Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте в этой теме

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
24,597
Реакции
13,564
  • Первое сообщение
  • #1
Нашим ресурсом оказываются услуги по проверке интернет ресурсов на наличие вредоносного кода.

Прошу учесть, что помощь оказывается добровольцами и поэтому не требуйте немедленной помощи. Вам обязательно окажут помощь.

Если вы хотите проверить сайт на вирусы, то выполните простые правила оформления запроса:
  1. Администрация имеет право отказать в проверке, в случае, если проверяемый ресурс нарушает законодательство или правила данного ресурса (варез, хакерская тематика, материалы порнографического характера).
  2. Никогда не публикуйте активных ссылок. (заменяйте http на хттп, например https://safezone.cc - нужно писать как хттп://safezone.cc)
  3. Не прикрепляйте файлы, которые предлагают вам скачать подозреваемые сайты. (Просто укажите имя файла, который пытается загрузится).
  4. Если Вы подозреваете, что после посещения подозрительного сайта Ваш компьютер подвергся заражению, то лучше выполнить правила оформления запроса.

*Мы не можем гарантировать 100% результат анализа. Слишком много факторов которых невозможно учесть.
 
1. Как/чем определили детект?
при открытии файла iytutiu.php(появляются файлы на хостинге в разных папках с абракадаброй в имени файла) срабытывает nod32 и находит PHP/Agent.NFT.

2. Насколько я понимаю заражение проявляется загрузкой нового файла на FTP, верно?
ftp я отключил уже давно. Не знаю откуда вирус опять берётся.

3. Скрипт обновлен до актуальной версии?
Какой скрипт?

4. Какие плагины используются?
Akismet Anti-Spam
Contact Form 7
Customize Meta Widget
Easy Plugin for AdSense
RusToLat
WP Page Numbers
WP Sitemap Page
Yet Another Related Posts Plugin
Yoast SEO

5. Как проявляет себя заражение?
В разных папках появляются файлы с телом вируса PHP/Agent.NFT (файлы вида eyuyryer.php), также в файлах wordpress например wp-settings.php, index.php и других появляется или include (после include следует кодированный путь к файлу с расширением .ico в котором обычно ещё один вирус вида криптик).
И также в некоторых файлах в первой строке после <?php появляется длинный код, кодированный.

1. Необходимо проверить файлы на ftp, для этого используем скрипт для сайтов, не перепутайте AI-Bolit - антивирус для сайта, сканер вирусов на хостинге и сайте или сравнить с эталонными (заведомо чистый бекап или файлы скрипта)
Уже один раз выкачивал себе на комп файлы с хостинга, проверял айболитом, поудалял все вирусные файлы и include из зараженных файлов.
Но у меня нет заведомо чистого бекапа. А что такое файлы скрипта?

2. Сменить все пароли связанные с сайтом (администратора, FTP, SSH и т.д.)
Пароли все сменил, ftp вообще выключил.
Wordpess обновил до последней версии и плагины тоже. Нужно ли обновлять стандартные темы в вордпрессе?
 
Подразумевается движок сайта (в нашем случае вордпресс).
Что за хостер у вас? Нужно к нему обратиться с просьбой проверить логи и определить вектор атаки (кто и когда заливает shell). Пользователей WP проверяли, случаем не появился ли там новый администратор.

И обязательно проверьте свой компьютер на наличие вредоносного ПО, отличным от родного антивируса, например Dr.Web CureIt! — Лечащая утилита
Для ознакомления 17 способов защиты сайта на WordPress. Настройка безопасности WordPress - HOSTiQ
 
Подразумевается движок сайта (в нашем случае вордпресс).
Понятно. Да вордпресс обновлял.

Что за хостер у вас? Нужно к нему обратиться с просьбой проверить логи и определить вектор атаки (кто и когда заливает shell).
хостер джино. да попробую обратиться.

Пользователей WP проверяли, случаем не появился ли там новый администратор.
да был левый администратор, уже удалил его. Пока больше не появляется.

И обязательно проверьте свой компьютер на наличие вредоносного ПО, отличным от родного антивируса, например Dr.Web CureIt! — Лечащая утилита
да свой комп уже проверял cure it. Была какая то запись в hosts, а так всё нормально.
 
да был левый администратор, уже удалил его. Пока больше не появляется.
А вот теперь еще раз меняйте пароли и в идеале смените пароль и от БД сайта. Случаем никого не пускали к работе с сайтом? (фрилансер, приходящий админ, вообще левый паренек с сайта)?
 
