Добрый день! Имеется сайт, который каким-то образом заболел вирусом, нужна помощь в излечении этого сайтика. И в дальнейшем сопровождение, доработка. Адрес сайта в личку отправлю. Кто может взяться за это?
"Дорабатывать" я не буду, ибо не интересно. В большинстве случаев делать сайт "с нуля" проще и гораздо умнее, чем "дорабатывать" чужое. Но кое-что объясню. С вероятностью 99% было следующее: 1. Виноват в этом ЧП тот человек, кто имеет пароль на доступ к директориям хоста по протоколу ftp (если таких людей много - один из них). 2. Этот виноватый пользуется браузером Интернет Эксплорер, каким-то дырявым файл-менеджером, и не пользуется антивирусом и файрволом (возможен вариант: антивирус есть, но г-но, а файрвол не настроен). Очень много нареканий в связи с кражей паролей видел на антивирус NOD32. 3. При посещении браузером ИЕ сайта, который уже был заражён, в нём запускается JavaScript, который загружает на компьютер пользователя трояна (антивирус при этом молчит). 4. Троян сканирует систему и ищет файл-менеджеры/ftp-менеджеры (типа Тотал Коммандера, ФайлЗиллы и т.п.) 5. После этого троян отправляет злоумышленнику файлы настроек этих файл-менеджеров, в которых хранятся пароли на ftp-доступ к сайту. В этом месте облажался файрвол (который выпускает исходящее соединение от трояна) и облажался юзер, который рискует сохранять пароли в разных кривых программах. 6. Злоумышленник "вскрывает" файл настроек и извлекает из него пароль. Делает это программа-робот. 7. После этого сетевой робот, в который загружены пароли, обходит сайты, к которым имеет пароль доступа, сканирует директории разыскивая файлы с названием index.html, index.shtml, index.php и т.п. и дописывает в эти файлы свой код. После этого сайт становится "заразным" (чаще всего вставляется скрытый iframe с вредоносным кодом с другого сайта) + обычно ставится куча скрытых ссылок (т.наз. "поисковый спам" от "чёрных СЕОшников"). Что делать - должно быть понятно из описания. Заткнуть все дыры. 1. Сменить пароль ftp. 2. Скачать сайт на локальную машину и проверить хорошим антивирусом со свежими базами (а лучше двумя разными антивирусами) содержимое директорий сайта на наличие шеллов. 3. Перестать пользоваться ИЕ. 4. Не хранить ftp-пароли хрен знает где. 5. Пользоваться нормальным антивирусом со свежими базами. 6. Поставить и правильно сконфигурировать файрвол. 7. Регулярно читать бюллетени уязвимостей... и т.д. Ещё есть вариант - найти профессионала, который будет всё это делать за Вас.
2. Скачать сайт на локальную машину и проверить хорошим антивирусом со свежими базами (а лучше двумя разными антивирусами) содержимое директорий сайта на наличие шеллов. Это было сделано сразу - но вирусов обнаружено не было. А все остальное и так понятно.
Значит, либо вставлен скрытый iframe, через который грузится вирусный JavaScript (что скорее всего), либо антивирус... г-но. Тогда непонятно, зачем создан топик "Нужна помощь". Извините, что отнял столько времени.
Не понятна мне Ваша ирония. В топике четко сказан - в чем нужна помощь. Сейчас уже мало интересно как и что было, надо привести в рабочее состояние и в дальнейшем сопровождать. Естественно не без платно.
У вас отдельный хостинг аккаунт или вы у кого-то висите прицепом ? Бывают такие веб-студии которые напихивают сайты клиентов к себе в аккаунт дополнительными доменами - тогда бороться нужно с ними) (ну всмысле вирус не от вас может быть).
Извините ещё раз. Можно ссылку на сайт в личку? Может быть что-то подскажу в качестве компенсации. Совсем не согласен. Это как раз принципиально важно. Если дыры не заткнуть, это будет хронической проблемой. Я регулярно читаю форумы о безопасности, и видел вопли людей, которых "ломали" по 15 раз. По одной и той же причине. Если есть желание, предложи свой вариант, вероятность которого будет существенно более 1% и с учётом того, что шеллов там нет. С интересом прочитаю. А какой будет псевдоним - мне пофигу.
Как верно заметил топикстартер -- тут никто не спрашивал, ПОЧЕМУ такое произошло. Он спрашивал, КТО МОЖЕТ ПОМОЧЬ вычистить вирус и залатать дыры. Очевидно, если вопрос поставлен таким образом, то квалификации топикстартера не хватает на то, чтобы принять меры. Поэтому на кого ориентирован твой столь длинный текст, совершенно неясно, особенно в свете того, что для человека, который в состоянии разобраться с заявленой проблемой, путь проникновения вируса на сайт и так очевиден. В общем, я бы расценил твоё выступление как попытку выпендриться И порекомендовал бы впредь делать это менее явным образом
В принципе, я уже ответил, что если топикстартер не будет знать ПОЧЕМУ это произошло, это НИКОГДА не прекратится. Поэтому нравится ему или нет, но узнать ПОЧЕМУ придётся. На мой взгляд я достаточно доходчиво объяснил, что нужно сделать, поскольку самому этим заниматься не хочется. Возможно, я не прав в том, что это ДОСТАТОЧНО доходчиво. Согласен с тем, что это лучше было бы написать в личку, чтобы впечатлений про выпендрёж не возникало. С другой стороны, я уже видел несколько десятков только смоленских сайтов, которые поимели по той жё технологии, поэтому почитать ПОЧЕМУ будет полезно всем заинтересованным. Даже если это выглядит как выпендрёж, я потерплю.
Вы в личку заглядывали? Всё, чем можно было помочь на словах, я уже написал. А для дальнейшего нужны те данные, про которые я написал в личку.
DreamyWebster - спасибо большое. С меня причитается.... Вроде вируса нет. Я так понимаю, что дверь, которая упала вниз. поднять нельзя? Может подумаешь о сопровождении?
