[CuxpecT]

В общем,
Имею 6 сайтов на хостинге от ihc. Около недели назад на один из них (адалт) заругался мой нод32, а впоследствии выяснилось, что и каспер его (сайт) разлюбил. Причём нод ругался на ScrInject, а каспер на Clicker. Путём экспериментов было выяснено, что был заражён файл Index.php (CMS DLE), про остальные выяснить не удалось. Написал в ТП хостинга типа что за дела - удалите вирус, предложили восстановить бэкап. Хрен с ним, откатили аж до 31 декабря (тогда всё было нормально), но вирус в коде почему-то всё равно остался.
Идём далее, решил проверить остальные сайты на хостинге и оказалось, что на всех них (на 4х CMS DLE и на 2х WP) заражён файл index.php. Проблема решилась (вроде бы) путём удаления заражённых индексных файлов и заменой их на стандартные.
Но! После данного происшествия возникли некоторые вопросы. В частности:
1) Какой же всё-таки был вирус изначально на сайте ScrInject или Clicker? И удалил ли я его путём замены файлов? Онлайн-сервисы говорят, что сайты сейчас без вирусов, но, блин, всякое бывает.. Неохота страдать репутацией молодых адалтов в глазах ПС.
2) Как получилось так, что на разных CMS был заражен один и тот же файл? Причём я мог бы понять, если бы сам его занёс на хостинг путём манипуляций с модулями на дле, но вот вордпресс у меня там уже несколько месяцев вхолостую стоит. Получается было заражение сайтов по IP? Хотя последний вариант у меня вообще в голове плохо укладывается.
3) Как избежать подобного в будущем? Виноват ли хостинг? Стоит ли от него переезжать?
Ну и по сабжу, так как 3 из 6 сайтов - адалт, то насколько хостинг IHC абузоустойчивый и всё такое? Стоит ли переносить адалты от него куда подальше или он сможет выстоять атаку если что? Кстати, все адалт-домены в ру-зоне и планирую увеличить посещаемость до 20-30к уников в сутки и в связи с этим: стоит ли задуматься о резервном склеенном домене, дабы сейчас не тратить впустую деньги и время на продвижение?

Буду благодарен за подробные ответы и примеры из личного опыта :)
p.s. для модераторов: прошу прощения, что в одной теме затронул дополнительно вопросы, не относящиеся к ветке форума. Надеюсь, что не критично :)

[Webrumors]

Как избежать подобного в будущем? Виноват ли хостинг? Стоит ли от него переезжать?

В чем виноват? Обычно в соглашении написано, что за вредоносные действия третьих лиц хостинг ответственности не несет.

Какой же всё-таки был вирус изначально на сайте ScrInject или Clicker? И удалил ли я его путём замены файлов?

Так проверьте все файлы на наличие вредоносного кода.

[Ems]

Честно говоря, замена файлов это лишь устранение следствия, а не причины заражения. DLE - одна из самых дырявых CMS. WordPress чуть получше, но как видим, тоже пострадал и скорее всего благодаря DLE.

[CuxpecT]

В чем виноват?

Ну.. в том, что не устоял против вирусной атаки, например :) Просто может где система антихрени настроена получше будет, чем на ихц... Али везде одинаково?

Так проверьте все файлы на наличие вредоносного кода.

мой антивирус ничего не находит, онлайн-сервисы изначально ничего плохого не видели, а вот у друзей каспер ругался пару дней потом перестал. Вот и не знаю кому верить, как поточней проверить.

[zxgame]

Было такое месяц назад!!!
Точно не скажу что за зверя поймал, но суть была вот в чем: смотрю заражен Index.php, по моим ощущениям вируса подхватил за 2 дня до обнаружения, восстановил бекап - вирус есть, восстановил, еще более ранний - вирус есть?!!! WTF! Сел чесать репу. Скачал бекап, как правильно называется, поправьте забыл, "клиентскую часть" базу не трогал на другом компе - Index.php нормальный, восстанавливаю -заражен. Вот тут и была разгадка, гаденыш (вирус) заражал файлы, когда после восстановления я заходил через файлзиллу со сохраненными настройками (можно было брать хоть месячный бекап)! Пробовал антивирусниками и прочим, пришел к выводу, если ничего суперценного не потеряете - раскатывайте бекапы.
Мораль которую вынес: не запоминайте пароли в файлзилле. И попробуйте проверить файлы моим способом. как то так.

[Great Russia]

Наверное стоит сменить хостинг, у меня такое тоже было, и на вот этом ihc, может быть люди, которые заведуют этим хостингом не до конца профессионалы и т.д? Ну мой совет, сменить хостинг.

[hammer8]

1) Обычно вирус это надпись в коде. Нужно очистить, показать зараженные файлы специалисту. Онлайн сервисы часто отталкиваются от Яндекса и гугла и от списков черных сайтов. Адалт сайты часто повержены атакам конкурентов.
2) Обычно на любой CMS есть список файлов которые повержены заражению. Например тот же index.php. DLE не самая дырявая CMS. Заражение через плагины возможно, поэтому нужно качать с официальных источников. Часто заражают и полностью новые сайты на голом движке заодно с остальными. Взломали вас скорее всего на FTP уровне.
3) Наверное вопрос "Как избежать этого в будущем" самый сложный. Так как полностью защитится от вирусов нельзя. В любом случае нужно обновить все движки до последней версии, поменять все пароли, полностью очистить все сайты от вирусов, посмотреть наличие левых пользователей, проверить нет ли шелов.
Хостинг тут не виноват. Единственное что они могут сделать это просканировать ваш Аккаунт на вирусы и дать список зараженных файлов и дальше вы сможете пойти по горячему следу. Настоящий абузоустойчиввый сервер стоит 4000 рублей в месяц, поэтому переходить то на обычный VPS и то из-за посещаемости.

P.S Вот моя ситуация по вирусам которую я решил Поведенческий анализ

[semyon]

Ребят, вы что курили? Вирус из-за хостинга? Это вообще как?

Я ловил вирусы на сайтах 3 раза.
1) Поймал из-за вируса на моем компе (украл пароль от FileZilla)
2) Поймал из-за партнерки. Вернее ПСы посчитали скрипт вредоносным.
3) Использовал нечищенную тему. С непроверенного сайта с шаблонами.

Второй год юзаю ihc-хостинг и все эти 3 случая были с сайтами на нём. Давайте винить его!
Нотка сарказма. Ошибки мои, но виноват хостинг!

[Webrumors]

CuxpecT, так посмотрите код ручками. Или если файлов много, удалите все нафиг. Скачайте новый движок, последнюю версию. В базе у Вас вирусов нет, я надеюсь?

---------- Сообщение добавлено 16:46 ---------- Предыдущее 16:44 ----------

Мораль которую вынес: не запоминайте пароли в файлзилле

Так не удобно, блин! Значит изначально вирусы вы хватаете на компы, а уже потом троян тырит пароли. Так что мораль - проапгрейдить антивирус и все по на компе. А также соблюдать основы информационной безопасности при серфинге.

[izyalex]

Great Russia,может не стоит такое советовать если не разбираетесь в чем дело?

---------- Сообщение добавлено 16:28 ---------- Предыдущее 16:25 ----------

CuxpecT,
* Удалите все веб-шеллы и вредоносные скрипты.
* После чего мониторьте все access логи на предмет POST запросов.
Так Вы легко сможете обнаружить уязвимость в сайтах(CMS).

PS: Могу помочь с устранение проблемы, предоставлю все нужные инструменты для мониторинга и поиска гадостей.