Как найти вирус на сайте?

Аватар пользователя Kublahan Kublahan 17 апреля 2015 в 16:18

Привет!
У меня сайт есть на Drupal 7.
Два дня назад сайт перестал работать. Хостер сказал, что заблокировал меня, потому что на сайте вирус.
Типа удалите все вирусы, пришлите ему копии инфицированных файлов и сайт разблокируют.
Я скачал все файлы с сайта на компьютер и проверил их NOD32 и DrWEB. Нет ни одного подозрения на вирус.
Как быть?
Есть ли способ еще проверить на вирусы? Или надо хостера менять?

0 Thanks

Комментарии

Аватар пользователя Виктор Степаньков ака RxB Виктор Степаньк... 17 апреля 2015 в 17:21
"Kublahan" wrote:

Разве проверка антивирусом файлов сайта не показатель, что вируса нет?

Сайты не болеют десктопными вирусами, собственно, они вообще вирусами не болеют, а в них внедряют вредоносный код

Аватар пользователя bsyomov bsyomov 17 апреля 2015 в 17:54

Есть множество поделок, которые на это претендуют, некоторые и них, даже что-то находят.
Но разнообразных способов заражения сайтов очень много, в частности, разная пакость в данных. Автоматизировано искать это весьма сложная задача.
И пока, без вмешательства квалифицированного специалиста, в большинстве случаев просто не обойтись...

Аватар пользователя kirill_dan kirill_dan 17 апреля 2015 в 20:49

Хостер должен вам предоставить логи. Ведь он каким-то образом сделал такое умозаключение, а значит на что-то конкретное должен грешить. А заблокировать сайт и кричать у вас там вирус и парьтесь теперь, как хотите - это бред. "Вирус" может быть внедрен либо в исполняемые php скрипты, либо в js. Нужно смотреть логи апача и nginx, если он стоит. Также нужно внимательно просмотреть журнал самого друпал. Гонять через антивирус текстовые файлы - это все равно, что носить воду в решете!

Аватар пользователя Kublahan Kublahan 18 апреля 2015 в 5:43

Пару недель назад я установил новую тему на сайт от проверенного разработчика, эта тема и на Drupal.Org есть.
Так в этой теме используется js скрипт retina.js, http://imulus.github.io/retinajs/
который при каждом показе картинок у меня на сайте ищет копию данной картинки с названием "имя_файла@2x.расширение" в папке public
Естественно, у меня нет таких картинок и в логах друпала много записей о том, что картинка не найдена.
@2x - это картинки для спец мониторов с хорошим разрешением.

Может ли это восприниматься как вирус?

Аватар пользователя vbard vbard 18 апреля 2015 в 9:16

справедливости ради скажу, что у меня Avira обнаруживал что-то, но не всё.
И ещё, вредоносный код может быть в БД в menu_router и при посещении определённой страницы код записывался в файлик. Вариантов действительно много. Если сайт долго просуществовал необновлённый до 7.32 - вот вам куроводство http://www.drupal.ru/node/113136, и у вас не обязательно всё будет абсолютно так, как написано.

Аватар пользователя kirill_dan kirill_dan 18 апреля 2015 в 13:06
sumerian wrote:

справедливости ради скажу, что у меня Avira обнаруживал что-то, но не всё.
И ещё, вредоносный код может быть в БД в menu_router и при посещении определённой страницы код записывался в файлик. Вариантов действительно много. Если сайт долго просуществовал необновлённый до 7.32 - вот вам куроводство http://www.drupal.ru/node/113136, и у вас не обязательно всё будет абсолютно так, как написано.

Это каким же образом может быть вирус в таблице роута? Да еще и что-то записывать в файл? В таблице ссылки на страницу и колбеки, которые вызываются при посещении страницы. А еще таблица роутера вечно сидит в кэше друпала.

Аватар пользователя Виктор Степаньков ака RxB Виктор Степаньк... 18 апреля 2015 в 13:26
"kirill_dan" wrote:

Это каким же образом может быть вирус в таблице роута? Да еще и что-то записывать в файл? В таблице ссылки на страницу и колбеки, которые вызываются при посещении страницы. А еще таблица роутера вечно сидит в кэше друпала.

Пффф. Легко и просто. В access callback, например

Аватар пользователя ttenz ttenz 18 апреля 2015 в 15:42

hacked
drupalgeddon

ps: если не понял, что написал, то ответ в первом комменте.

Аватар пользователя dashiwa dashiwa 18 апреля 2015 в 16:45

Вирусы они такие - руками ты удаляешь 1 файлик ,а он зараза еще 10 в 10 других местах создает

Аватар пользователя Kublahan Kublahan 19 апреля 2015 в 14:33

В общем, мои поиски вируса на сайте или измененного кода не принесли результата. Все чисто.
Я написал об этом хостеру. Через 2 дня хостер сказал, что мой сайт разблокирован и надеется, что в будущем все будет хорошо.
Так и не объяснили с чем была проблема.

Аватар пользователя eastwolf eastwolf 20 июня 2015 в 19:28

Повезло, с Timeweb так не прокатило.
все перепроверил а открывать сайт не хотят.

Аватар пользователя dashiwa dashiwa 20 июня 2015 в 20:02

В общем, мои поиски вируса на сайте или измененного кода не принесли результата. Все чисто.
А как искали?)