что для отлова по фтп надо еще иметь и прямые руки и хоть немного мозгов. [/quote]

Ты пряморучка и человек переполненный мозгами, объясни мне дураку как, я кажется тебя не оскорблял, а пора, хотя мне кажется что школота в принципе кроме как перднуть в лужу ни чего не может и то пердит один раз, боясь усраться.

Так что самоопределяйся, или ты школота со всеми вытекающими, или ты мне сейчас ответишь на вопрос и я признаю что руки у меня из жопы, а мозгов только на то чтоб отрывки фраз запоминать. Если ты вопросов не видишь, то я тебе их могу по пунктам задать, чтоб ты вдруг не заблудился в своих рассуждениях.

Со всем уважением, Я.

18-Художник что рисует Дождь > Вы там не братья, -не !

[quote=Художник что рисует Дождь;25884142]Я не хочу чтоб между нами появилась недосказанность и по тому хочу всё на виду[/quote]
Не знаю, что там вас пугает так.
Но мне надо только, чтобы вы сделали копию того, что на ФТП, на всякий случай, или любым другим способом обезопаситься, т.к. понимаю, что давать доступ на сайт незнакомым не стоит.
А для начала мне нужен адрес сайта с описанием проблемы. Можно тоже в приват.
Если разберусь в чом грабли, то может и сами все сделаете, через тот же ФТП =))

[quote=Художник что рисует Дождь;25883399] 10-Искусственный Интеллект1 > Вас оскорбить или вы сразу родились умным !? Я попросил помощи и совершенно не ожидал оскорбления, если вы столь умный, пожалуйста объясните что вы пытались этим сказать.[/quote]

цитирую ваше сообщение

[quote=Художник что рисует Дождь;25881460] 6-security > Ты не прав, Украинские субтитры-правильно сказал, фтп помимо всего используется и для отлова вирусов, просто передача файлов одна из возможностей данного инструмента. И я соглашусь с 3-Украинские субтитры > стопудово не хранится вирь в базе, а где то лежит на хостинге. 7-Kuba > А разве он не прав, для чего они вообще нужны тогда эти функции. 8-Гламурный Креведко > Ну в адских целях можно использовать и вилку, а многие функции не нужны. [/quote]
Вы пишите какой-то бред. Функции которые обсуждаются не являются уязвимостью php, и они реально нужны. Если вы этого не понимаете, то у вас ясно мало практики.
фтп - это технология передачи данных и только, вирусы фтп не ищет.
Вы утверждаете:

> фтп помимо всего используется и для отлова
> вирусов, просто передача файлов одна из
> возможностей данного инструмента

и при этом просите Украинские субтитры найти у вас вирусы на сайте. В этом нет ли противоречий?!
И дальнейшие ваши высказывания говорят, что вам еще учиться, учиться и учиться. А не утверждать того, что вы не знаете.

На счет поиска вирусов на сайте.
Есть сканеры сайтов, которые ищут вирусы. К примеру
[url]http://vms.drweb.com/online/?lng=ru[/url]

21-Украинские субтитры > ))))

Так что там с алгоритмом, я ещё с вчерашнего дня жду.

Если тебе интересно, я я тебе тоже распишу как в моём представление стоит искать вирусы, как и то что ни один *хакер* не будет хранить вирус на хостинге, ну и про базу данных немного поведаю, хотя что ведать, иди на рдот и читай как закрепится в системе.

18-Художник что рисует Дождь > по: 21-Украинские субтитры > Даже не рискуй, только время потратишь, по крайней мере я не стал бы доверять человеку которой не может подтвердить свои сказанные же им слова и в ответ на просьбу объяснить, упрекает человека в криворукости.

И немного совета субтитрам, в большинство сайтов заливают "вирус" не используя фтп (в процентном соотношение, взлом сайтов через фтп крайне мизерный), а эксплуатируют дырку в скриптах или ПО, после чего обычно заливают шелл wso (ага, его, так как он наиболее удобный), смотрят какие файлы инклудятся к главной странице, и уже в них добавляют код\инфрейм ведущий на биржу трафика, связку сплоитов, после чего меняют дату, прячут шелл или другими способами закрепляются в системе. Про доры на ломе тебе писать ?
Про смспират тебе писать и то для чего меняют htaccess чтоб перенаправлялись пользователи или скачивали мидлеты.

