Проблема Заменена главная страница на сайте. Как исправить?

Bbb

Новый пользователь
Сообщения
9
Реакции
0
Заменена главная страница на сайте - на левую (перенаправляет на чужую страницу с входом на плат. систему Пэй-Пэл). Вирус? Как лечить?
 
Доброго времени суток. Катастрофически не хватает информации... проблема в конкретном сайте, или у вас?
 
Да, это мой сайт - посетители теперь видят левый сайт с левым адресом в адресной (когда по ссылке на мой сайт преходишь или просто набираешь адрес моего сайта в адресной - мой веб адрес тут же а в адресной меняется на адрес левого сайта.

Полагаю вредоносное ПО заменило гл. страницу на хосте.
 
Нужен адрес сайта, а пока больше технической информации. Сервер на хосте apache? Посмотрите в начале файл .htaccess (скрыт по умолчанию) на наличие редиректов, а так же содержимое файла index.php (html или с другим расширением).
 
1) Вот лог Автологера.

3) А как посмотреть на наличие редиректов файл .htaccess ? (он кстати виден в папке public_html на хосте - не скрыт) "а так же содержимое файла index.php (html или с другим расширением)"?

2) В папке public_html на хосте есть подозрительные файлы (раньше я таких не помню чтоб были): даже zip файлов три появилось... paypal uk.zip xxlx.zip - этих точно не было (оба последнее изменение как раз 01.10.2015 после чего проблема и началась), и verify.zip (этот изменения имел 17.08.2015) . Да и название архива точно совпадает с переброской на paypal - точно связано с моей проблемой.
есть и index.php и php.ini (вот не скажу точно были они ранее или нет? но время их изменен и судя по данным - за месяц до изменения этих zip).
 

Вложения

  • CollectionLog-2015.10.07-19.43.zip
    69.2 KB · Просмотры: 1
Я зашёл в Правила на которые мне здесь дали ссылку и выполнил то что там написано. Что не выполнил? Что не так выполнил? Что не то выполнил?
 
Я зашёл в Правила на которые мне здесь дали ссылку и выполнил то что там написано. Что не выполнил? Что не так выполнил?
пройдите ещё раз по ссылке в моём посте Заменена главная страница на сайте - на левую. Вирус? Как лечить?
и почитайте, где там про автологер написано? Как заметил @akok вы выполнили правила совсем другого раздела. На те правила вам никто ссылки не давал.
 
Так там же по ссылке, в Правилах, в п. 4, написано и вот это: "Если Вы подозреваете, что после посещения подозрительного сайта Ваш компьютер подвергся заражению, то лучше выполнить правила оформления запроса."

Да, я подозреваю И что комп заражен ТОЖЕ. Как и хост. Вот и сделал и это тоже. Чтобы по ВСЕМ указанным Правилам оформить запрос на лечение и хоста и компа (а иначе зачем там располагать пункты которые не относятся к разделу?).

Короче прошу: право на помощь я здесь потерял?
 
Да, я подозреваю И что комп заражен ТОЖЕ.
тогда не надо путать всё вместе. Здесь помогают с заражением сайтов, а для лечения и проверки персонального компа другой раздел. Тему с логами созданными AutoLogger-ом надо выкладывать там. В тех же правилах, где вы прочитали про их создание есть и ссылка на раздел, где их надо выкладывать.
А по сайту никто вам ничего не отвечает, потому что вы ничего не говорите. Указали бы сайт можно было посмотреть и думать дальше.
 
не могу сайт светить - у моего проекта много больных завистников...
закачал себе копию папки public и там нашёл в левых папках троян PHP:Agent-M [Trj] Удалять? Лечить?
 
Оффтоп почистил.
не могу сайт светить - у моего проекта много больных завистников...
Нет, так нет. Толком помочь не сможем. Пока опубликуйте содержимое .htaccess

закачал себе копию папки public и там нашёл в левых папках троян PHP:Agent-M [Trj] Удалять? Лечить?
Не зная движок, не могу ответить однозначно, удаляйте, но сохраните копию, если обвалится функционал.
 
