[3s777]

Добрый день.

Столкнулся с такой проблемой, сразу предупрежу, на данный момент она решена, но остались некоторые вопросы.
У меня есть два клиентских сайта – один на Joomla 1.5 другой на Joomla 2.5. Оба сайта расположены на одном виртуальном хостинге от

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 100 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

В конце мая (число точно не помню) обнаружил письмо от Яндекса о том, что один из этих сайтов содержит вредоносный редирект и опасен для пользователей. Начал проверять и действительно обнаружил у себя этот код в новом файле, аккуратно лежащем в папочке от компонента, который у меня даже не установлен (jcomment). Файл удалил, пароли поменял, права доступа ужесточил. Решил проверил второй сайт, а там та же история, такой же файл но в папке mod_last_news. Удалил, стало все ок.

Меня это сразу насторожило. Ладно один сайт, его можно взломать по известной уязвимости какого-нибудь компонента, но как заразился второй. Причем так аккуратно. Пароли все поменял и на второй сайт, установил все обновления известных мне компонентов.

Через два дня яндек снял предупреждение. Я расслабился.

И вот 23 июня получил второе письмо счастья от Яндекса о том что на моем сайте вирус. Естественно яндекс показывает пометку что мой сайт заражен, как результат - посетителей нет.

Начал разбираться. Это не первый мой случай когда я сталкиваюсь с заражением, поэтому начал по стандартной схеме искать уязвимости и дыры. Проверил самые подверженные заражению файлы .htcassees, index.php, configuration, все чисто.
Грешил на Jommla 1.5, проверить все файлы антивирусами разными - все чисто. Поискал через тотал текст вируса - пусто (искал по имени сайта или по base64) - чисто.

Через xenu нашел такую скрытую ссылку __ttp://html.sdnsistems.net/ldr.php?313119644
Поискал ее во всех файлах сайта и бд - чисто.

Оказалось что при заходе на мой сайт с мобильника (проверял на нокиа) меня перенаправляет на сайт getpdainfo.com. При чем работает это только для одного ip один раз.

После множества тщетных попыток по инерции зашел на второй мой сайт на этом же хостинге и обнаружил ту же проблему.
Хотя сайты разные, второй сайт на последней joomla 2.5, общих уязвимостей нет.
Перенес все файлы сайта на другой сайт, привязал к другому домену, все работает, никаких редиректов.

Написал хостеру - на что получил отписку типа "Мы вирусов не обнаружили ищите уязвимость на своих сайтах и вообще joomla 1.5 это шлак полный дыр".

Решил посмотреть на все сайты на моем сервере и с удивлением обнаружил, что при заходе с телефона на эти сайты проблема та же. Идет редирект, правда на разные сайты. При чем некоторые сайты даже без CMS на чистом php или одностраничный html, и тоже с редиректом.

И тут я столкнулся с самой серьезной проблемой: доказать хостеру что проблема на его стороне.
Хостер от меня морозился долго, упорно утверждал, что на его стороне проблем нет, просто это я дурак. Поднял эту тему на серче и тоже получил кучу сообщений типа хостер в 99% случаев не виноват, виноваты пользователи и ищите проблему в своих скриптах.

Но я был уверн что проблема на стороне хостера и был прав. Спустя несколько дней упорной переписки хостер признал свою вину и нашел у себя серьезную уязвимость, из-за которой пострадало большое количество сайтов. Когда искал владельцев сайта с моего сервера, познакомился с одним из них, у него два сайта тоже были на этом сервере, так ему месяц яндекс писал про вирус, он воевал с хостером но без результатно, в итоге человек месяц без целевых посетителей и клиентов.
После того как хостер признал проблему все сайты с моего сайта вернули честь в глазах яндекса, редирект исчез.

В связи со всем этим решил написать некоторые рекомендации, которые бы я хотел дать людям столкнувшимся с подобной проблемой:

1. Прежде чем писать хостеру и обвинять его необходимо тщательно проверить свой сайт на вирусы и быть увереным, что с вашей стороны проблем действительно нет. Из распространенного могу посоветовать проверить файлы htcassees, index.php, configuration и прочие жизненеобходимые для сайта файлы. Также скачайте все файлы и проверьте несколькими антивирусами. Часто вредоносный код шифруют в base64, поэтому с помощью Total Commаndera ищите во всех файлах все что связано с base64. Все что найдете можно расшифровать здесь http://base64.ru/. Если у вас редирект и вы знаете на какой сайт он ведет ищите через тотал этот урл. Иногда помогает. Если сами мало в этом разбираетесь обратитесь к профессионалу и дождитесь его вердикта.
2. Если вы уверены что проблема не у вас, ищите и проверяйте сайты на том же сервере что и ваш. Найти такие сайты можно, например, тут http://2ip.ru/domain-list-by-ip/. Если нашли такую же проблему на остальных сайтах, можно смело писать хостеру
3. Вам повезло если служба поддержки вашего хостера адекватна, в этом случае они вас быстро поймут и все испавят. Если вам не повезло, как в моем случае, и служба поддержки идет в отказ, то вам необходимо

• самое главное НЕ грубить и НЕ хамить хостеру;
• писать как можно более слажено и технически грамотно (с большей вероятностью служба поддержки не будет слать вам стандартный ответ если сразу определит, что вы не школота);
• привести как можно больше доказательств и аргументаций;
• если это все не помогло, то написать владельцам сайтов на вашем сервере, что у них такая проблема как и у вас и коллективно штурмовать хостера заявками, звонками и тикетами (в моем случае только это и помогло)

Также хочу добавить что в мае подобная проблема была замечена не только на

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 100 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

, но также и на других серверах, например у

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 100 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

(хотя эти признали свою вину раньше, соответственно и быстрее отреагировали).