Здравствуйте.
Хотела найти учебное заведение ,нашла сайт нашего ПТУ хотела посмотреть чему там учат детей. хттп://yandex.ru/clck/jsredir?bu=uniq1511095968029295645&from=yandex.ru%3Bsearch%2F%3Bweb%3B%3B&text=&etext=1610.bg9PZRH-sYKWvpbeI5gct1XrWP5GGwF25I-KpXmSm7nZElp8CwtoBa5JxYwm-jESYn29HMhgi6XRM1eQEW0VmnpcLXnAx0lnuKNBgO634tY.3e983893205dffadfd052e083d2b96d8357d3542&uuid=&state=WkI1WI4IbJHybCQJFouMIRyO-MjY1ZFm9FbLhN6cLtk4qmqxZleu_wCyHDMKm4s97Z2M_zsQbFjtD6Pp0wicHXTrVgnRQh-5GZtzY05Udpz41AbxHiECd2SbGyd_gE1O&&cst=AiuY0DBWFJ5fN_r-AEszkyQY1zUZa7gruHSk3ZaDIDMRiFebQjqSARBIHXDrCUVCBa8g4EKdQXQCSgOZxpAkobwIdZVFm5WyqfSffqwny3bEXOkzLiRTEAQhFtBRb0DGu2BwKQV3j5-QAYWNuuGAm1PV4OsBGocNgGNDYEBoWcOTbf8AhJ1orRJv53zxmYqgbZ4ihZ_83gM75G7O9xbUZGjQuyuCFkZwt_roVS-B-HA9j0woBzZBLwGI_ewCfm0hOFlpV0THoG6cbQUIyM7Ev2sM8IRM5qDuanXuzChLGRI8sVHZalOi9FGf80saokq1JuYRpqZLV07sZ-T0rMrjA3oK2NZG94jupM-e996_Xb53x8scCgiaWl2UcQfR_Ut7jHGLsUm8XnYCBIqeLhDxqTpUt4xI0jyZrnwLMtlkPI_-Iv_Rmsk1BFowUIN3RfDUAoJxZST-AdJybsI69Q67wVsR7B3jEnYRmr2QDeTqkJL2Q7KyVi5ZYh7RWWVlc2mCXd5tY8LRi3ua4CoBDcXO1jGxgN3akG9SxRsI7DXKq9UADe_2z-kA-oX7ItuyeYCqF1h8M414o_i4uF1ULbGTLT9KgfkEfo0f2jWLbvM6xt_124tC2ebvnjV6JbZgcB5AR7h6UI62RnvhyIkLp8BCEJB0ctK-Aj8AurB9kTxz287pUKmFzT9lfg,,&data=UlNrNmk5WktYejR0eWJFYk1LdmtxblA3R2xYakgtOF9QQ3hGZWc2b2dhTHBVSUFqR2tnMTFVaXhHb05wcjFZTWtuTkhFX3NUNG16R1JmTDBDb2ZtbTFjTlF2OXBhVUg5WVYwQWNqS1YxTWss&sign=3e152bc9e7616f03aa249c4d67ad6f0b&keyno=0&b64e=2&ref=orjY4mGPRjk5boDnW0uvlrrd71vZw9kps-uGm764JY99YEio8za52SFpMife1odmWC7XZ0OA9boBjejfsXHUH4SBJM1jqwwZWGQMQtKpCasAJPOHUT8_nAyZhDl5Ti3omrmD7e_caOQP4RpN_Ass4IGjITQ1Sjyjm-2noQ49g9IWbb2Y3IynAOlNbnsSUuGAJiKNcD8uIqs8VNPrW6GmB2qqI-F6mBFTJfus87oYV35mFoSzJice78vRAfZpBWDCbgMlnUjvndZbg7lQnvNWYAyQ9zReC2j-&l10n=ru&cts=1511098440550&mc=4.596439344671016

Вот так копируется ссылка.
  • на картинке видно как сайт называется

    Clip2net_171119164237.png

    В поисковике яндекс он высвечивается справа как главная реклама.

    Когда заходишь на сайт выскакивают всякие рекламы типа вулкан казино ,а потом перекидывает на другие всякие сайты.
    То есть родители которые зайдут посмотреть этот сайт они ничего не смогут прочитать.
    Насколько опасно это
 
Последнее редактирование:
marni, ни какой проблемы не видно. Сайт чистый. Проблема скорее всего на вашем компьютере. По крайней мере я проблем не увидел.
 
Последнее редактирование:
Единственное, что могу добавить, так это огромное количество рекламы которая установлена на сайте.
 
