Никак не удаляет вредоносный код с сайта

**ilfatZX** · 22.11.2013 12:12

Он прописывается в файл .htaccess в самом конце. На всех сайтах, которые лежат на хостинге. Самое интересное дата изменения не меняется, но права на файл меняются на 777 с 444. Ежедневно, я уже устал удалять, менять права и на следующий день опять все заново.
Мне кажется это в кроне прописано, там есть такое:

Нажмите на изображение для увеличения. Название: Вредоносный ко&#10.jpg Просмотров: 15 Размер: 11.8 Кб ID: 12476

Что за процесс запускается не могу понять и найти адрес по которому он запускается.

Как отследить и что посмотреть чтобы увидеть откуда и как меняют?

**3s777** · 22.11.2013 12:13

А у вас хостинг или VPS?

**lipshets** · 22.11.2013 12:28

Проверьте сайт бесплатным скриптом айболит. Скорее всего у Вас сайт на дле или джумле. Данный код прописыват не только файлы .htaccess, а и создает дополнительный файлы на пхп примерно такие index_.php, index_backup.php, kjfkhsdfkjdfhf.php, foto.jpg.php и так далее. Прописываться может и в ява скриптах. В джумле часто прописывается в mootools.js Почистите сайт от кода или восстановите из бекапа не зараженный и поставьте дополнительный пароль на административную папку с помощью .htpasswrd

**ohmygod** · 22.11.2013 12:35

То что прописано в кроне — это проверка обновлений cPanel.

**ilfatZX** · 22.11.2013 12:44

3s777, виртуальный хостинг, Cpanel

lipshets, joomla и WP и другие Cms. Он прописывается во все файлы .htaccess вне зависимости от движка.
Сейчас проверю айболитом. Восстанавливать из бекапа не вариант, много сайтов и уже изменения вносили важные когда вирус был.
А как понять, что за процесс у меня в кроне прописан? Как этот скрипт найти, адрес к нему непонятный.

**3s777** · 22.11.2013 12:50

Если виртуальный хостинг, то возможно вам поможет мой случай. Тут я описывал. Ситуация очень схожа...

**ilfatZX** · 22.11.2013 13:34

lipshets, у меня через браузер проверить не получается, есть второй способ "подключиться к серверу по ssh". А как к нему подключиться?

3s777, дауж. Вам пришлось попотеть. Обычным антивирусом проверяешь сайт выкаченный на комп?

**3s777** · 22.11.2013 13:38

Сообщение от ilfatZX

Обычным антивирусом проверяешь сайт выкаченный на комп?

Проверял всем чем только можно. Но как выяснилось проблема была не в моих сайтах, а в вирусе на сервере, который самостоятельно я не мог никак ни вылечить ни выявить, а хостер утверждал что никакого вируса на сервере нет...

**lipshets** · 22.11.2013 13:40

Сообщение от ilfatZX

у меня через браузер проверить не получается, есть второй способ "подключиться к серверу по ssh". А как к нему подключиться?

скачайте winscp и в командной строчке запустите скрипт. Если не получится запустить скрипт (такое тоже возможно) - то скачайте полностью все файлы сайта на ПК и просканируйте антивирусом. После новой заливки на фтп рекоммендую

Сообщение от lipshets

поставьте дополнительный пароль на административную папку с помощью .htpasswrd

Можно адрес сайта в личку?

**druzhkov** · 22.11.2013 17:23

Сообщение от ilfatZX

есть второй способ "подключиться к серверу по ssh"

Ммм... Несколько странно - у вас точно виртуальный хостинг? Если есть ssh, то больше похоже на VPS.

Для начала проверять айболитом, причем все имеющиеся проекты.
Далее, если не помогло - антивирус на уровне сервера. Есть еще отличный пакет audit, который фиксирует, какой процесс последний модифицировал указанный файл.

	22.11.2013 12:12 #1
ilfatZX Дипломник Регистрация: 01.09.2012 Сообщений: 107 Репутация: 6	Он прописывается в файл .htaccess в самом конце. На всех сайтах, которые лежат на хостинге. Самое интересное дата изменения не меняется, но права на файл меняются на 777 с 444. Ежедневно, я уже устал удалять, менять права и на следующий день опять все заново. Мне кажется это в кроне прописано, там есть такое: Что за процесс запускается не могу понять и найти адрес по которому он запускается. Как отследить и что посмотреть чтобы увидеть откуда и как меняют?
0 ilfatZX