А как содержимое .htaccess открыть?

PS. Заголовки вот проверил (может надо):
1 HTTP/1.1 301 Moved Permanently
2 Date: Thu, 08 Oct 2015 15:03:43 GMT
3 Server: Apache
4 Location: хттр://dcbell.com/b/probe
5 Content-Length: 233
6 Connection: close
7 Content-Type: text/html; charset=iso-8859-1
8 HTTP/1.1 302 Moved Temporarily
9 Date: Thu, 08 Oct 2015 15:03:39 GMT
10 Server: Apache/2.4.12
11 X-Powered-By: PHP/5.4.43
12 Location: хттр://dcbell.com/assetss/193a8587ced52c62614b8df6f0f8f8f3d14/login/verify/Login.php?r=L2IvaW5kZXgucGhw
13 Content-Length: 0
14 Content-Type: text/html
15 HTTP/1.1 200 OK
16 Date: Thu, 08 Oct 2015 15:03:40 GMT
17 Server: Apache/2.4.12
18 X-Powered-By: PHP/5.4.43
19 Expires: Thu, 19 Nov 1981 08:52:00 GMT
20 Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
21 Pragma: no-cache
22 Set-Cookie: PHPSESSID=d1e72443d46ec50257fead9976aa12a3; path=/
23 Transfer-Encoding: chunked
24 Content-Type: text/html
 
там нашёл в левых папках троян PHP:Agent-M [Trj] Удалять? Лечить?
опять таки не видя файлов сказать трудно. Насколько я понимаю подразумеваются вредоносные вставки в легальные файлы вашего файла. Если разбираетесь, то можно удалить вручную эти вставки, если нет, то можно попытаться довериться антивирусу и нажать лечить (как понимаю под этим подразумевается удаление только вирусной вставки, а не всего файла). В любом случае делайте копию файлов до лечения. Антивирус может запороть их окончательно.
А как содержимое .htaccess открыть?
обычным блокнотом или аналогичной программой.

Если немного разбираетесь в своём движке, то ещё рекомендую воспользоваться Айболитом.
 
Снова всем привет,

Манул скачал - он не распаковался из зипа в корневом каталоге (как в инструкции написано). Извлёк у себя в компе из зипа и закачал на хост папку Манул - набрал через браузер вызов Манула (тоже по инструкции) - не вызывается...

Далее Забавно:
Из папки хоста скачал все папки - просканировал и пролечил Авастом. Понял где там нечисть засела. Удалил этот файл .php с трояном из папки public с хоста. Убрал и файл .htaccess из папки этой хоста (в нём редирект стоял на левый сайт). И сайт мой вдруг появился в браузере. И вся фигня в браузерах исправилась... :)

1) Или я чего то правильное сделал.
2) Или вирус сам сообразил и спрятался.
3) Или хакеры, почувствовав, убрали.... Может пока...

Скачал перед этим все папки с хоста (на всякий).
Потом начал их у себя оглядывать, понял что все чужаки и по чуть начал удалять из хоста.
перегружая свой сайт браузером - посмотреть не повлияло ли удаление...
Почти все удалил - работает сайт.
 
Файл удалять не нужно было, его нужно было отредактировать. Там были прописаны блокировки по IP (я же просил опубликовать содержимое файла здесь ибо в ЛС не помогаем). Проблема в том, что непонятно как был изменен файл:
1. Нужно проверить логи сервера и понять кто и когда это сделал
2. Изменить пароли на хосте (админка, FTP, БД) т.е. все пароли связанные с администрирование

И самое важное проверить файлы на наличие закладок и shell. В идеале взять старый бекап сайта и сравнить содержимое файлов, а дальше по обстоятельствам.
 
Последнее редактирование:
Раз наш таинственный друг покинул тему, то проблема была в записи.
PHP:
RewriteCond %{HTTP_HOST} ^.*$
RewriteRule ^/?$ "http\:\/\/dcbell\.com\/b\/probe" [R=301,L]
 
Назад
Сверху Снизу