Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте в этой теме

akok

Команда форума
Администратор
Сообщения
16,400
Реакции
13,033
Баллы
2,203
  • Первое сообщение
  • #1
Нашим ресурсом оказываются услуги по проверке интернет ресурсов на наличие вредоносного кода.

Прошу учесть, что помощь оказывается добровольцами и поэтому не требуйте немедленной помощи. Вам обязательно окажут помощь.

Если вы хотите проверить сайт на вирусы, то выполните простые правила оформления запроса:
  1. Администрация имеет право отказать в проверке, в случае, если проверяемый ресурс нарушает законодательство или правила данного ресурса (варез, хакерская тематика, материалы порнографического характера).
  2. Никогда не публикуйте активных ссылок. (заменяйте http на хттп, например http://safezone.cc - нужно писать как хттп://safezone.cc)
  3. Не прикрепляйте файлы, которые предлагают вам скачать подозреваемые сайты. (Просто укажите имя файла, который пытается загрузится).
  4. Если Вы подозреваете, что после посещения подозрительного сайта Ваш компьютер подвергся заражению, то лучше выполнить правила оформления запроса.
*Мы не можем гарантировать 100% результат анализа. Слишком много факторов которых невозможно учесть.
 

menserj

Новый пользователь
Сообщения
3
Реакции
0
Баллы
11
1. Как/чем определили детект?
при открытии файла iytutiu.php(появляются файлы на хостинге в разных папках с абракадаброй в имени файла) срабытывает nod32 и находит PHP/Agent.NFT.

2. Насколько я понимаю заражение проявляется загрузкой нового файла на FTP, верно?
ftp я отключил уже давно. Не знаю откуда вирус опять берётся.

3. Скрипт обновлен до актуальной версии?
Какой скрипт?

4. Какие плагины используются?
Akismet Anti-Spam
Contact Form 7
Customize Meta Widget
Easy Plugin for AdSense
RusToLat
WP Page Numbers
WP Sitemap Page
Yet Another Related Posts Plugin
Yoast SEO

5. Как проявляет себя заражение?
В разных папках появляются файлы с телом вируса PHP/Agent.NFT (файлы вида eyuyryer.php), также в файлах wordpress например wp-settings.php, index.php и других появляется или include (после include следует кодированный путь к файлу с расширением .ico в котором обычно ещё один вирус вида криптик).
И также в некоторых файлах в первой строке после <?php появляется длинный код, кодированный.

1. Необходимо проверить файлы на ftp, для этого используем скрипт для сайтов, не перепутайте AI-Bolit - антивирус для сайта, сканер вирусов на хостинге и сайте или сравнить с эталонными (заведомо чистый бекап или файлы скрипта)
Уже один раз выкачивал себе на комп файлы с хостинга, проверял айболитом, поудалял все вирусные файлы и include из зараженных файлов.
Но у меня нет заведомо чистого бекапа. А что такое файлы скрипта?

2. Сменить все пароли связанные с сайтом (администратора, FTP, SSH и т.д.)
Пароли все сменил, ftp вообще выключил.
Wordpess обновил до последней версии и плагины тоже. Нужно ли обновлять стандартные темы в вордпрессе?
 

akok

Команда форума
Администратор
Сообщения
16,400
Реакции
13,033
Баллы
2,203
Подразумевается движок сайта (в нашем случае вордпресс).
Что за хостер у вас? Нужно к нему обратиться с просьбой проверить логи и определить вектор атаки (кто и когда заливает shell). Пользователей WP проверяли, случаем не появился ли там новый администратор.

И обязательно проверьте свой компьютер на наличие вредоносного ПО, отличным от родного антивируса, например Dr.Web CureIt! — Лечащая утилита
Для ознакомления 17 способов защиты сайта на WordPress. Настройка безопасности WordPress - HOSTiQ
 

menserj

Новый пользователь
Сообщения
3
Реакции
0
Баллы
11
Подразумевается движок сайта (в нашем случае вордпресс).
Понятно. Да вордпресс обновлял.

Что за хостер у вас? Нужно к нему обратиться с просьбой проверить логи и определить вектор атаки (кто и когда заливает shell).
хостер джино. да попробую обратиться.

Пользователей WP проверяли, случаем не появился ли там новый администратор.
да был левый администратор, уже удалил его. Пока больше не появляется.

