Перенаправление на запрещенный контент

Аватар пользователя JaguarRUS

На сайт загружен непонятный код. Есть страницы с перенаправлением на порно. Чем скаинировать сайт на зараженные файлы и как убирать плохие ссылки?
Список зараженных файлов (примерн) прикрепил. Сканировал касперким.
Помогите пожалуйста.

ВложениеРазмер
Иконка изображения spisk_zarazh_faylov.png452.11 КБ
Форумы:
0 Thanks

Комментарии

Аватар пользователя Studio VIZA
Studio VIZA 1 год назад

Во-первых - обновить сайт и модули.

Закрыть фтп и поменять пароли на сервер и все сайты.

Убейте всё, что выглядит чужеродным, делайте архивы, некоторые файлы будут удалены ошибочно.

Скачайте потом айболит, и, если позволит сервер - просканируйте им.

Аватар пользователя JaguarRUS
JaguarRUS 1 год назад

1. А как узнать что чужеродное а что нет? У нас стоит плагин друпал который проверяет целостность системных файлов, но где он лежит и как называется я уже не вспомню сейчас.
2. Что значит делайте архивы?
3. "некоторые файлы будут удалены ошибочно" иными словами по любому нужные файлы постардают и на сайте может что-то не работать?

Аватар пользователя Grayw0lf
Grayw0lf 1 год назад

Делать бекап и вперед с песнями и музыкой, анализировать вам придется.

Аватар пользователя Studio VIZA
Studio VIZA 1 год назад
JaguarRUS написал:
А как узнать что чужеродное а что нет?

admin.php например, ну явно неродной. Проходите по списку, в сомнительном месте сайт начинает конвульсии, восстанавливаете файл из бэкапа, и продолжаете чистку дальше, отметив файл для дальнейшего рассмотрения.

Аватар пользователя tlito
tlito 1 год назад

все файлы в логах кроме sites/ag
просто удалите.
если у вас есть такой сайт ag, то чистите, а если нет то удалите их.

самый надежный вариант:
удалите всё кроме sites
и закачайте ядро заново.
а в sites/all/modules и в других паапках сайтов тоже -- удалите все модули и перезалейте по-нонвой.
в папке картинок для всех файлов удалите право исполнения то есть
chmod 644 -R sites

ну и пароли меняйте админские, пересмотрите права закачки файлов если у вас много пользователей.

Это сообщение находится в тёмной материи. Вы можете изменить настройки просмотра тёмной материи в личном кабинете.
Аватар пользователя gun_dose
gun_dose 1 год назад

Копируйте сайт, поднимайте локально и локально же чините. Как было сказано выше, самое главное - удалить перезалить заново ядро и все модули. Это единственный способ избавиться от "подкидышей" - левых файлов с вредоносным кодом.

Это сообщение находится в тёмной материи. Вы можете изменить настройки просмотра тёмной материи в личном кабинете.
Это сообщение находится в тёмной материи. Вы можете изменить настройки просмотра тёмной материи в личном кабинете.
Это сообщение находится в тёмной материи. Вы можете изменить настройки просмотра тёмной материи в личном кабинете.
Это сообщение находится в тёмной материи. Вы можете изменить настройки просмотра тёмной материи в личном кабинете.
Аватар пользователя Studio VIZA
Studio VIZA 1 год назад

22 вредоносных скрипта это детские игрушки. Напряжно когда их 665.

Аватар пользователя JaguarRUS
JaguarRUS 1 год назад

Все что красным,я так понимаю, это не сама зараза, а файл в котором код левый? ибо такие файлы есть у меня в старом месячном бэкапе.

Аватар пользователя Studio VIZA
Studio VIZA 1 год назад
JaguarRUS написал:
ибо такие файлы есть у меня в старом месячном бэкапе.

http://img.studioviza.ru/Shot7m26n.jpg

Они и в годовалом бэкапе могли бы быть, суть в названии файла пхп, это как отче наш.

Аватар пользователя JaguarRUS
JaguarRUS 1 год назад

Столкнулся с тем что даже скачал tar архив сайта извлечь корректно эти файлы нельзя. Вылезают при распаковке куча дублей+ слишком длинные названия фоток+ имена файлов набором иероглифов. Слышал чт это косяк винды и на линуксе копируются исходные имена.

Аватар пользователя Studio VIZA
Studio VIZA 1 год назад

Пробуйте по фтп целиком качать в файлозилле, без архиватора.

Аватар пользователя JaguarRUS
JaguarRUS 1 год назад

А как выяснить достоверно является ли данный файл вредоносным? Ведь можно удалить и нужный файл. Как это проверить?

Аватар пользователя gun_dose
gun_dose 1 год назад

Скачайте чистый друпал и посмотрите, есть ли в нём такой файл. Если это в папке модуля, то скачайте модуль и в нём смотрите аналогично.

Аватар пользователя Studio VIZA
Studio VIZA 1 год назад

Архивируйте всё, удаляйте по одному. Сайт упал, возвращайте из архива, значит надо код копать.

Самые распостранённые имена зловредов можно нагуглить, часто они имеют вид обычных файлов, но из других cms, как то - битрикса, вп и прочих.

С пол-года назад я скрин не сделал, был клондайк этого добра, часто серверные работники присылают списки, виновных файлов.

Но читают нас ребятки, кто это и мутит, поэтому не хочу много лишнего говорить.

Аватар пользователя JaguarRUS
JaguarRUS 1 год назад

Director-cemetery...я так и делал поначалу.....выдает ошибки на файлах с такими иероглифами. Скрин ниже.

Это сообщение находится в тёмной материи. Вы можете изменить настройки просмотра тёмной материи в личном кабинете.
Аватар пользователя Studio VIZA
Studio VIZA 1 год назад
JaguarRUS написал:
Подозрительный архив schemaorg-7.x-1.x-dev.tar

https://www.drupal.org/project/schemaorg

18) Левак .htaccess.bak (4кб)
- index.html.bak 100% гадость

JaguarRUS написал:
- drupal.sql (5 метров). В ядре его нет

База, как бы.

JaguarRUS написал:

Вообще нехорошо координировать план боевых действий в прямом эфире. Враг корректирует ответный удар.

Аватар пользователя Studio VIZA
Studio VIZA 1 год назад
Director-cemetery написал:
Самые распостранённые имена зловредов можно нагуглить

Так же, обратным методом гуглятся сомнительные имена файлов. Заражений - сотни тысяч и люди пытаются понять, но применять первое высказанное замечание не стоит.