11 сентября 2016 в 10:23
На сайт загружен непонятный код. Есть страницы с перенаправлением на порно. Чем скаинировать сайт на зараженные файлы и как убирать плохие ссылки?
Список зараженных файлов (примерн) прикрепил. Сканировал касперким.
Помогите пожалуйста.
| Вложение | Размер |
|---|---|
 spisk_zarazh_faylov.png | 452.11 КБ |
Комментарии
Во-первых - обновить сайт и модули.
Закрыть фтп и поменять пароли на сервер и все сайты.
Убейте всё, что выглядит чужеродным, делайте архивы, некоторые файлы будут удалены ошибочно.
Скачайте потом айболит, и, если позволит сервер - просканируйте им.1. А как узнать что чужеродное а что нет? У нас стоит плагин друпал который проверяет целостность системных файлов, но где он лежит и как называется я уже не вспомню сейчас.
2. Что значит делайте архивы?
3. "некоторые файлы будут удалены ошибочно" иными словами по любому нужные файлы постардают и на сайте может что-то не работать?
Делать бекап и вперед с песнями и музыкой, анализировать вам придется.
admin.php например, ну явно неродной. Проходите по списку, в сомнительном месте сайт начинает конвульсии, восстанавливаете файл из бэкапа, и продолжаете чистку дальше, отметив файл для дальнейшего рассмотрения.
Статья актуальна на сегодня? http://dru.io/post/2642
все файлы в логах кроме sites/ag
просто удалите.
если у вас есть такой сайт ag, то чистите, а если нет то удалите их.
самый надежный вариант:
удалите всё кроме sites
и закачайте ядро заново.
а в sites/all/modules и в других паапках сайтов тоже -- удалите все модули и перезалейте по-нонвой.
в папке картинок для всех файлов удалите право исполнения то есть
chmod 644 -R sites
ну и пароли меняйте админские, пересмотрите права закачки файлов если у вас много пользователей.
Копируйте сайт, поднимайте локально и локально же чините. Как было сказано выше, самое главное - удалить перезалить заново ядро и все модули. Это единственный способ избавиться от "подкидышей" - левых файлов с вредоносным кодом.
22 вредоносных скрипта это детские игрушки. Напряжно когда их 665.
Все что красным,я так понимаю, это не сама зараза, а файл в котором код левый? ибо такие файлы есть у меня в старом месячном бэкапе.
Они и в годовалом бэкапе могли бы быть, суть в названии файла пхп, это как отче наш.
Столкнулся с тем что даже скачал tar архив сайта извлечь корректно эти файлы нельзя. Вылезают при распаковке куча дублей+ слишком длинные названия фоток+ имена файлов набором иероглифов. Слышал чт это косяк винды и на линуксе копируются исходные имена.
Пробуйте по фтп целиком качать в файлозилле, без архиватора.
А как выяснить достоверно является ли данный файл вредоносным? Ведь можно удалить и нужный файл. Как это проверить?
Скачайте чистый друпал и посмотрите, есть ли в нём такой файл. Если это в папке модуля, то скачайте модуль и в нём смотрите аналогично.
Архивируйте всё, удаляйте по одному. Сайт упал, возвращайте из архива, значит надо код копать.
Самые распостранённые имена зловредов можно нагуглить, часто они имеют вид обычных файлов, но из других cms, как то - битрикса, вп и прочих.
С пол-года назад я скрин не сделал, был клондайк этого добра, часто серверные работники присылают списки, виновных файлов.
Но читают нас ребятки, кто это и мутит, поэтому не хочу много лишнего говорить.
Director-cemetery...я так и делал поначалу.....выдает ошибки на файлах с такими иероглифами. Скрин ниже.
https://www.drupal.org/project/schemaorg
18) Левак .htaccess.bak (4кб)
- index.html.bak 100% гадость
База, как бы.
Вообще нехорошо координировать план боевых действий в прямом эфире. Враг корректирует ответный удар.
Так же, обратным методом гуглятся сомнительные имена файлов. Заражений - сотни тысяч и люди пытаются понять, но применять первое высказанное замечание не стоит.