Заменена главная страница на сайте - на левую. Вирус? Как лечить?

Тема в разделе "Анализ сайтов на наличие вирусов", создана пользователем Bbb, 7 окт 2015.

Метки:
  1. Bbb
    Оффлайн

    Bbb Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Заменена главная страница на сайте - на левую (перенаправляет на чужую страницу с входом на плат. систему Пэй-Пэл). Вирус? Как лечить?
     
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Доброго времени суток. Катастрофически не хватает информации... проблема в конкретном сайте, или у вас?
     
  3. Bbb
    Оффлайн

    Bbb Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Да, это мой сайт - посетители теперь видят левый сайт с левым адресом в адресной (когда по ссылке на мой сайт преходишь или просто набираешь адрес моего сайта в адресной - мой веб адрес тут же а в адресной меняется на адрес левого сайта.

    Полагаю вредоносное ПО заменило гл. страницу на хосте.
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Нужен адрес сайта, а пока больше технической информации. Сервер на хосте apache? Посмотрите в начале файл .htaccess (скрыт по умолчанию) на наличие редиректов, а так же содержимое файла index.php (html или с другим расширением).
     
    Theriollaria нравится это.
  5. Bbb
    Оффлайн

    Bbb Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    А как адрес сайта вам сообщить чтоб не публиковать здесь.
     
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Bbb, в смысле не хотите чтобы другие знали адрес вашего сайта или что?
    И правила раздела вы читали? Правила раздела
     
  7. Bbb
    Оффлайн

    Bbb Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    1) Вот лог Автологера.

    3) А как посмотреть на наличие редиректов файл .htaccess ? (он кстати виден в папке public_html на хосте - не скрыт) "а так же содержимое файла index.php (html или с другим расширением)"?

    2) В папке public_html на хосте есть подозрительные файлы (раньше я таких не помню чтоб были): даже zip файлов три появилось... paypal uk.zip xxlx.zip - этих точно не было (оба последнее изменение как раз 01.10.2015 после чего проблема и началась), и verify.zip (этот изменения имел 17.08.2015) . Да и название архива точно совпадает с переброской на paypal - точно связано с моей проблемой.
    есть и index.php и php.ini (вот не скажу точно были они ранее или нет? но время их изменен и судя по данным - за месяц до изменения этих zip).
     

    Вложения:

  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Правила раздела - вот тема с правилами. Вы выполнил правила раздела по лечению персонального ПК
     
  9. Bbb
    Оффлайн

    Bbb Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Я зашёл в Правила на которые мне здесь дали ссылку и выполнил то что там написано. Что не выполнил? Что не так выполнил? Что не то выполнил?
     
  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    пройдите ещё раз по ссылке в моём посте Заменена главная страница на сайте - на левую. Вирус? Как лечить?
    и почитайте, где там про автологер написано? Как заметил @akok вы выполнили правила совсем другого раздела. На те правила вам никто ссылки не давал.
     
  11. Bbb
    Оффлайн

    Bbb Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Так там же по ссылке, в Правилах, в п. 4, написано и вот это: "Если Вы подозреваете, что после посещения подозрительного сайта Ваш компьютер подвергся заражению, то лучше выполнить правила оформления запроса."

    Да, я подозреваю И что комп заражен ТОЖЕ. Как и хост. Вот и сделал и это тоже. Чтобы по ВСЕМ указанным Правилам оформить запрос на лечение и хоста и компа (а иначе зачем там располагать пункты которые не относятся к разделу?).

    Короче прошу: право на помощь я здесь потерял?
     
  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    тогда не надо путать всё вместе. Здесь помогают с заражением сайтов, а для лечения и проверки персонального компа другой раздел. Тему с логами созданными AutoLogger-ом надо выкладывать там. В тех же правилах, где вы прочитали про их создание есть и ссылка на раздел, где их надо выкладывать.
    А по сайту никто вам ничего не отвечает, потому что вы ничего не говорите. Указали бы сайт можно было посмотреть и думать дальше.
     
    machito нравится это.
  13. Bbb
    Оффлайн

    Bbb Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    не могу сайт светить - у моего проекта много больных завистников...
    --- Объединённое сообщение, 8 окт 2015 ---
    закачал себе копию папки public и там нашёл в левых папках троян PHP:Agent-M [Trj] Удалять? Лечить?
     
