Заменена главная страница на сайте - на левую. Вирус? Как лечить?

Bbb

Активный пользователь
Сообщения
9
Реакции
0
Баллы
81
Заменена главная страница на сайте - на левую (перенаправляет на чужую страницу с входом на плат. систему Пэй-Пэл). Вирус? Как лечить?
 

akok

Команда форума
Администратор
Сообщения
19,071
Реакции
13,207
Баллы
2,203
Доброго времени суток. Катастрофически не хватает информации... проблема в конкретном сайте, или у вас?
 

Bbb

Активный пользователь
Сообщения
9
Реакции
0
Баллы
81
Да, это мой сайт - посетители теперь видят левый сайт с левым адресом в адресной (когда по ссылке на мой сайт преходишь или просто набираешь адрес моего сайта в адресной - мой веб адрес тут же а в адресной меняется на адрес левого сайта.

Полагаю вредоносное ПО заменило гл. страницу на хосте.
 

akok

Команда форума
Администратор
Сообщения
19,071
Реакции
13,207
Баллы
2,203
Нужен адрес сайта, а пока больше технической информации. Сервер на хосте apache? Посмотрите в начале файл .htaccess (скрыт по умолчанию) на наличие редиректов, а так же содержимое файла index.php (html или с другим расширением).
 

Bbb

Активный пользователь
Сообщения
9
Реакции
0
Баллы
81
А как адрес сайта вам сообщить чтоб не публиковать здесь.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,621
Реакции
5,874
Баллы
1,008
Bbb, в смысле не хотите чтобы другие знали адрес вашего сайта или что?
И правила раздела вы читали? Правила раздела
 

Bbb

Активный пользователь
Сообщения
9
Реакции
0
Баллы
81
1) Вот лог Автологера.

3) А как посмотреть на наличие редиректов файл .htaccess ? (он кстати виден в папке public_html на хосте - не скрыт) "а так же содержимое файла index.php (html или с другим расширением)"?

2) В папке public_html на хосте есть подозрительные файлы (раньше я таких не помню чтоб были): даже zip файлов три появилось... paypal uk.zip xxlx.zip - этих точно не было (оба последнее изменение как раз 01.10.2015 после чего проблема и началась), и verify.zip (этот изменения имел 17.08.2015) . Да и название архива точно совпадает с переброской на paypal - точно связано с моей проблемой.
есть и index.php и php.ini (вот не скажу точно были они ранее или нет? но время их изменен и судя по данным - за месяц до изменения этих zip).
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,071
Реакции
13,207
Баллы
2,203
Правила раздела - вот тема с правилами. Вы выполнил правила раздела по лечению персонального ПК
 

Bbb

Активный пользователь
Сообщения
9
Реакции
0
Баллы
81
Я зашёл в Правила на которые мне здесь дали ссылку и выполнил то что там написано. Что не выполнил? Что не так выполнил? Что не то выполнил?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,621
Реакции
5,874
Баллы
1,008
Я зашёл в Правила на которые мне здесь дали ссылку и выполнил то что там написано. Что не выполнил? Что не так выполнил?
пройдите ещё раз по ссылке в моём посте Заменена главная страница на сайте - на левую. Вирус? Как лечить?
и почитайте, где там про автологер написано? Как заметил @akok вы выполнили правила совсем другого раздела. На те правила вам никто ссылки не давал.
 

Bbb

Активный пользователь
Сообщения
9
Реакции
0
Баллы
81
Так там же по ссылке, в Правилах, в п. 4, написано и вот это: "Если Вы подозреваете, что после посещения подозрительного сайта Ваш компьютер подвергся заражению, то лучше выполнить правила оформления запроса."

Да, я подозреваю И что комп заражен ТОЖЕ. Как и хост. Вот и сделал и это тоже. Чтобы по ВСЕМ указанным Правилам оформить запрос на лечение и хоста и компа (а иначе зачем там располагать пункты которые не относятся к разделу?).

Короче прошу: право на помощь я здесь потерял?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,621
Реакции
5,874
Баллы
1,008
Да, я подозреваю И что комп заражен ТОЖЕ.
тогда не надо путать всё вместе. Здесь помогают с заражением сайтов, а для лечения и проверки персонального компа другой раздел. Тему с логами созданными AutoLogger-ом надо выкладывать там. В тех же правилах, где вы прочитали про их создание есть и ссылка на раздел, где их надо выкладывать.
А по сайту никто вам ничего не отвечает, потому что вы ничего не говорите. Указали бы сайт можно было посмотреть и думать дальше.
 

