Лечение вирусов на сайте

[Владимир Миронов]

Кто-нибудь знает как лечить вирусы на сайте после хакеров? Есть ли какие проги сравнения например файлов со здорового сайта (бэкап) и уже заражённого? Тогда будет видно какие файлы добавились или изменились и можно их удалить.

 

[Jumuro]

Для сравнения файлов отлично подходит Araxis

 

[Владимир Миронов]

я пользовался им для сравнения шаблонов при обновлении версии. А он может сравнивать папками, в которых множество ещё подпапок и файлов.
У тебя были случаи взлома и оставления вирусов? Для компа например есть антивирусник. А есть ли для сайта подобное. Ведь, если скачать все папки и проверить каспером, то он ничего не покажет наверное?

 

[Jumuro]

Дело в том, что я не пользуюсь шаред-хостингом - у меня свои сервера.
Проверяю директории целиком антивирусом прямо на сервере.
Еще некоторые хостеры так же дают такую возможность. Если панель ISPmanager, то там в менеджере файлов есть чудо-кнопка "Антивирус".
Вообще относительно антивирусов - тут все зависит от типа "заражения" и, соответственно, не всегда он может что то найти.
А Araxis да, может целые папки сравнивать, что очень удобно.

 

[Владимир Миронов]

Вот нашёл скрипт, который проверяет сайт на всякую дрянь

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

 

[lev76g]

Владимир Миронов, я обычно скачиваю все на ком и все проверяю авастом шелки он находит ну и так визуальную провереку делаю и просматриваю все папки на подозрительные файлы, если все чисто заливаю обратно на хост. Для ворлдпресса есть модули которые сканят шаблоны на подозрительный код и всякие моды защиты. Не знаю есть ли такие для ксюхи

 

[Topmuk]

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

проверяет на подозрительные скрипты, мб кому то интересно будет, а вирусы проверяю в isp менеджере . ..

 

[abs0lut3]

Под *NIX SHELL лучше clamav не найти, имхо....

 

[Alek]

Тоже столкнулся вирусом на сайте.
С моего сайта перебрасывает на страницу спам-рекламы, заблокировал ip-адреса на хостинге не помогло. Как удалить вирус на сайте??? :(

 

[dreyti]

Если у Вас хороший дорогой хостинг то обычно в админке хостинга есть возможность проверки антивирусом.
Возьмите за правило делать регулярный бекап сервера или настройте бекап на cron'e это сэкономит время и нервы. Куда проще залить бекап чем искать где и кто напакостил.
Так же lev76g, посоветовал способ выкачать содержимое фтп и проверить Авастом. Стоит заметить что подойдет любой антивирус с новыми базами.
Кроме того abs0lut3, посоветовал clamav антивирус из мира Linux. Можно создать виртуальную машину и проинсталить любой простой дистрибутив linux например ubuntu или mint (оба основаны на дистрибутиве debian) и установив антивирь проверить выкачанное содержимое фтп.

Антивирь в названных дистрибутивах ставится командой sudo apt-get install clamav из командной строки либо из графической программы установки Synaptic (ну или любой другой графической тулзой).

Igisimbaev, скорее всего у вас редирект в .htacces файле на сервере (учтите 'этот файл может быть скрытым поэтому если используете фтп менеджер убедитесь что он показывает скрытые файлы в FileZilla Пункт "Сервер" -> Принудительно показывать скрытые файлы) . Либо редирект дописан в index.php в самом начале файла.

 

[tirpix]

При копировании файлов форума, внутри хостинга, от провайдера пришло письмо:

Наша система антивирусной защиты обнаружила на вашем хостинге *.net вредоносное ПО в файлах:

/internal_data/attachments/11/11273-08248c6546e7865fdddac7efa277ef06.data
ClamAV detected virus = [Win.Virus.Sality-6827204-0]
Файлы были перемещены в карантин.

Проверил средством поиска вирусов, что в админке хостинга - нашёлся один вирус:
public_html/internal_data/attachments/11/11273-08248c6546e7865fdddac7efa277ef06.data
переместил в карантин.
Вопрос, что лежит по этому пути, вложения в сообщения?

 

[Hope]

Да, вложения.

 

[tirpix]

Да, вложения.

Есть возможность узнать к какому сообщению на форуме они относятся?

 

[Hope]

Через БД, но Вам оно не надо...

 

[Mirovinger]

Браузер вложений, по ид - 11273 посмотрите там.

 

[Hope]

Всё там нормально, не парьтесь.

 

[Smalesh]

Обычно на салити внятный детект. Имхо.

 

[Len]

Сейчас бы авастом все проверять?

 

[GeorG]

Есть возможность узнать к какому сообщению на форуме они относятся?

Проверил средством поиска вирусов, что в админке хостинга - нашёлся один вирус:
public_html/internal_data/attachments/11/11273-08248c6546e7865fdddac7efa277ef06.data

Пост ищется через запрос (например, и видимо вам удобнее будет через phpmyadmin, если через консоль, то тоже ничего в нём не меняется). Из имени берутся начальные цифры, ID вложения, тут это - 11273

SELECT content_type, content_id FROM xf_attachment WHERE data_id = 11273

В итоге получаем ID сообщения, если оно имеет тип post, то это обычное сообщение на форуме, и к нему можно перейти по ссылке, в нашем случае, это будет https://ваш домен/posts/262105/

Если тип другой, то там по ситуации, например, там может быть:
conversation_message - вложение из переписок
resource_version - ресурсы
blogs - если установлен блог
и.т.д.

 

[Captain]

GeorG,

Браузер вложений, по ид - 11273 посмотрите там.