Скрытые ссылки, как найти источник на сайте?

Messir антивирус шелы не видит и на них не ругается, сегодня опять захожу, на хостинге новые файлы и папки Fariduddin.php появился. Так же архивы в корне и распаковыванные из архивов папки а там сайт с сылками на виагру форекс и тд. Пароли все поменяны х.з. откуда ломятся
айболит это не антивирус.... он как раз и ищет подозрительные фрагменты кода. Гугление по слову ai-bolit может помочь в этом безнадежном деле)))))
 
Для просмотра ссылки Войди или Зарегистрируйся движек обновлен до последней версии, сайт простой практически визитка с блогом. Даже никаких компонентов не установлено, чистая джумла, хостинг виртуальный у хостера, на аккаунте еще несколько сайтов, но они на шопскрипте, те тоже пробуют заразить, но там сайт не изменяется просто папки левые появляются, причем на каждом сайте свои. Видно что не бот а "ручное творчество"
 
не отключил возможность зарегистрироваться на сайте, сегодня зашел в админ панель Joomlы а там такие новые свежезарегистрированные пользователи
вот некоторые
логин/мыло
alphonsemclerie29627 duwyhezyxud1@damnser.co.pl
DhdiClaudi oqomumyy75@mail.ru
DiClaudk DiClauddisam@gono.com.ua
DiClaudr DiClauddibis@gono.com.ua

кто это? спамеры?
 
1) Скачай весь сайт на комп. открываешь Dreamviewer. Жмешь Ctrl+F. В окне вибираешь "Искать в папке" Выбираешь папку в которой находится вест скачанный сайт. В поле поиска вводишь ссылку и нажимаешь "Найти все".
В результате находишь все файлы где скрыта эта ссылка. Аккуратно удаляешь ВЕСЬ блок. Если ссылка найдена в ОЧЕНЬ многих местах, то выделяешь ВЕСЬ блок (код вокруг ссылки), Тут надо быть очень осторожным. Снова жмёшь Ctrl+F. В верхнем поле (Найти) должен появиться выделенный код. Нижнее поле (Заменить) оставляешь пустым. Нажимаешь "Заменить все" (Replace All). Это удалит код со ссылкой везде.
2) Тоже самое проделываешь с остальными ссылками.
3) Загружаешь контент обратно на сайт.
4) Радуешься солнцу и лету )
 

Вложения

  • Capture.PNG
    Capture.PNG
    14,6 KB · Просмотры: 6
1) Скачай весь сайт на комп. открываешь Dreamviewer. Жмешь Ctrl+F. В окне вибираешь "Искать в папке" Выбираешь папку в которой находится вест скачанный сайт. В поле поиска вводишь ссылку и нажимаешь "Найти все".
В результате находишь все файлы где скрыта эта ссылка. Аккуратно удаляешь ВЕСЬ блок. Если ссылка найдена в ОЧЕНЬ многих местах, то выделяешь ВЕСЬ блок (код вокруг ссылки), Тут надо быть очень осторожным. Снова жмёшь Ctrl+F. В верхнем поле (Найти) должен появиться выделенный код. Нижнее поле (Заменить) оставляешь пустым. Нажимаешь "Заменить все" (Replace All). Это удалит код со ссылкой везде.
2) Тоже самое проделываешь с остальными ссылками.
3) Загружаешь контент обратно на сайт.
4) Радуешься солнцу и лету )
Подобный вариант не поможет если ссылки в base64.
Для проверки сайта на вирусы и лечения его попробуй несколько проверенных мной вариантов.
1 вариант - Для просмотра ссылки Войди или Зарегистрируйся. Отличный по моему мнению ресурс. Мои сайты излечил полность. Проверяет файлы на изменения и шлет месаги на почту в случае создания новых файлов и т.д. Проверяет целостность сайта. Ковыряет код на тему base64 и eval. Если находит показывает сам файл и часть подозрительного когда. Причем стандартно зашитый base64 от Joomla проходит его нормально. В общем ребята славно постарались. Можешь добавить сайт. Демо период 1 день. Но никто не запрещал добавлять сайт как поддомен, если ты понимаешь о чем я :-].
2 вариант - Для просмотра ссылки Войди или Зарегистрируйся. Бесплатный антивирус для сайта. Делает резервные копии. Проверяет целостность файлов и шлет месаги если файл был добавлен или изменен. Ищет вредоносный код по запросу. Умеет слать смс если сайт упал. Ставиться на твой хостинг в корень сайта. Я выбрал этот вариант. Конфигурация очень проста. Самое что для меня стало решающим это автоматический бекап базы данных и образа сайта на яндекс диск.

У тебя скорее всего где-то зашита форма загрузки на сайт, которую ты не увидишь, а те кто зашил те точно знают где искать. Поэтому сначала пользуй вирусдай, а затем санти, чтобы быть спокоен как удав.
 
А еще неплохо бы поставить на сайт RSFirewall. Сканирует и выдает подозрительные файлы, измененные файлы, файлы и папки с неверными разрешениями и т.д. Мега штука, рекомендую.
 
У меня на одном сайте яндекс.вебмастер начал кучу ссылок индексировать с редиректами на другие сайты. Прямо оочень много, под сотню почти. Весь сайт проверил, никаких взломов не было, да и ссылок на эти сайты тоже не нашел, хотя понимал, что где-то в шаблоне зашиты, но столько много незаметно зашить нереально. В итоге нашел хитро зашифрованную base64 маленькую ссылочку, которую почему то не замечал при поиске (искал большие куски зашифрованного кода, а она совсем маленькая была). Эта ссылочка вела на странный файлик (на каком то еще более странном ресурсе), в котором и был весь список сайтов, которые яндекс проиндексировал как страницы моего сайта. Чуваку даже ничего мне заливать не нужно было, просто меняй файлик на своем сервере и добавляй новые сайты. Хитрый ход, так сказать :(. Кстати, кто пользуется Санти для мониторинга файлов, подскажите, почему автопилоты не работают? В настройках включен, автор пишет, что раз в 3 дня должен срабатывать, а у меня нифига не срабатывает, приходится заходить и в ручную включать... На форуме сайта вопрос задал, нет ответа... наверное проект загибается, жаль конечно...
 
Знать бы еще - что такое Санти? ))
 
Знать бы еще - что такое Санти? ))
Это бесплатный антивирус для сайтов с открытым исходным кодом Для просмотра ссылки Войди или Зарегистрируйся . Он позволяет мониторить файлы на сайте и сигнализировать на почту, если какие-то файлы были изменены или появились новые. Так же есть антивирус, который сканирует сайт на различный вредоносный код. Там присутствуют автопилоты, которые должны запускать эту проверку раз в три дня (в старых версиях можно было самому настроить частоту сканирования), но у меня они почему-то не запускаются. Там есть еще возможность вручную через cron запускать, скорее придется самому настраивать... Но мне кажется, этот прекрасный проект начинает загибаться, последнее обновление было аж в сентябре 2015 года.
Автопилот все таки запустился, через 9 дней (хотя до этого ждал 10 дней, но не сработал), через 9 дней посмотрю, система это или просто повезло.
 
Последнее редактирование:
Назад
Сверху