Чтобы не думали, что это черный пиар хостеров их имена скрою под хайдом 100. Данное сообщение написано мною не для того чтобы облить грязью хостеров, а чтобы может хоть как-то помочь людям с подобной проблемой и доказать что не всегда вирус на сайте это вина владельца скрипта. Тем более я уверен что осталось еще много серверов, которые еще не прикрыли эту дыру.

Хотел бы чтобы вы поделились своими рекомендациями и советами в данном вопросе.

[Zzzadruga]

А хостер вам не накинул никаких бонусов за свою халатность? Многие же потеряли кучу посетителей из-за вины хостера, которому они платят деньги

[3s777]

Zzzadruga, они признали свою вину, в качестве компенсации дали мне два месяца бесплатного пользования хостингом. Остальным пострадавшим ничего не дали (я с некоторыми переписывался), и для остальных они так и не признали свою вину, писали, что это яндекс некоторые скрипты воспринимает как вирусные, но по факту это не так. Короче, я их за руку поймал, для меня они сознались, для всех остальных они знать ничего не знают. В общем служба поддержки оставляет желать лучшего.

[3s777]

На том что описано мною выше история не закончилась, поэтому решил дополнить.
После того как хостер устранил проблему по прошествии пары месяцев обнаружил на тех же сайтах ту же проблему. Проверил другие сайты на сервере, результат тот же - у всех редирект.
Снова вступил в переписку с хостером, и снова уперлись рогом что у них все чисто, а проблемы в наших дырявых cms и скриптах. Делать что либо они отказались и я попросил просто перенести мои сайты на другой сервер. Скрипя душой они перевели сайты и о чудо все редиректы пропали и не появлялись по сей день (а прошло уже пару месяцев), тьфу-тьфу все хорошо. Иногда мониторю чужие сайты на том сервере на котором прежде был, и вижу, что вирус там периодически проявляется вновь.
Перенос сайта на другой сервер это еще один способ решить подобную проблему (особенно если уверены что сам сайт чист).
Дополнил, т.к. может для кого-то будет полезным.

[druzhkov]

Случай из практики: проверял как-то антивирусом один vds (кажется, тоже у кого-то из регистраторов доменов, кто еще и хостер по совместительству). Обнаружились зараженные бинарники, среди которых была библиотека для работы ssh. Бинарники - дело гиблое. По сути, надо сносить пакет и ставить всё заново. А бинарник ssh - это совсем печально. Если его снести, доступ исчезнет, и останется только физически идти до сервера и делать всё с клавиатуры. В-общем, съехали оттуда.

Это я к тому, что заражать могут так, что и спец не сразу увидит. А если и найдет - еще и не вычистишь.

В этом плане я не сильно доверяю shared хостингам. Поломали кого-то одного, и понеслось - через него начинают копать сервер, ломают ftp, ssh, поднимаются до рута, заразили всех остальных - приехали. Правильные хостеры должны чуть ли не параноидально следить за своими серверами.

[3s777]

я не сильно доверяю shared хостингам

вот и я все больше смотрю в сторону серверов, но пока не хватает технических знаний, чтобы обеспечивать его поддержку на должном уровне...

[Gradus]

У меня тоже был случай сервак буквально лег . Писал в тех поддержку ответов ноль а если и были проблемы писали у меня .... По итогу я отчаялся им писать и полез на другой хостинг там выложил свою проблему хотел менять хостинг уже ( парни с другого хостинга подошли творчески к моей проблеме написали на мой хостинг от своего жалобу мол ващ клиент попросил нас чтобы мы на вас надавили Думаю ну все хана сейчас вообще отключат меня ..( А на моем хостинге видать перепугались что переписка будит опубликована в соц сетях либо где то есче )
Одним словом по итогу захожу на след день на свой сайт ,смотрю а там именно ...ракета.. 505 мс загрузка ... думаю круто помогло .... думаю как так ?откуда такая скорость ? через пару дней проверяю где находится сервак смотрю а он уже улетел в германию Пишу на свой хостинг в чем была проблема В ответ проблем не было просто была перезагрузка сервера(.. броня метровая..)
Вот такая история ..
Изначально сервак был в Украине ... Вот так я переехал в Германию

[Strekoza5]

Вот и меня в последний год не радует мой хостинг (( Слишком часто стали взламывать сайты на разных движках, срочно ищу новый VDS устала бороться сама с вирусами, идут также редиректы с одного один раз ip? а сама дыры найти не могу, не хватает знаний и хостер также мне отвечает, уязвимости в моих движках (( Что делать подскажите? Готова в месяц выкладывать 1500 за VDS для моих сайтов лишь бы дыры не было(

[HelgerLEE]

Strekoza5, лучше, имхо, взять VDS за 500 и платить еще 1000 специалисту по ИБ за периодическую проверку сервера.
В большинстве случаев, если вы берете VDS, то безопасность - ваша проблема, а администрирование сотрудниками хостера - неадекватно дорого (примерно, как коврики в автосалоне).