И обязательно проверьте свой компьютер на наличие вредоносного ПО, отличным от родного антивируса, например Dr.Web CureIt! — Лечащая утилита
да свой комп уже проверял cure it. Была какая то запись в hosts, а так всё нормально.
 

akok

Команда форума
Администратор
Сообщения
16,400
Реакции
13,033
Баллы
2,203
да был левый администратор, уже удалил его. Пока больше не появляется.
А вот теперь еще раз меняйте пароли и в идеале смените пароль и от БД сайта. Случаем никого не пускали к работе с сайтом? (фрилансер, приходящий админ, вообще левый паренек с сайта)?
 

marni

Пользователь
Сообщения
259
Реакции
38
Баллы
38
Здравствуйте.
Хотела найти учебное заведение ,нашла сайт нашего ПТУ хотела посмотреть чему там учат детей. хттп://yandex.ru/clck/jsredir?bu=uniq1511095968029295645&from=yandex.ru%3Bsearch%2F%3Bweb%3B%3B&text=&etext=1610.bg9PZRH-sYKWvpbeI5gct1XrWP5GGwF25I-KpXmSm7nZElp8CwtoBa5JxYwm-jESYn29HMhgi6XRM1eQEW0VmnpcLXnAx0lnuKNBgO634tY.3e983893205dffadfd052e083d2b96d8357d3542&uuid=&state=WkI1WI4IbJHybCQJFouMIRyO-MjY1ZFm9FbLhN6cLtk4qmqxZleu_wCyHDMKm4s97Z2M_zsQbFjtD6Pp0wicHXTrVgnRQh-5GZtzY05Udpz41AbxHiECd2SbGyd_gE1O&&cst=AiuY0DBWFJ5fN_r-AEszkyQY1zUZa7gruHSk3ZaDIDMRiFebQjqSARBIHXDrCUVCBa8g4EKdQXQCSgOZxpAkobwIdZVFm5WyqfSffqwny3bEXOkzLiRTEAQhFtBRb0DGu2BwKQV3j5-QAYWNuuGAm1PV4OsBGocNgGNDYEBoWcOTbf8AhJ1orRJv53zxmYqgbZ4ihZ_83gM75G7O9xbUZGjQuyuCFkZwt_roVS-B-HA9j0woBzZBLwGI_ewCfm0hOFlpV0THoG6cbQUIyM7Ev2sM8IRM5qDuanXuzChLGRI8sVHZalOi9FGf80saokq1JuYRpqZLV07sZ-T0rMrjA3oK2NZG94jupM-e996_Xb53x8scCgiaWl2UcQfR_Ut7jHGLsUm8XnYCBIqeLhDxqTpUt4xI0jyZrnwLMtlkPI_-Iv_Rmsk1BFowUIN3RfDUAoJxZST-AdJybsI69Q67wVsR7B3jEnYRmr2QDeTqkJL2Q7KyVi5ZYh7RWWVlc2mCXd5tY8LRi3ua4CoBDcXO1jGxgN3akG9SxRsI7DXKq9UADe_2z-kA-oX7ItuyeYCqF1h8M414o_i4uF1ULbGTLT9KgfkEfo0f2jWLbvM6xt_124tC2ebvnjV6JbZgcB5AR7h6UI62RnvhyIkLp8BCEJB0ctK-Aj8AurB9kTxz287pUKmFzT9lfg,,&data=UlNrNmk5WktYejR0eWJFYk1LdmtxblA3R2xYakgtOF9QQ3hGZWc2b2dhTHBVSUFqR2tnMTFVaXhHb05wcjFZTWtuTkhFX3NUNG16R1JmTDBDb2ZtbTFjTlF2OXBhVUg5WVYwQWNqS1YxTWss&sign=3e152bc9e7616f03aa249c4d67ad6f0b&keyno=0&b64e=2&ref=orjY4mGPRjk5boDnW0uvlrrd71vZw9kps-uGm764JY99YEio8za52SFpMife1odmWC7XZ0OA9boBjejfsXHUH4SBJM1jqwwZWGQMQtKpCasAJPOHUT8_nAyZhDl5Ti3omrmD7e_caOQP4RpN_Ass4IGjITQ1Sjyjm-2noQ49g9IWbb2Y3IynAOlNbnsSUuGAJiKNcD8uIqs8VNPrW6GmB2qqI-F6mBFTJfus87oYV35mFoSzJice78vRAfZpBWDCbgMlnUjvndZbg7lQnvNWYAyQ9zReC2j-&l10n=ru&cts=1511098440550&mc=4.596439344671016

Вот так копируется ссылка.
  • на картинке видно как сайт называется

    Clip2net_171119164237.png

    В поисковике яндекс он высвечивается справа как главная реклама.

    Когда заходишь на сайт выскакивают всякие рекламы типа вулкан казино ,а потом перекидывает на другие всякие сайты.
    То есть родители которые зайдут посмотреть этот сайт они ничего не смогут прочитать.
    Насколько опасно это
 
Последнее редактирование:

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,701
Реакции
5,003
Баллы
743
marni, ни какой проблемы не видно. Сайт чистый. Проблема скорее всего на вашем компьютере. По крайней мере я проблем не увидел.
 