Проверьте пожалуйста мой сайт хттпс://motovilovdmitry.ru/ Совсем недавно касперский начал ругатся на сайт
"Заблокирован опасный веб-адрес хттпс://cdnlibrary.bid/api/v2/?type=stat&data=plusonet%3B3.8&465345945360"
Не пойму откуда мог взяться вирус.
На компьютере стоит антивирус касперского. Проверили мой компьютер на сайте хттп://forum.kasperskyclub.ru - вирусов не нашли.
 
Плагин майнера сами установили?
1525448215581.png


Попробуйте если не сами, отключите плагин от pluso.net, судя по всему через их скрипт майнер ставится
 
Плагин майнера сами установили?
Посмотреть вложение 39943

Попробуйте если не сами, отключите плагин от pluso.net, судя по всему через их скрипт майнер ставится
Я устанавливал только скрипт с сайта pluso.net (социальный замок) В нем были ссылки на сайт pluso.net . Нашел скрипт и удалил. Теперь все отлично, сообщение больше не выскакивает.
Спасибо.
С "Wordfence Security – Firewall & Malware Scan" я что-то не могу разобраться. Там все на английском. Гугл переводчик коряво переводит. Установил, но сканированию что-то мешает. Попробую еще завтра поразбираться
 
При открытии своего сайта в браузерах появляется непонятный объемный код
(см. картинку, на которой изображена часть этого кода).
Подозреваю, что это какой-то вирус...
Как его убрать?
doh 1.png
 
1. Хоститесь на своем сервере или обычный хостинг?
2. Проблема в самом Wordpress, вернее в его дополнениях и решать эту проблему должен администратор. Начните с отключения всех дополнений. Проверки наличия необходимых файлов для работы скрипта
 
Последнее редактирование:
Хостинг обычный - джино
Для меня это: "Начните с отключения всех дополнений. Проверки наличия необходимых файлов для работы скрипта " - темный лес.
А можно как-то подоходчивее? Что мне нужно сделать?

Хостинг обычный - джино
Для меня это: "Начните с отключения всех дополнений. Проверки наличия необходимых файлов для работы скрипта " - темный лес.
А можно как-то подоходчивее?
Что мне нужно сделать?
Как отключать дополнения?
Как проверить наличие необходимых файлов для работы скрипта?
Кстати, зайти в админку сайта я не могу
Заранее спасибо за ответ
 
Последнее редактирование модератором:
>Для меня это: "Начните с отключения всех дополнений. Проверки наличия необходимых файлов для работы скрипта " - темный лес.
> А можно как-то подоходчивее? Что мне нужно сделать?
Заходите в админку сайта, Плагины - Установленные - и отключаете все все включённые плагины. После этого проверяете проблему.
 
Запросил саппорт хостинга восстановить вход в админ панель сайта.
Если это удастся добиться, то буду пробовать определять работу установленных плагинов.
ВОПРОС: необходимо отключать плагины по одному, проверяя наличие проблемы на сайте или
сразу отключить все работающие плагины и , если проблема исчезнет, включать их по одному
до появления проблемы?
 
Запросил саппорт хостинга восстановить вход в админ панель сайта.
Если это удастся добиться, то буду пробовать определять работу установленных плагинов.
ВОПРОС: необходимо отключать плагины по одному, проверяя наличие проблемы на сайте или
сразу отключить все работающие плагины и , если проблема исчезнет, включать их по одному
до появления проблемы?
Саппорт хостинга может восстановить пароли от входа в админ панель сайта на Wordpress??

Я бы отключил сначала все, после чего смотрел наличие проблемы, дальше включал по одному. Но будьте осторожны может у вас есть жизненно важные плагины которые при отключение могут вызвать проблемы с работой сайта.
 
Саппорт хостинга может восстановить пароли от входа в админ панель сайта на Wordpress??

Я бы отключил сначала все, после чего смотрел наличие проблемы, дальше включал по одному. Но будьте осторожны может у вас есть жизненно важные плагины которые при отключение могут вызвать проблемы с работой сайта.

К сожалению САППОРТ не может мне предоставить доступ к админ панели, мотивируя тем, что он заражен вирусом.
Я, в свою очередь, не могу добраться до установленных на сайте хттп://dohodnoemecto.ru плагинов, чтобы отключить их и проверить на вирусы

Резервную копию базы данных WP я создал
Что получил см. в приложении.
Что это означает я не знаю...
 

Вложения

  • БД-1.png
    БД-1.png
    16 KB · Просмотры: 104
Назад
Сверху Снизу