Перенаправление на запрещенный контент

Главные вкладки

Аватар пользователя JaguarRUS JaguarRUS 11 сентября 2016 в 10:23

На сайт загружен непонятный код. Есть страницы с перенаправлением на порно. Чем скаинировать сайт на зараженные файлы и как убирать плохие ссылки?
Список зараженных файлов (примерн) прикрепил. Сканировал касперким.
Помогите пожалуйста.

ВложениеРазмер
Иконка изображения spisk_zarazh_faylov.png452.11 КБ

Комментарии

Аватар пользователя Studio VIZA Studio VIZA 11 сентября 2016 в 11:22

Во-первых - обновить сайт и модули.

Закрыть фтп и поменять пароли на сервер и все сайты.

Убейте всё, что выглядит чужеродным, делайте архивы, некоторые файлы будут удалены ошибочно.

Скачайте потом айболит, и, если позволит сервер - просканируйте им.

Аватар пользователя JaguarRUS JaguarRUS 11 сентября 2016 в 15:53

1. А как узнать что чужеродное а что нет? У нас стоит плагин друпал который проверяет целостность системных файлов, но где он лежит и как называется я уже не вспомню сейчас.
2. Что значит делайте архивы?
3. "некоторые файлы будут удалены ошибочно" иными словами по любому нужные файлы постардают и на сайте может что-то не работать?

Аватар пользователя Studio VIZA Studio VIZA 11 сентября 2016 в 17:07

JaguarRUS wrote:

А как узнать что чужеродное а что нет?

admin.php например, ну явно неродной. Проходите по списку, в сомнительном месте сайт начинает конвульсии, восстанавливаете файл из бэкапа, и продолжаете чистку дальше, отметив файл для дальнейшего рассмотрения.

Аватар пользователя tlito tlito 11 сентября 2016 в 21:59

все файлы в логах кроме sites/ag
просто удалите.
если у вас есть такой сайт ag, то чистите, а если нет то удалите их.

самый надежный вариант:
удалите всё кроме sites
и закачайте ядро заново.
а в sites/all/modules и в других паапках сайтов тоже -- удалите все модули и перезалейте по-нонвой.
в папке картинок для всех файлов удалите право исполнения то есть
chmod 644 -R sites

ну и пароли меняйте админские, пересмотрите права закачки файлов если у вас много пользователей.

Аватар пользователя gun_dose gun_dose 12 сентября 2016 в 10:02

Копируйте сайт, поднимайте локально и локально же чините. Как было сказано выше, самое главное - удалить перезалить заново ядро и все модули. Это единственный способ избавиться от "подкидышей" - левых файлов с вредоносным кодом.

Аватар пользователя JaguarRUS JaguarRUS 13 сентября 2016 в 15:44

Все что красным,я так понимаю, это не сама зараза, а файл в котором код левый? ибо такие файлы есть у меня в старом месячном бэкапе.

Аватар пользователя Studio VIZA Studio VIZA 13 сентября 2016 в 15:48

JaguarRUS wrote:

ибо такие файлы есть у меня в старом месячном бэкапе.

http://img.studioviza.ru/Shot7m26n.jpg

Они и в годовалом бэкапе могли бы быть, суть в названии файла пхп, это как отче наш.

Аватар пользователя JaguarRUS JaguarRUS 13 сентября 2016 в 23:14

Столкнулся с тем что даже скачал tar архив сайта извлечь корректно эти файлы нельзя. Вылезают при распаковке куча дублей+ слишком длинные названия фоток+ имена файлов набором иероглифов. Слышал чт это косяк винды и на линуксе копируются исходные имена.

Аватар пользователя JaguarRUS JaguarRUS 14 сентября 2016 в 9:39

А как выяснить достоверно является ли данный файл вредоносным? Ведь можно удалить и нужный файл. Как это проверить?

Аватар пользователя gun_dose gun_dose 14 сентября 2016 в 9:41

Скачайте чистый друпал и посмотрите, есть ли в нём такой файл. Если это в папке модуля, то скачайте модуль и в нём смотрите аналогично.

Аватар пользователя Studio VIZA Studio VIZA 14 сентября 2016 в 9:49

Архивируйте всё, удаляйте по одному. Сайт упал, возвращайте из архива, значит надо код копать.

Самые распостранённые имена зловредов можно нагуглить, часто они имеют вид обычных файлов, но из других cms, как то - битрикса, вп и прочих.

С пол-года назад я скрин не сделал, был клондайк этого добра, часто серверные работники присылают списки, виновных файлов.

Но читают нас ребятки, кто это и мутит, поэтому не хочу много лишнего говорить.

Аватар пользователя Studio VIZA Studio VIZA 14 сентября 2016 в 12:56

JaguarRUS wrote:

Подозрительный архив schemaorg-7.x-1.x-dev.tar

https://www.drupal.org/project/schemaorg

18) Левак .htaccess.bak (4кб)
- index.html.bak 100% гадость

JaguarRUS wrote:

- drupal.sql (5 метров). В ядре его нет

База, как бы.
JaguarRUS wrote:

Вообще нехорошо координировать план боевых действий в прямом эфире. Враг корректирует ответный удар.

Аватар пользователя Studio VIZA Studio VIZA 14 сентября 2016 в 13:00

Director-cemetery wrote:

Самые распостранённые имена зловредов можно нагуглить

Так же, обратным методом гуглятся сомнительные имена файлов. Заражений - сотни тысяч и люди пытаются понять, но применять первое высказанное замечание не стоит.