Съобщение за вирус?????

От: Съобщение за вирус?????

Т'ва съобщение вече ми къса нервите. Кой ли не проверява сайта и всичко си е наред. А мине - не мине ден и някой изпищи, че има вирус. И това се случва и в двата ми сайта - novinata.net, rudozemdnes.eu
Вече не знам к'во да правя.................
 
От: Съобщение за вирус?????

mihluzin каза:
Т'ва съобщение вече ми къса нервите. Кой ли не проверява сайта и всичко си е наред. А мине - не мине ден и някой изпищи, че има вирус. И това се случва и в двата ми сайта - novinata.net, rudozemdnes.eu
Вече не знам к'во да правя.................
Увеличете...

А прегледа ли цялата информация, която ти дадох в другата ти тема, която пусна по същият този проблем? Провери ли нещата, които ти обясних? Дай малкок инфо какво направи все пак, за да може да ти се помогне
Имам предвид това:

lqllqlq каза:
Единият проблем ти е http://www.avgthreatlabs.com/webthreats/info/javascript-obfuscation/
и се решава така: http://wordpress.org/support/topic/javascript-obfuscation-how-to-remove-it
другият : http://www.avgthreatlabs.com/webthreats/info/blackhole-exploit-kit/
а тук има повече инфо:
http://wordpress.org/support/topic/blackhole-exploit-kit-how-to-remove-it
http://www.webopedia.com/TERM/B/blackhole_exploit_kit.html
http://premium.wpmudev.org/forums/topic/how-to-fix-blackhole-exploit-virus

Дано са ти от полза. И не забравяй, че най-добрата превенция е да поддържаш WP ъпдейтнат(а това означава и добавките), а не да го правиш, когато вече е твърде късно.
Увеличете...
 
От: Съобщение за вирус?????

Ами прегледах - доколкото разбрах, но ако ми дадеш повече информация ще ти бъда благодарен... тъй като явно не съм прегледал както трябва...
 
От: Съобщение за вирус?????

mihluzin каза:
Ами прегледах - доколкото разбрах, но ако ми дадеш повече информация ще ти бъда благодарен... тъй като явно не съм прегледал както трябва...
Увеличете...

А какво направи? Преинсталира ли всичко?
 
От: Съобщение за вирус?????

Не съм преинсталирал - WP ли трябва да преинсталира - аз само го ъпдейтнах.....
 
От: Съобщение за вирус?????

Всичко - тема, добавки...
 
От: Съобщение за вирус?????

Ами аз ги ъпдейтнах - това не е ли същото?????
 
От: Съобщение за вирус?????

Ако не си оправил проблема пиши ми на лично за да го погледна.
 
От: Съобщение за вирус?????

mihluzin каза:
Ами аз ги ъпдейтнах - това не е ли същото?????
Увеличете...
Не познавам WP, но много добре знам, че ъпгрейд и преинсталация са две съвършено различни неща. Имаш проблем с някакъв експлойт. Който работи на случаен принцип. Най-гадния вариант. По-лесно ще е да преинсталираш всичко, отколкото да го дириш. Даде ти се доста информация, но не забелязвам да я ползваш. Да считаме ли, че дириш на баницата мекото? И наясно ли си какво е експлойт?
 
От: Съобщение за вирус?????

Благодарен съм за информацията - просто съм на ВИЕ с повечето неща, за които говорите... Ще преинсталирам WP и ще пиша тук за резултата...
И наясно ли си какво е експлойт?
Увеличете...
Нямам представа какво е това....
 
От: Съобщение за вирус?????

В общи линии нещата са такива - проспал си ъпдейт на WP, имал си стара версия на тимтъмб-а някъде в тема или добавка, а имаше "дупка" в сигурността с този скрипт още миналата година август. И аз пострадах от същото, както и още над 30 млн WP сайта. Имаше страхотна статия по темата за вируса, които в общи линии ползва този пропуск, влиза, вика си още няколко неща от един сървър, а след това трие първоначалните файлове, което прави засичането му трудно.
След като това се случи сайтът или дразни антивирусната или не - става на случаен принцип.
Обясних ти подробно какво да провериш - виж си файловете, виж всичко. Да и на мен накрая ми писна и ПРЕИНСТАЛИРАХ на чисто. Отново казвам - прегледай си ftp логовете за викане на странни ИП-та. Като го намериш просто влез в CPanel и за всеки случай добави забрана за достъп до сайта от това ИП.
Пусни си един тест с това http://www.webpagetest.org/, което освен че тества скоростта на зареждане ти листва и на къде има заявки от сайта ти. Прегледай за нещо съмнително.
С това http://sitecheck.sucuri.net/scanner/ можеш да сканираш сайта си. Да, не е на 100% сигурно, но ако засече нещо ще видиш къде да търсиш.
И най-вече - седни и прочети статиите, които ти дадох.
 
