Никак не удаляет вредоносный код с сайта

(Ответов: 10, Просмотров: 930)
Страница 1 из 2 12 Последняя
  1. Дипломник
    • Регистрация: 01.09.2012
    • Сообщений: 107
    • Репутация: 6
    Он прописывается в файл .htaccess в самом конце. На всех сайтах, которые лежат на хостинге. Самое интересное дата изменения не меняется, но права на файл меняются на 777 с 444. Ежедневно, я уже устал удалять, менять права и на следующий день опять все заново.
    Мне кажется это в кроне прописано, там есть такое:
    Нажмите на изображение для увеличения.  Название:	Вредоносный ко&#10.jpg  Просмотров:	15  Размер:	11.8 Кб  ID:	12476
    Что за процесс запускается не могу понять и найти адрес по которому он запускается.

    Как отследить и что посмотреть чтобы увидеть откуда и как меняют?
    • 0
  2. Гуру Аватар для 3s777
    • Регистрация: 09.02.2013
    • Сообщений: 1,417
    • Репутация: 384
    • Webmoney BL: ?
    А у вас хостинг или VPS?
    • 0
  3. Дипломник Аватар для lipshets
    • Регистрация: 31.03.2010
    • Сообщений: 202
    • Репутация: 58
    Проверьте сайт бесплатным скриптом айболит. Скорее всего у Вас сайт на дле или джумле. Данный код прописыват не только файлы .htaccess, а и создает дополнительный файлы на пхп примерно такие index_.php, index_backup.php, kjfkhsdfkjdfhf.php, foto.jpg.php и так далее. Прописываться может и в ява скриптах. В джумле часто прописывается в mootools.js Почистите сайт от кода или восстановите из бекапа не зараженный и поставьте дополнительный пароль на административную папку с помощью .htpasswrd
    • 1

    Спасибо сказали:

    ilfatZX(22.11.2013),
  4. Гуру Аватар для ohmygod
    • Регистрация: 30.04.2011
    • Сообщений: 1,064
    • Репутация: 268
    • Webmoney BL: ?
    То что прописано в кроне — это проверка обновлений cPanel.
    • 1

    Спасибо сказали:

    ilfatZX(22.11.2013),
  5. Дипломник
    • Регистрация: 01.09.2012
    • Сообщений: 107
    • Репутация: 6
    3s777, виртуальный хостинг, Cpanel

    lipshets, joomla и WP и другие Cms. Он прописывается во все файлы .htaccess вне зависимости от движка.
    Сейчас проверю айболитом. Восстанавливать из бекапа не вариант, много сайтов и уже изменения вносили важные когда вирус был.
    А как понять, что за процесс у меня в кроне прописан? Как этот скрипт найти, адрес к нему непонятный.
    • 0
  6. Гуру Аватар для 3s777
    • Регистрация: 09.02.2013
    • Сообщений: 1,417
    • Репутация: 384
    • Webmoney BL: ?
    Если виртуальный хостинг, то возможно вам поможет мой случай. Тут я описывал. Ситуация очень схожа...
    • 1

    Спасибо сказали:

    ilfatZX(22.11.2013),
  7. Дипломник
    • Регистрация: 01.09.2012
    • Сообщений: 107
    • Репутация: 6
    lipshets, у меня через браузер проверить не получается, есть второй способ "подключиться к серверу по ssh". А как к нему подключиться?

    3s777, дауж. Вам пришлось попотеть. Обычным антивирусом проверяешь сайт выкаченный на комп?
    • 0
  8. Гуру Аватар для 3s777
    • Регистрация: 09.02.2013
    • Сообщений: 1,417
    • Репутация: 384
    • Webmoney BL: ?
    Цитата Сообщение от ilfatZX Посмотреть сообщение
    Обычным антивирусом проверяешь сайт выкаченный на комп?
    Проверял всем чем только можно. Но как выяснилось проблема была не в моих сайтах, а в вирусе на сервере, который самостоятельно я не мог никак ни вылечить ни выявить, а хостер утверждал что никакого вируса на сервере нет...
    • 0
  9. Дипломник Аватар для lipshets
    • Регистрация: 31.03.2010
    • Сообщений: 202
    • Репутация: 58
    Цитата Сообщение от ilfatZX Посмотреть сообщение
    у меня через браузер проверить не получается, есть второй способ "подключиться к серверу по ssh". А как к нему подключиться?
    скачайте winscp и в командной строчке запустите скрипт. Если не получится запустить скрипт (такое тоже возможно) - то скачайте полностью все файлы сайта на ПК и просканируйте антивирусом. После новой заливки на фтп рекоммендую
    Цитата Сообщение от lipshets Посмотреть сообщение
    поставьте дополнительный пароль на административную папку с помощью .htpasswrd

    Можно адрес сайта в личку?
    • 0
  10. Дипломник
    • Регистрация: 15.07.2013
    • Сообщений: 189
    • Репутация: 43
    • Webmoney BL: ?
    Цитата Сообщение от ilfatZX Посмотреть сообщение
    есть второй способ "подключиться к серверу по ssh"
    Ммм... Несколько странно - у вас точно виртуальный хостинг? Если есть ssh, то больше похоже на VPS.

    Для начала проверять айболитом, причем все имеющиеся проекты.
    Далее, если не помогло - антивирус на уровне сервера. Есть еще отличный пакет audit, который фиксирует, какой процесс последний модифицировал указанный файл.
    • 0
Страница 1 из 2 12 Последняя

Похожие темы

Темы Раздел Ответов Последний пост
Нужен ваш совет по поводу сайта. Я никак не могу решить переводить ли его на CMS.
Прочее 8 26.03.2013 11:34
На страницах сайта site.ru обнаружен вредоносный код
DLE 5 23.02.2013 13:55
Сайт никак не хочет продвигаться...
Вопросы от новичков 8 23.11.2012 18:16
Сайт стоит на месте и никак не поднимается
Вопросы от новичков 11 14.09.2012 16:47
Удаляем вредоносный код (фрейм) из DLE сайта
Дайджест блогосферы 0 24.01.2011 21:30

У кого попросить инвайт?

Вы можете попросить инвайт у любого модератора:

Информеры