Вирус на сайте

Аватар пользователя romik-wlemik romik-wlemik 19 декабря 2013 в 5:33

Друзья, помогите!
С чего начать поиск вируса на сайте друпал6? Пришло предупреждение от яндекса о том, что сайт распространяет вредоносный код. С чего бы вдруг? Никаких действий на сайте не производилось. А вот с настройками компа разбирался. Тормозил уж слишком.
Будет ли действенным откат сайта на пару дней назад?
Как вычислить вирус и удалить его?
Яндекс давал рекомендации. Все прочел. Может быть есть что-то именно касательно друпал6, что-то особенное на что смотреть, где искать?
Заранее благодарю.
С уважением, Роман.

0 Thanks

Комментарии

Аватар пользователя Pavlyxa Pavlyxa 19 декабря 2013 в 11:14

Проверь или замени на новый файл .htaccess чаще всего в него дописывают редиректы.

Также у меня был случай с хостингом на "Мастерхосте" они ставили мобильный редирект.

Если не найдешь вирус попробуй поменять хостинг.

Аватар пользователя romik-wlemik romik-wlemik 10 ноября 2015 в 11:49

Не успел я устранить причину вирусных изменений старого сайта, как сегодня "накрылся" новый, уже на семерке.
Становится даже интересно. В него я войти пока не могу.
Хостинг timeweb.ru.
Я использовал total commander для входа по ftp, Логично предположить, что с большой вероятностью стырили пароль от него.
Посоветуйте хороший надежный FTP клиент, плиз.
Ещё вопрос. Нужно ли что-то производить с БД после или во время лечения от вирусов?
Сейчас проверяю файлы на предмет изменений, меняю пароли и пробую использовать вышеописанный модуль hacked.
Спасибо, друзья!
p.s. сайт на D7 сегодня стал выглядеть вот просто так как на приложенной картинке. Если есть у кого комментарии, то буду благодарен.

Аватар пользователя romik-wlemik romik-wlemik 20 декабря 2013 в 2:13

Вот же я ...
Ребята, проблема со вторым сайтом отменяется. Мое упущение. Был включен денвер и на нем стоял аналогичный сайт, с тем же доменом, но нерабочий))).
Надеюсь, что вирусы значит дальше не пошли по остальным сайтам моего аккаунта на хостинге.
А вот вопрос главного сайта ещё актуален.
Прошу ещё одно уточнение.
Бывает ли такое, чтобы яндекс ошибался? Ведь гугл не жаловался на вирусы? Может быть просто достаточно обновить некоторые (совсем немногие) модули и библиотеки? Так как описываемых файлах выше файлах пока не обнаружилось ничего подозрительного.

Аватар пользователя romik-wlemik romik-wlemik 20 декабря 2013 в 2:57

А этот модуль hacked - он смотрит на изменения в сравнении с текущей версией модулей на официальном сайте, верно? И если так, то модули, которые нужно обновить в любом случае подсвечиваются красным цветом. Я в правильном направлении?

Аватар пользователя drupby drupby 20 декабря 2013 в 9:33
"romik-wlemik" wrote:

А этот модуль hacked - он смотрит на изменения в сравнении с текущей версией модулей на официальном сайте, верно? И если так, то модули, которые нужно обновить в любом случае подсвечиваются красным цветом. Я в правильном направлении?

он показывает код каких модулей был изменен
покажи его отчет

Аватар пользователя romik-wlemik romik-wlemik 10 ноября 2015 в 11:49

Отчет показать уже не получится. Его смысл сводился к тому, что в некоторых модулях были сделаны изменения. В том числе и в некоторых файлах ядра. Я пытался найти разницу в этих файлах моего сайта и совершенно новенького ядра 6.29. Эти изменения касались только того, что делали разработчики с моей стороны уже действительно давно (около двух лет назад, например, настройки файла robots.txt).
Таким образом я не нашел ответа что именно содержит вирус. Однако, я полностью обновил ядро, сменил пароли FTP доступа и доступа к админке сайта. Спустя некоторое время Яндекс сообщил, что вирусы не обнаружены. Посещаемость сайта начала восстанавливаться.
Ещё нужно будет дообновить ряд модулей и библиотек, чем сейчас и занимаюсь.

Интересные записи были обнаружены в журнале доступа. Как по моему, такие GET запросы кто-то может делать вполне осознанно (неужели роботы дурака валяют), причем IP адрес подобных запросов постоянно меняется.
Посему ещё вопрос к уважаемому сообществу Друпал.
На что похожи эти запросы?
Как защищаться, если это похоже на работу хакеров?
Заранее благодарю.

Аватар пользователя romik-wlemik romik-wlemik 24 декабря 2013 в 4:22

Тоже хороший комментарий NaZg, спасибо. Я могу Вам ответить примерно похожим:
http://nazamok.com/
Уже лежит.
А по существу? На что это похоже? Ведь журнал и нужен для того, чтобы понимать, что происходит с сайтом.

Аватар пользователя Виктор Степаньков ака RxB Виктор Степаньк... 24 декабря 2013 в 5:45
"romik-wlemik" wrote:

Бывает ли такое, чтобы яндекс ошибался? Ведь гугл не жаловался на вирусы? Может быть просто достаточно обновить некоторые (совсем немногие) модули и библиотеки? Так как описываемых файлах выше файлах пока не обнаружилось ничего подозрительного.

Бывает и ошибается

Аватар пользователя NaZg NaZg 24 декабря 2013 в 8:34
"romik-wlemik" wrote:

Ведь журнал и нужен для того, чтобы понимать, что происходит с сайтом.

остальное Вам уже сказали
поднимите сайт с бакапа или сравните изменённые файлы. можно поискать по дате изменения, хотя на моей практике зловреды меняли дату правки
основные места поиска - htaccess и загружаемые директории
прокурите ещё раз права на папки, если надо, то сбросьте всё в ноль с chmod -R

Аватар пользователя romik-wlemik romik-wlemik 27 декабря 2013 в 15:52

Спасибо, друзья, за помощь и участие.
Вопрос не по теме. Неужели у Дриса есть время на какие-то специальные "происки"? Зачем? Ведь столько интересной работы по постройке друпала.
Я понимаю, что, возможно некоторым конторам, которые лечат от вирусов сайты, им выгодно, что у людей на сайтах появляются вирусы, так как на "излечении" они зарабатывают. Но даже и у них должно быть много дел помимо вреда. Это делает кто-то третий. Кому это выгодно по другим причинам помимо апгрейда.
Ещё раз спасибо за отклик и помощь советами.

Аватар пользователя gedeon gedeon 27 декабря 2013 в 19:20
"romik-wlemik" wrote:

Неужели у Дриса есть время на какие-то специальные "происки"? Зачем?

про дриса - юмор, а серьезно - кому это выгодно - апгрейд=спрос=деньги.