От: Съобщение за вирус?????

Вдигам тая дърта тема само да похваля и аз този инструмент: http://sitecheck.sucuri.net/scanner/
Намери ми веднага заразените с криптиран код файлове. После показа какво са ми инжектирали и къде. Изчистих всичко, затегнах катинарите и всичко вече е наред. Без тоя инструмент не знам какво щях да правя. Направо ме спаси! Не е лошо човек да си пуска периодично сайтовете за проверка през него, че някой път гадините не се показват много и не можеш да ги усетиш. В случая обаче успях да ги хвана почти веднага и дори Google не се усети, че нещо не е било наред и не ме блеклистна.
 
От: Съобщение за вирус?????

Test каза:
Вдигам тая дърта тема само да похваля и аз този инструмент: http://sitecheck.sucuri.net/scanner/
Намери ми веднага заразените с криптиран код файлове. После показа какво са ми инжектирали и къде. Изчистих всичко, затегнах катинарите и всичко вече е наред. Без тоя инструмент не знам какво щях да правя. Направо ме спаси! Не е лошо човек да си пуска периодично сайтовете за проверка през него, че някой път гадините не се показват много и не можеш да ги усетиш. В случая обаче успях да ги хвана почти веднага и дори Google не се усети, че нещо не е било наред и не ме блеклистна.
Увеличете...

Не е особенно ефективен срещу няколко JS зарази. Ето ти tool, който открива JS проблемите: http://wepawet.iseclab.org/index.php

С този можеш да виждаш HTTP хедърите като симулираш различен реферал и user-agent : http://www.rexswain.com/httpview.html Ефективен е при зарази, които пренасочват потребителя и крадат трафик, но се активират само при определен browser (в повечето случаи IE) или при определен реферал (в повечето случаи от google/yahoo/yandex)
 
  • Like
Реакции: Test
така и така си говорим cpanel хостингите могат да предлагат Calm AV като плъгин така че може да погледнете дали вашият хостинг не го предлага и да си сканирате хоум директорията знам ли :)
 
От: Re: Съобщение за вирус?????

coolice каза:
така и така си говорим cpanel хостингите могат да предлагат Calm AV като плъгин така че може да погледнете дали вашият хостинг не го предлага и да си сканирате хоум директорията знам ли :)
Увеличете...

Ако хостинг команията няма ограничение за inodes и двама потребители спо 12-15 ГБ home директория почнат да ксанирват по едно и също време, ще има да се чудиш защо сайтовете ти зареждат по 1 минута :)
 
От: Съобщение за вирус?????

При мен имаше добавен криптиран код в .html, .php и .js файловете, който се мъчи да ползва някаква уязвимост в браузърите, за да инсталира троянски кон. На няколко места имаше и по един default.php добавен, само с криптирания код вътре. Антивирусната не ловеше самия код, но като влезеш в сайта и се пробват да те заразят тогава се задействаше. Така разбрах, че е въшлясал сайтът. Веднага го спрях през .htaccess, после си разреших само моето IP, изчистих го и накрая го пуснах.
 
От: Съобщение за вирус?????

Test каза:
При мен имаше добавен криптиран код в .html, .php и .js файловете, който се мъчи да ползва някаква уязвимост в браузърите, за да инсталира троянски кон. На няколко места имаше и по един default.php добавен, само с криптирания код вътре. Антивирусната не ловеше самия код, но като влезеш в сайта и се пробват да те заразят тогава се задействаше. Така разбрах, че е въшлясал сайтът. Веднага го спрях през .htaccess, после си разреших само моето IP, изчистих го и накрая го пуснах.
Увеличете...

Дано съм лош пророк, но ако не си разбрал как са се появили, бъди готов да изпълниш същото упражнение отново.
 
От: Съобщение за вирус?????

Имам подозрения и пипнах това онова. Ще видим какво ще стане. Същото упражнение няма да го правя отново, защото скоро няма да пипам по сайта нищо и просто ще го върна от бекъп, ако пак стане фал.
 
От: Съобщение за вирус?????

Гадно е когато и бекъп-а е вече заразен, а ти не знаеш кога са влезли. Минах по този път и ми се разказа играта преди време :)
 
Трябва да си влезнал или регистриран, за да отговориш тук.

Горе