Последнее редактирование:

Федя

Новый пользователь
Сообщения
2
Реакции
0
Баллы
1
Проверьте пожалуйста мой сайт хттпс://motovilovdmitry.ru/ Совсем недавно касперский начал ругатся на сайт
"Заблокирован опасный веб-адрес хттпс://cdnlibrary.bid/api/v2/?type=stat&data=plusonet%3B3.8&465345945360"
Не пойму откуда мог взяться вирус.
На компьютере стоит антивирус касперского. Проверили мой компьютер на сайте хттп://forum.kasperskyclub.ru - вирусов не нашли.
 

akok

Команда форума
Администратор
Сообщения
16,400
Реакции
13,033
Баллы
2,203
Плагин майнера сами установили?
1525448215581.png

Попробуйте если не сами, отключите плагин от pluso.net, судя по всему через их скрипт майнер ставится
 

Федя

Новый пользователь
Сообщения
2
Реакции
0
Баллы
1
Плагин майнера сами установили?
Посмотреть вложение 39943

Попробуйте если не сами, отключите плагин от pluso.net, судя по всему через их скрипт майнер ставится
Я устанавливал только скрипт с сайта pluso.net (социальный замок) В нем были ссылки на сайт pluso.net . Нашел скрипт и удалил. Теперь все отлично, сообщение больше не выскакивает.
Спасибо.
С "Wordfence Security – Firewall & Malware Scan" я что-то не могу разобраться. Там все на английском. Гугл переводчик коряво переводит. Установил, но сканированию что-то мешает. Попробую еще завтра поразбираться
 

raveal-2

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
При открытии своего сайта в браузерах появляется непонятный объемный код
(см. картинку, на которой изображена часть этого кода).
Подозреваю, что это какой-то вирус...
Как его убрать?
doh 1.png
 

akok

Команда форума
Администратор
Сообщения
16,400
Реакции
13,033
Баллы
2,203
1. Хоститесь на своем сервере или обычный хостинг?
2. Проблема в самом Wordpress, вернее в его дополнениях и решать эту проблему должен администратор. Начните с отключения всех дополнений. Проверки наличия необходимых файлов для работы скрипта
 
Последнее редактирование:

raveal-2

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
Хостинг обычный - джино
Для меня это: "Начните с отключения всех дополнений. Проверки наличия необходимых файлов для работы скрипта " - темный лес.
А можно как-то подоходчивее? Что мне нужно сделать?
Post automatically merged:

Хостинг обычный - джино
Для меня это: "Начните с отключения всех дополнений. Проверки наличия необходимых файлов для работы скрипта " - темный лес.
А можно как-то подоходчивее?
Что мне нужно сделать?
Как отключать дополнения?
Как проверить наличие необходимых файлов для работы скрипта?
Кстати, зайти в админку сайта я не могу
Заранее спасибо за ответ
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,339
Реакции
5,917
Баллы
998
>Для меня это: "Начните с отключения всех дополнений. Проверки наличия необходимых файлов для работы скрипта " - темный лес.
> А можно как-то подоходчивее? Что мне нужно сделать?
Заходите в админку сайта, Плагины - Установленные - и отключаете все все включённые плагины. После этого проверяете проблему.
 

raveal-2

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
Запросил саппорт хостинга восстановить вход в админ панель сайта.
Если это удастся добиться, то буду пробовать определять работу установленных плагинов.
ВОПРОС: необходимо отключать плагины по одному, проверяя наличие проблемы на сайте или
сразу отключить все работающие плагины и , если проблема исчезнет, включать их по одному
до появления проблемы?
 

Lunik

Активный пользователь
Сообщения
494
Реакции
116
Баллы
103
Запросил саппорт хостинга восстановить вход в админ панель сайта.
Если это удастся добиться, то буду пробовать определять работу установленных плагинов.
ВОПРОС: необходимо отключать плагины по одному, проверяя наличие проблемы на сайте или
сразу отключить все работающие плагины и , если проблема исчезнет, включать их по одному
до появления проблемы?
Саппорт хостинга может восстановить пароли от входа в админ панель сайта на Wordpress??

Я бы отключил сначала все, после чего смотрел наличие проблемы, дальше включал по одному. Но будьте осторожны может у вас есть жизненно важные плагины которые при отключение могут вызвать проблемы с работой сайта.
 

akok

Команда форума
Администратор
Сообщения
16,400
Реакции
13,033
Баллы
2,203

raveal-2

Новый пользователь
Сообщения
13
Реакции
0
Баллы
1
Саппорт хостинга может восстановить пароли от входа в админ панель сайта на Wordpress??

Я бы отключил сначала все, после чего смотрел наличие проблемы, дальше включал по одному. Но будьте осторожны может у вас есть жизненно важные плагины которые при отключение могут вызвать проблемы с работой сайта.
К сожалению САППОРТ не может мне предоставить доступ к админ панели, мотивируя тем, что он заражен вирусом.
Я, в свою очередь, не могу добраться до установленных на сайте хттп://dohodnoemecto.ru плагинов, чтобы отключить их и проверить на вирусы

Резервную копию базы данных WP я создал
Что получил см. в приложении.
Что это означает я не знаю...
 

Вложения

Сверху Снизу