Непонятно что твориться на хостинге

  • 26 Ответов
  • 4699 Просмотров

Майор

Уважаемые специалисты, помогите горю, пожалуйста!
Получил извещение гугла о том, что мой сайт взломан и занесён в нехорошие списки.
Предлагают устранить взлом и причины и потом просить их снова о вычёркивании сайта из черного списка.
Адрес взломанной страницы они тоже дали:
https://***.ru/avtomobili-mitsubishi-primut-uchastie-v-prestizhnyh-gonkah-takzhe-obespechat-ih-bezopasnost?WVZ3YWs1VE1rWjVXa2RWZGs1NlZYZFBSR3MxVDFaVlBYZFlWaUk
    При переходе по адресу вылетает картинка-реклама HostCMC.
    Хостинг у меня обычный, без всяких https.
    Я посмотрел в корне сайта ничего вроде похожего нет.
    В списках статей и страниц тоже нет.
    Подскажите как вылечить сайт и предотвратить подобное безобразие в будущем.

    Да, незадолго до этого приходило письмо, что у меня нарисовался новый пользователь.
    Я не обратил внимание на него, так как регистрация на сайте у меня запрещена. Может это было начало взлома.

    Из подозрительного:
    • Появился в корне сайта файл .ftpquota с содержимым
      Цитировать
      5354 146751105
    • В файле .htaccess в конце дописано
      Цитировать
      Redirect 301 /www http://***.ru
      (пока закоментировал)
« Последнее редактирование: 26 Октября 2016, 18:23:10 от Майор »

Staf4

  • Сообщений: 240
    • Просмотр профиля
    • viastyle.org
Re: Взломали сайт на Даннео 0.5.4
« Ответ #1 : 19 Октября 2016, 12:00:58 »
найти это можно только полным выкачиванием сайта.  лечить - лучше отдать тем, кто этим занимается.
файл ftpquota - от хостинга, не вредит.  строка в htaccess - зависит от того, куда редирект (если на левый сайт, то надо удалить).
чтоб не взломали на будущее - поставить антивирь, почистить комп (желательно парой-тройкой разных антивирей), поменять фтп-пароли и пароли от хостинга.  потом уже чистить сам хостинг (отдавать тем, кто этим занимается).
Пингвины ходят голышом

Майор

Re: Взломали сайт на Даннео 0.5.4
« Ответ #2 : 19 Октября 2016, 12:53:57 »
Благодарю, Staf4, за подробный ответ.
Я верно понял, что любой желающий, знакомый с соответствующей технологией, может изменить что угодно на моём сайте?
И хостер не защищает от этого?
И есть люди, которые занимаются лечением сайтов?
Тогда логично заниматься заражением сайтов именно тем, кто их потом лечит. Это ведь очевидно...  ;D

Saor

  • Сообщений: 115
    • Просмотр профиля
Re: Взломали сайт на Даннео 0.5.4
« Ответ #3 : 19 Октября 2016, 13:18:56 »
заражать сайты намного проще чем их лечить. Причем заражение приносит прибыль.
Хостинг защищает от заражения до той поры пока у вас не увели пароли. Что скорее всего и произошло.
Со скольки компов имелся доступ к FTP и Панели хостинга? Пароли на них запомнены?
Какой FTP клиент используется для внесения изменений?

Майор

Re: Взломали сайт на Даннео 0.5.4
« Ответ #4 : 19 Октября 2016, 14:50:11 »
Цитировать
Со скольки компов имелся доступ к FTP и Панели хостинга?
У меня один ноутбук.
Цитировать
Пароли на них запомнены?
Да
Цитировать
Какой FTP клиент используется для внесения изменений?
Только через веб-просмотрщик типа Опера.

Saor

  • Сообщений: 115
    • Просмотр профиля
Re: Взломали сайт на Даннео 0.5.4
« Ответ #5 : 19 Октября 2016, 15:19:22 »
Только через веб-просмотрщик типа Опера.
Оттуда скорее всего вирь и утянул пароль, ищите в первую очередь заражение у себя на компе.

Майор

Re: Взломали сайт на Даннео 0.5.4
« Ответ #6 : 19 Октября 2016, 18:31:15 »
Благодарю за содействие.

marswell

  • Сообщений: 44
    • Просмотр профиля
Re: Взломали сайт на Даннео 0.5.4
« Ответ #7 : 20 Октября 2016, 07:52:48 »
Мои действия при заражении. Действия на хостинге. Прошу дополнять знающих
1. Проверить сайт айболитом https://revisium.com/ai/

2. Проверит измененные файлы php через SSH
 
find . -type f -name '*.php' -mtime -7
за 7 дней например

3. Проверить вхождение скрытого кода через SSH
find . -type f -name '*.php' | xargs grep -l "eval *(" --color
find . -type f -name '*.php' | xargs grep -l "base64_decode *(" --color
find . -type f -name '*.php' | xargs grep -l "gzinflate *(" --color

4. Проверить логи доступа куда ломится нарушители  файлы access.log

5. Лечить

6. Сменить все пароли и не хранить нигде кроме текстовика на компе либо в почте.