А фтп, в помощь тебе [url]http://ru.wikipedia.org/wiki/FTP[/url] и использовать его ты можешь только для того чтоб сохранить или переместить файлы для дальнейшего изучения, как антивирус он тебе совершенно не пригодится.


Я всё ещё жду твой алгоритм, или это :[quote=Kuba;25883053] 11-Украинские субтитры > Так а секрет так и не откроешь?? Цитата: Сообщение от security а расскажите мне пожалуйста как это ? Как ловить вирусы ? Или ты на наших "Кривых руках" и "Безмозглых клиентах" только и живешь, А коммерческие тайны не раскрываются?? [/quote]

[quote=security;25885141]Так что там с алгоритмом, я ещё с вчерашнего дня жду.[/quote]
можешь не ждать.
Нищим подаю токо по субботам. =)

24-Украинские субтитры > Так я субботы дождусь,ты не переживай, специально к тебе подойду, ты мне хоть баксов 10 скинешь, реально на хлеб не хватает )

Только мне непонятно, при чём тут моя просьба объяснить и суббота с нищими, или ты реально настолько убогий что на тебя не стоит обращать внимание и лишь снисходительно улыбаться замечая тебя, так так бы и сказал, что же ты молчал, блаженные они завсегда в обществе более терпимы.

По тому извини если я по недоразумению тебя обидел приняв за нормального человека, только ты там поаккуратнее, пока болезнь не стала прогрессировать, да и субботы ждать не буду, зачем тебя то обирать )

[quote=security;25885308]что же ты молчал, блаженные они завсегда в обществе более терпимы.[/quote]
потому и молчал, что, как порядочный представитель общества, терпимо отношусь к таким как ты =)

26-Украинские субтитры > так ты оказывается не убогий, ты просто 3.14-здaбол, что же я никак не могу понять кто ты, загадочная ты личность, восхищаюсь, мне вот интересно ты сам себя в отражении узнаёшь ?

Стесняюсь вступить в разговор второй день... Если скажу, что эти сайты сделала сама, не зная ни HTML ни CSS, то меня, по логике некоторых, вообще можно в землю зарыть.А если признаться, что шаблоны вообще в Артистере сверстаны, то.. Даже боюсь... )) Ну время такое пришло. Люди учатся, набираются каких-то умений, знаний. И советы в инете - не последнее дело. В моем случае - интересно стало, что своими руками можно сделать сайт. Вот и научилась этому сама в 40-летнем возрасте. Тем более что школе моей нужен был ресурс, а денег, сами понимаете, нет. Поэтому пожелание к профессионалам быть терпимее к тем, кто знает и умеет меньше вас. Хотите - помогайте. Не хотите - не надо, это же добровольное дело. Ладно я. Но среди мужчин как-то странно видеть непонимание.

По поводу моих вирусов... Есть предложения, но для меня дороговато. Разве что одно более менее...Спасибо всем. кто ответил.

28-Провинциалка > Да нет, зарывать не нужно. Просто некоторые люди любят отстаивать истинно не верную точку зрения, вводят других в заблуждения и не принимают ни критику ни конструктивные советы, Да к тому же объяснить толково, да и вообще ни как не могут свою точку зрения.

Это уже вторая тема, Где поднимается вопрос вирусов на сайте. Ну не хочет человек, Который предлагает свои услуги во всех ветках форума, Учится. И Никто изначально ему не говорил про кривые руки и отсутствие мозгов, Наоборот, вежливо просили поделиться советом.

А для Вас, Провинциалка, если хотите сами все исправить, только одно решение: обновить все файлы на сервере из архивных копий , если сами делали, то значит они у вас должны быть. От вируса скорее всего избавитесь, но от повторного заражения врядли.

Кстати, после удаления вируса янекс еще дней 5 как минимум, а то и больше будет показывать предупреждения о вирусе на сайте.

Уже обновила.Яндекс вроде ничего не видит, а Гугл - видит. Проверю-ка в он-лайне...

28-Провинциалка > Да нет, вы что, вам за это почёт и уважение, я серьёзно говорю, вы двигались сами, что то сами пытались сделать и стремились хоть к каким то знаниям.
По этой причине у меня к вам нет ни какого раздражения, усмешки или попытки потролить.