Bbb

Активный пользователь
Сообщения
9
Реакции
0
Баллы
81
не могу сайт светить - у моего проекта много больных завистников...
закачал себе копию папки public и там нашёл в левых папках троян PHP:Agent-M [Trj] Удалять? Лечить?
 

akok

Команда форума
Администратор
Сообщения
19,071
Реакции
13,207
Баллы
2,203
Оффтоп почистил.
не могу сайт светить - у моего проекта много больных завистников...
Нет, так нет. Толком помочь не сможем. Пока опубликуйте содержимое .htaccess

закачал себе копию папки public и там нашёл в левых папках троян PHP:Agent-M [Trj] Удалять? Лечить?
Не зная движок, не могу ответить однозначно, удаляйте, но сохраните копию, если обвалится функционал.
 

Bbb

Активный пользователь
Сообщения
9
Реакции
0
Баллы
81
А как содержимое .htaccess открыть?

PS. Заголовки вот проверил (может надо):
1 HTTP/1.1 301 Moved Permanently
2 Date: Thu, 08 Oct 2015 15:03:43 GMT
3 Server: Apache
4 Location: хттр://dcbell.com/b/probe
5 Content-Length: 233
6 Connection: close
7 Content-Type: text/html; charset=iso-8859-1
8 HTTP/1.1 302 Moved Temporarily
9 Date: Thu, 08 Oct 2015 15:03:39 GMT
10 Server: Apache/2.4.12
11 X-Powered-By: PHP/5.4.43
12 Location: хттр://dcbell.com/assetss/193a8587ced52c62614b8df6f0f8f8f3d14/login/verify/Login.php?r=L2IvaW5kZXgucGhw
13 Content-Length: 0
14 Content-Type: text/html
15 HTTP/1.1 200 OK
16 Date: Thu, 08 Oct 2015 15:03:40 GMT
17 Server: Apache/2.4.12
18 X-Powered-By: PHP/5.4.43
19 Expires: Thu, 19 Nov 1981 08:52:00 GMT
20 Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
21 Pragma: no-cache
22 Set-Cookie: PHPSESSID=d1e72443d46ec50257fead9976aa12a3; path=/
23 Transfer-Encoding: chunked
24 Content-Type: text/html
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,621
Реакции
5,874
Баллы
1,008
там нашёл в левых папках троян PHP:Agent-M [Trj] Удалять? Лечить?
опять таки не видя файлов сказать трудно. Насколько я понимаю подразумеваются вредоносные вставки в легальные файлы вашего файла. Если разбираетесь, то можно удалить вручную эти вставки, если нет, то можно попытаться довериться антивирусу и нажать лечить (как понимаю под этим подразумевается удаление только вирусной вставки, а не всего файла). В любом случае делайте копию файлов до лечения. Антивирус может запороть их окончательно.
А как содержимое .htaccess открыть?
обычным блокнотом или аналогичной программой.

Если немного разбираетесь в своём движке, то ещё рекомендую воспользоваться Айболитом.
 

Bbb

Активный пользователь
Сообщения
9
Реакции
0
Баллы
81
Снова всем привет,

Манул скачал - он не распаковался из зипа в корневом каталоге (как в инструкции написано). Извлёк у себя в компе из зипа и закачал на хост папку Манул - набрал через браузер вызов Манула (тоже по инструкции) - не вызывается...

Далее Забавно:
Из папки хоста скачал все папки - просканировал и пролечил Авастом. Понял где там нечисть засела. Удалил этот файл .php с трояном из папки public с хоста. Убрал и файл .htaccess из папки этой хоста (в нём редирект стоял на левый сайт). И сайт мой вдруг появился в браузере. И вся фигня в браузерах исправилась... :)

1) Или я чего то правильное сделал.
2) Или вирус сам сообразил и спрятался.
3) Или хакеры, почувствовав, убрали.... Может пока...

Скачал перед этим все папки с хоста (на всякий).
Потом начал их у себя оглядывать, понял что все чужаки и по чуть начал удалять из хоста.
перегружая свой сайт браузером - посмотреть не повлияло ли удаление...
Почти все удалил - работает сайт.
 

akok

Команда форума
Администратор
Сообщения
19,071
Реакции
13,207
Баллы
2,203
Файл удалять не нужно было, его нужно было отредактировать. Там были прописаны блокировки по IP (я же просил опубликовать содержимое файла здесь ибо в ЛС не помогаем). Проблема в том, что непонятно как был изменен файл:
1. Нужно проверить логи сервера и понять кто и когда это сделал
2. Изменить пароли на хосте (админка, FTP, БД) т.е. все пароли связанные с администрирование

И самое важное проверить файлы на наличие закладок и shell. В идеале взять старый бекап сайта и сравнить содержимое файлов, а дальше по обстоятельствам.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,071
Реакции
13,207
Баллы
2,203
Раз наш таинственный друг покинул тему, то проблема была в записи.
PHP:
RewriteCond %{HTTP_HOST} ^.*$
RewriteRule ^/?$ "http\:\/\/dcbell\.com\/b\/probe" [R=301,L]
 
Сверху Снизу