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Оффтоп почистил.
    Нет, так нет. Толком помочь не сможем. Пока опубликуйте содержимое .htaccess

    Не зная движок, не могу ответить однозначно, удаляйте, но сохраните копию, если обвалится функционал.
     
    machito нравится это.
  15. Bbb
    Оффлайн

    Bbb Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    А как содержимое .htaccess открыть?

    PS. Заголовки вот проверил (может надо):
    1 HTTP/1.1 301 Moved Permanently
    2 Date: Thu, 08 Oct 2015 15:03:43 GMT
    3 Server: Apache
    4 Location: хттр://dcbell.com/b/probe
    5 Content-Length: 233
    6 Connection: close
    7 Content-Type: text/html; charset=iso-8859-1
    8 HTTP/1.1 302 Moved Temporarily
    9 Date: Thu, 08 Oct 2015 15:03:39 GMT
    10 Server: Apache/2.4.12
    11 X-Powered-By: PHP/5.4.43
    12 Location: хттр://dcbell.com/assetss/193a8587ced52c62614b8df6f0f8f8f3d14/login/verify/Login.php?r=L2IvaW5kZXgucGhw
    13 Content-Length: 0
    14 Content-Type: text/html
    15 HTTP/1.1 200 OK
    16 Date: Thu, 08 Oct 2015 15:03:40 GMT
    17 Server: Apache/2.4.12
    18 X-Powered-By: PHP/5.4.43
    19 Expires: Thu, 19 Nov 1981 08:52:00 GMT
    20 Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
    21 Pragma: no-cache
    22 Set-Cookie: PHPSESSID=d1e72443d46ec50257fead9976aa12a3; path=/
    23 Transfer-Encoding: chunked
    24 Content-Type: text/html
     
  16. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    опять таки не видя файлов сказать трудно. Насколько я понимаю подразумеваются вредоносные вставки в легальные файлы вашего файла. Если разбираетесь, то можно удалить вручную эти вставки, если нет, то можно попытаться довериться антивирусу и нажать лечить (как понимаю под этим подразумевается удаление только вирусной вставки, а не всего файла). В любом случае делайте копию файлов до лечения. Антивирус может запороть их окончательно.
    обычным блокнотом или аналогичной программой.

    Если немного разбираетесь в своём движке, то ещё рекомендую воспользоваться Айболитом.
     
  17. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
  18. Bbb
    Оффлайн

    Bbb Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Снова всем привет,

    Манул скачал - он не распаковался из зипа в корневом каталоге (как в инструкции написано). Извлёк у себя в компе из зипа и закачал на хост папку Манул - набрал через браузер вызов Манула (тоже по инструкции) - не вызывается...

    Далее Забавно:
    Из папки хоста скачал все папки - просканировал и пролечил Авастом. Понял где там нечисть засела. Удалил этот файл .php с трояном из папки public с хоста. Убрал и файл .htaccess из папки этой хоста (в нём редирект стоял на левый сайт). И сайт мой вдруг появился в браузере. И вся фигня в браузерах исправилась... :)

    1) Или я чего то правильное сделал.
    2) Или вирус сам сообразил и спрятался.
    3) Или хакеры, почувствовав, убрали.... Может пока...

    Скачал перед этим все папки с хоста (на всякий).
    Потом начал их у себя оглядывать, понял что все чужаки и по чуть начал удалять из хоста.
    перегружая свой сайт браузером - посмотреть не повлияло ли удаление...
    Почти все удалил - работает сайт.
     
  19. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Файл удалять не нужно было, его нужно было отредактировать. Там были прописаны блокировки по IP (я же просил опубликовать содержимое файла здесь ибо в ЛС не помогаем). Проблема в том, что непонятно как был изменен файл:
    1. Нужно проверить логи сервера и понять кто и когда это сделал
    2. Изменить пароли на хосте (админка, FTP, БД) т.е. все пароли связанные с администрирование

    И самое важное проверить файлы на наличие закладок и shell. В идеале взять старый бекап сайта и сравнить содержимое файлов, а дальше по обстоятельствам.
     
    Последнее редактирование: 9 окт 2015
    machito, Kиpилл и shestale нравится это.
  20. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Раз наш таинственный друг покинул тему, то проблема была в записи.
    PHP:

    RewriteCond %{HTTP_HOST} ^.*$
    RewriteRule ^/?$ "http\:\/\/dcbell\.com\/b\/probe" [R=301,L]
     
     
    machito нравится это.

Поделиться этой страницей