По поводу ваших вирусов, конечно лучше воспользоваться услугами профессионала, но не как такого как Субтитры, так как если в системе решил закрепиться более опытный взломщик, то он может это сделать так же и через базу данных, пример как можно закрепиться в системе оставаясь как можно больше незамеченным: [url]https://rdot.org/forum/showthread.php?t=677[/url] (внимание, доктор веб на сайт ругается как небезопасным, не верьте ему) .

Но если своими руками то как уже сказал Kuba, обновить все файлы и ещё обновить саму жумлу, так как скорее всего либо через неё, либо через другие скрипты вас и взломали, по этому после обновления зайдите сюда [url]http://forum.antichat.ru/thread50600.html[/url] и посмотрите какие из компонентов установлены у вас и либо их обновляйте, либо воспользуйтесь советом оставленным там же для устранения.

Так же проверьте htaccess на подозрительные записи, так как если на ваш сайт повесили связку или инфрейм для биржи трафика, то скорее всего и изменили htaccess для мобильного трафика, через которой льют мидлеты.

Ну а после выставьте на все скрипты правильные права, просканируйте свой комп на наличие вирусов (хотя хня это по большому счёту, вирусы вполне не паляться антивирусником) и поменяйте пароли на всякий случай, но если у вас как говорит Субтитры украли только фтп и ничего другого не было взломано\угнано то ни какой это не вирус, а взломали вас либо через хостера если вы не одна пострадали у данного хостера, либо через ваши же джумлы.

[b]Теперь по поводу того что я тут пишу и говорю[/b] Этой детотчке по имени Украинские субтитры, да что объяснять, думаю и так понятно, в самом начале я его не оскорблял, даже не просил ответить, просто написал что фтп чаще всего порой не причём, мне же ответили самым идиотским ответом, на вполне нормальную просьбу объяснить как, меня объявили криворуким и тд... хотя всё видно из самого общения.
И после этого да, у меня есть желание его тролить, тролить пока не надоест или пока он мне не объяснит как при помощи фтп искать вирусы, если он мне внятно объяснит алгоритм ( а не тупо зашёл через фтп или скачал, полазил по папкам, открыл в текстовом редакторе скрипты, посмотрел на их содержимое и тд.. ведь это уже не поиск посредством фтп)поиска вирусов самим фтп, ну или признает свою неправоту можно даже произвольно, что извините, вы меня не правильно поняли, да и я не совсем хорошо знаю это, но я учусь и тд... я публично извинюсь тут, если объяснит как, то я назову себя тупорылым ламером, школотой, а так этот человек для меня убогий и школота, та школота после работы которой у его клиентов будет складываться отрицательное мнение о специалистах данной ветки, я себя к ним не отношу и вообще бываю тут набегами, когда вдруг скучно станет, но с уважением отношусь к многим, к тому же криветко, куба и тд... так как им придётся частично расхлёбывать ту кучу которою создаст подобие Субтитров, хотя я могу ошибаться в Субтитрах и могу признать это ).

Вроде бы после заливки бекапа не показывает проверка вирусов. Вот Гугл только ругается...

Всё это детский лепет. Вот вирус в виде *.so модуля для Апача, установленного через дыру в сайте, который [b]иногда[/b] вставлял в отдаваемые страницы нужный зловредный код, вот это сила. Следов в файлах и в БД сайта [b]просто нет[/b]. Отловить такой вирус, вот это уже мастерство.

[url=http://php-coder.livejournal.com/76110.html]Учитесь[/url].

33-Квадратный Круг >34-Квадратный Круг > Круто, спасибо ) Но как я понимаю, там была либо vds которая была порутана, либо порутан сам хостинг.

Спасибо за ссылку, подписался на него.

35-security > На кого ты подписался? На человека который пишет пару раз в год и не занимается вопросами информационной безопасности? Смешно.

Причём тут vds или хостинг? Так могут порутать любой сервер, хоть dedicated - дыра в сайте->локальный пользователь->эскалация привелегий до суперпользователя.

36-Квадратный Круг > То что он пишет редко должно остановить от подписки на него ? и при чём тут занимается информационной безопасностью ? я тоже не занимаюсь информационной безопасностью, но это мне не мешает мне подписаться на него и читать.

А я что написал по поводу хостинга, или мне надо было полностью алгоритм писать ?

34-Квадратный Круг > не впечатляет! :) Поинтереснее будет следующее:
[img]http://img268.imageshack.us/img268/6144/s901336065445.jpg[/img]
:)

38-Искусственный Интеллект1 > Зачет !! ))