Мобильный вирус. Найдено! Куда копать?

Тема в разделе "Общие вопросы оптимизации", создана пользователем Marketologov, 11 фев 2013.

Статус темы:
Закрыта.
  1. Marketologov

    Marketologov На форуме с: 6 фев 2011 Сообщения: 2.068

    Недавно пожаловались что заходя на сайт с мобильника появляется страница с требованием обновления флэш плеера.

    Проверил, действительно.
    Нажав кнопку "обновить" выскакивает сообщение о блокировки вируса.

    Проверил htaccess после всех записей через строк 100 нашел левый редирект на мобильниках, на непонятный сайт.
    Удалил.

    Но вот теперь думаю куда копать?

    На сайте был вирус (другой не мобильный) уже удаляли, меняли доступы в декабре.
    Неужели опять менять? Может вопрос глупый, взломать могли где угодно.
    Но все таки у кого такое было?

    Вроде кроме меня на фтп никто не заходит. У меня пароли не сохраняются. Сайт на битриксе, по идее там защита хорошая должна быть на движке.

    Проблема в хостинге Мастрехост?
  2. melihovgv

    melihovgv На форуме с: 25 июл 2011 Сообщения: 1.507

    Marketologov, а есть сторонние модули? Или идет только стандартная комплектация?
  3. Chudenkov

    Chudenkov На форуме с: 12 ноя 2010 Сообщения: 1.915

    Marketologov, FTP пароль меняли? Много сайтов на аккаунте?
  4. melihovgv

    melihovgv На форуме с: 25 июл 2011 Сообщения: 1.507

    Marketologov, попробуйте поискать функцию eval в файлах.
  5. Marketologov

    Marketologov На форуме с: 6 фев 2011 Сообщения: 2.068

    только битрикс, ничего левого

    Меняли в декабре. На аккаунте только один сайт
    Сейчас то можно сменить. Но если уже меняли, значит есть где то лазейка
  6. melihovgv

    melihovgv На форуме с: 25 июл 2011 Сообщения: 1.507

    Marketologov, попробуйте поставить серверный пароль на папку админки, либо вообще перенести ее на другой домен. Обычно находят лазейки через визуальные редакторы.
  7. Marketologov

    Marketologov На форуме с: 6 фев 2011 Сообщения: 2.068

    думаете проблема в админке?
    все таки редирект был в htaccess

    это должен быть отдельно файл?
    просто записей типа eval('DATA = ' + data); навалом в файлах
  8. melihovgv

    melihovgv На форуме с: 25 июл 2011 Сообщения: 1.507

    Marketologov, нет обычно в файлах сидит. Вот тут можете почитать про вирусы с помощью данной функции.

    ---------- Сообщение добавлено в 15:56 ---------- Предыдущее сообщение размещено в 15:54 ----------

    Ну чтобы произвести запись в htaccess, нужно получить доступ к сайту через:
    - админку
    - фтп
    - хост
    В моем понимание, злоумышленнику легче найти дыру в cms. Тем более, структуру данной cms можно найти в интернете.
    1 человеку нравится это.
  9. leshii

    leshii Модератор На форуме с: 4 сен 2011 Сообщения: 2.539 Команда форума

    машины, с которых есть доступ на вирусы проверялись?
    Сам сервер на наличие шеллов?
  10. Marketologov

    Marketologov На форуме с: 6 фев 2011 Сообщения: 2.068

    по идее за последнее время только я заходил на фтп. хотя владельцы редактировали через админку сайт.

    Проверял свой комп, проверял сайт на вирусы (скачивал)
    Искал 'eval' {} - не нашел.

    Сам хостингом не занимаюсь. Он в компетенции владельца сайта. Но насколько я слышал, Мастерхост не предоставляет логи.

    Вообщем пока действий никаких предпринимать не буду. Даже доступы не менял в этот раз. Если что-то повторится, то буду рекомендовать, что бы владельцы теребили хостеров. Все таки мне кажется у них проблема.
  11. Chudenkov

    Chudenkov На форуме с: 12 ноя 2010 Сообщения: 1.915

    Marketologov, а я бы ядро сменил.
  12. Marketologov

    Marketologov На форуме с: 6 фев 2011 Сообщения: 2.068

    Chudenkov,
    Что за ядро?)
    Я в хостингах не оч разбираюсь. Ядро процессора сервера?
    Я так понимаю для этого на новый тариф нужно переходить?
  13. Chudenkov

    Chudenkov На форуме с: 12 ноя 2010 Сообщения: 1.915

    Marketologov, нет. CMS копай, я думаю, что косяк там. Если ты FTP менял и у тебя нет проблем на компьютере, а доступ только у тебя, то проблема в ядре. Ядро в данном случае это CMS.
    1 человеку нравится это.
  14. leshii

    leshii Модератор На форуме с: 4 сен 2011 Сообщения: 2.539 Команда форума

    Шелл - это не твой вирус, который редиректит, а троян для удаленного доступа к фтп. Фактически, ты можешь менять пароли хоть 10 раз в день, там твой пасс/логин вообще не используется. Я, например, ставил себе такую штуку для эксперимента http://forum.antichat.ru/thread103155.html (только версия кажись по-свежее была.)
    Но если скачанный сайт проверял, то по идее быть не должно.
    1 человеку нравится это.
  15. Marketologov

    Marketologov На форуме с: 6 фев 2011 Сообщения: 2.068

    Вообщем нужно было логи требовать у хостеров... но уже поздно, да и как я почитал они не предоставляют их...

    Если повторится будет требовать объяснить причину.
    Программист говорит, что возможно могли найти доступ с локального компа. У меня доступы на облачном хранилище лежат. Да и то в 10 папок запихнуты. Могли найти? В декабре доступы еще по почте приходили.
    Вы где доступы храните? На листочке всетаки не оч как то.
Similar Threads
  1. nik
    Ответов:
    1
    Просмотров:
    606
  2. Маруся
    Ответов:
    16
    Просмотров:
    1.415
  3. Henori
    Ответов:
    3
    Просмотров:
    898
  4. Нелечка
    Ответов:
    5
    Просмотров:
    515
  5. Анна
    Ответов:
    4
    Просмотров:
    782
Загрузка...
Статус темы:
Закрыта.