	22.11.2013 12:13 #2
3s777 Гуру Регистрация: 09.02.2013 Сообщений: 1,417 Репутация: 384 Webmoney BL: ?	А у вас хостинг или VPS? Лучший хостинг с которым мне приходилось работать. Отличная и быстрая поддержка!
0 3s777

	22.11.2013 12:44 #5
ilfatZX Дипломник Регистрация: 01.09.2012 Сообщений: 107 Репутация: 6	3s777, виртуальный хостинг, Cpanel lipshets, joomla и WP и другие Cms. Он прописывается во все файлы .htaccess вне зависимости от движка. Сейчас проверю айболитом. Восстанавливать из бекапа не вариант, много сайтов и уже изменения вносили важные когда вирус был. А как понять, что за процесс у меня в кроне прописан? Как этот скрипт найти, адрес к нему непонятный.
0 ilfatZX

	22.11.2013 13:34 #7
ilfatZX Дипломник Регистрация: 01.09.2012 Сообщений: 107 Репутация: 6	lipshets, у меня через браузер проверить не получается, есть второй способ "подключиться к серверу по ssh". А как к нему подключиться? 3s777, дауж. Вам пришлось попотеть. Обычным антивирусом проверяешь сайт выкаченный на комп?
0 ilfatZX

	22.11.2013 13:38 #8
3s777 Гуру Регистрация: 09.02.2013 Сообщений: 1,417 Репутация: 384 Webmoney BL: ?	Сообщение от ilfatZX Обычным антивирусом проверяешь сайт выкаченный на комп? Проверял всем чем только можно. Но как выяснилось проблема была не в моих сайтах, а в вирусе на сервере, который самостоятельно я не мог никак ни вылечить ни выявить, а хостер утверждал что никакого вируса на сервере нет... Лучший хостинг с которым мне приходилось работать. Отличная и быстрая поддержка!
0 3s777

Никак не удаляет вредоносный код с сайта

Опции темы

Спасибо сказали:

Спасибо сказали:

Спасибо сказали:

Тэги топика:

Похожие темы

Нужен ваш совет по поводу сайта. Я никак не могу решить переводить ли его на CMS.

На страницах сайта site.ru обнаружен вредоносный код

Сайт никак не хочет продвигаться...

Сайт стоит на месте и никак не поднимается

Удаляем вредоносный код (фрейм) из DLE сайта

Тем:

Сообщений:

Пользователей:

Сейчас на сайте:

Вход

Сайт

Разделы

Прочее

Следите за нами

Витрина ссылок

У нас проходит

У кого попросить инвайт?

Золотые темы форума

Последние новости

Популярные темы

Информеры

	22.11.2013 13:40 #9
lipshets Дипломник Регистрация: 31.03.2010 Сообщений: 202 Репутация: 58	Сообщение от ilfatZX у меня через браузер проверить не получается, есть второй способ "подключиться к серверу по ssh". А как к нему подключиться? скачайте winscp и в командной строчке запустите скрипт. Если не получится запустить скрипт (такое тоже возможно) - то скачайте полностью все файлы сайта на ПК и просканируйте антивирусом. После новой заливки на фтп рекоммендую Сообщение от lipshets поставьте дополнительный пароль на административную папку с помощью .htpasswrd Можно адрес сайта в личку? Спонсор!!! TechStroy!!!Центр реставрации деталей
0 lipshets

	22.11.2013 17:23 #10
druzhkov Дипломник Регистрация: 15.07.2013 Сообщений: 189 Репутация: 43 Webmoney BL: ?	Сообщение от ilfatZX есть второй способ "подключиться к серверу по ssh" Ммм... Несколько странно - у вас точно виртуальный хостинг? Если есть ssh, то больше похоже на VPS. Для начала проверять айболитом, причем все имеющиеся проекты. Далее, если не помогло - антивирус на уровне сервера. Есть еще отличный пакет audit, который фиксирует, какой процесс последний модифицировал указанный файл.
0 druzhkov

Темы	Раздел	Ответов	Последний пост
Нужен ваш совет по поводу сайта. Я никак не могу решить переводить ли его на CMS.	Прочее	8	26.03.2013 11:34
На страницах сайта site.ru обнаружен вредоносный код	DLE	5	23.02.2013 13:55
Сайт никак не хочет продвигаться...	Вопросы от новичков	8	23.11.2012 18:16
Сайт стоит на месте и никак не поднимается	Вопросы от новичков	11	14.09.2012 16:47
Удаляем вредоносный код (фрейм) из DLE сайта	Дайджест блогосферы	0	24.01.2011 21:30