7. Протестил антивирусник плюс фаервол Вирусдай https://virusdie.ru . Рекомендую. Впечатление очень положительное.  Но некоторые злые хостеры принимают его за вирус))

Если зараженных файлов много(больше 100) проще скачать весь сайт и делать все в винде.




Майор

Re: Взломали сайт на Даннео 0.5.4
« Ответ #8 : 21 Октября 2016, 18:35:01 »
Мои действия при заражении. Действия на хостинге. Прошу дополнять знающих
1. Проверить сайт айболитом https://revisium.com/ai/
Эту штуку надо закачать на сайт и запустить, правильно я понял?
Цитировать
6. Сменить все пароли и не хранить нигде кроме текстовика на компе либо в почте.
А как отключить запоминание паролей в браузере, если он теперь их автоматом обновляет?

Спартак

  • Сообщений: 10
  • RasаЯ
    • Просмотр профиля
    • Создание сайтов в Сочи
Re: Взломали сайт на Даннео 0.5.4
« Ответ #9 : 25 Октября 2016, 03:00:38 »
Была такая байда на нескольких сайтах в период Олимпиады, лучший способ восстановить из копии, хостер их каждый день делает, запущенные случаи тупо просмотром изменённых файлов, антивири мне не помогли у меня в формах и скриптах селились, одна строчка запуск стороннего скрипта просто адрес, а плодит их файлик обычно *.php, а то и несколько - где ни-будь в глубине, часто в фотках... У яши и гугла есть свои предложения, были по крайней мере, что делать. Их юзай чтоб не банили, даже если ничего не нашёл каждый день на перепроверку...
подпись в разработке...

Майор

Re: Взломали сайт на Даннео 0.5.4
« Ответ #10 : 25 Октября 2016, 12:48:27 »
Спасибо, Спартак. Обратился к хостеру за помощью.

Майор

Re: Взломали сайт на Даннео 0.5.4
« Ответ #11 : 26 Октября 2016, 14:31:42 »
На текущий момент ситуация такая.
  • Восстановление сайта на 1 сентября ничего не дало. Более ранних архивов у хостера нет.
  • Стёр весь сайт, создал один файл index.html из одного слова - заражённая ссылка с протокола https всё равно видна.
    Но это ведь не может на моём пустом сайте так быть?
    Есть какие-нибудь мысли на сей счёт, уважаемые специалисты?

Neon

  • Сообщений: 671
    • Просмотр профиля
    • Danneo CMS
Re: Взломали сайт на Даннео 0.5.4
« Ответ #12 : 26 Октября 2016, 15:17:42 »
Ну, теперь точно, тему можно переименовать.

Майор, конечно может иметь место взлом со стороны хостинга, хотя маловероятно.
Это, можно проверить,
если хостинг шаред и на одном ip-адресе сидят еще сайты кроме вашего, найти сайты соседей, и посмотреть на предмет эксплойтов.

Если эксплойт записывается сразу после создания одного единственного файла, то наиболее вероятно у злоумышленника имеется доступ к вашему серверу по ФТП.
Удаленный скрипт (робот) периодически обращается вашему серверу, и вносит записи в файлы на правах пользователя.

С 99% вероятностью, пароли могли увести с компа, из браузера или FTP-клиента.
Проверьте логи доступа к серверу на предмет посторонних запросов.

Удалите FTP-клиент с компа, и смените пароль ФТП.
После этого, еще раз проведите эксперимент с единственным файлом.
DANNEO ™

Майор

Re: Взломали сайт на Даннео 0.5.4
« Ответ #13 : 26 Октября 2016, 15:47:58 »
Спасибо, Неон, за ответ. Наверное я уже не в теме, очень похоже.
Я поищу как можно найти сайты соседей и проверить их.
Я поищу, что значит эксплойт и почитаю про это тоже.

Я не пойму куда этот эксплойт записывает, если у меня в директории ничего нет, кроме индексного файла?

Лог я смотрел, он забит чем-то подобным:
Цитировать
157.55.39.176 - - [26/Oct/2016:15:16:09 +0300] "GET /up/photos/album/boys/timur_jabiev.jpg HTTP/1.0" 404 312 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
И больше ничего в течение дня не было. Только обращения к картинкам, часто не существующим.

FTP-клиентом я не пользуюсь, только через просмотрщик.
Пароли все сменил - доступ в ISP, FTP (стёр бы его вообще, но не знаю, стоит ли).

Скачал весь сайт, который был с Даннео - не нашёл слов, имеющихся на вирусной странице.
Скачал базу - в ней тоже нет слов с вирусной страницы.

Вирусная страница - какой-то промежуточный шаг установки HostCMS с требованием добавить ее в админке.
Ссылки только на официальную страницу этой КМСки, остальные ссылки в несуществующую админку на моём сайте.

Где ссылки или текст может храниться, если у меня их нет, вот в чём вопрос?

Staf4

  • Сообщений: 240
    • Просмотр профиля
    • viastyle.org
Re: Взломали сайт на Даннео 0.5.4
« Ответ #14 : 26 Октября 2016, 16:26:33 »
а ссылку можно вирусную сюда?  на этот единственный почти пустой файл.  может мы вообще о разных вещах говорим
Пингвины ходят голышом