Absent Опубликовано 19 Октября 2010 Жалоба Поделиться Опубликовано 19 Октября 2010 (изменено) Вида RewriteEngine On RewriteBase / RewriteRule ^(.*)? _http://имя сайта/z.phpВ папках cache cache_langskin_cache/cacheid_3 skin_cache/cacheid_4skin_cache/cacheid_5Форум закрыл, пароль на ftp сменил, backup сделал. Что делать дальше?Ставить по новой?Менять хостера?Лицензионный дистр. 2.2.2Спасибо за полезные советы. Изменено 19 Октября 2010 пользователем Absent Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Arhar Опубликовано 19 Октября 2010 Жалоба Поделиться Опубликовано 19 Октября 2010 имя_сайта сказало бы многоеа так - смотреть, появятся ли сноваможно поиском по файлам проверить весь бекап, может в нем есть исполняемый файл, в котором этот код (шелл)можно сравнить слепки файловой системы бекапа и чистого форума, отсюда сделать выводыможно удалить фтп клиент, сколько пароль не меняй, его вирус украдет снова Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Absent Опубликовано 19 Октября 2010 Автор Жалоба Поделиться Опубликовано 19 Октября 2010 (изменено) имя_сайта сказало бы многоеа так - смотреть, появятся ли сноваможно поиском по файлам проверить весь бекап, может в нем есть исполняемый файл, в котором этот код (шелл)можно сравнить слепки файловой системы бекапа и чистого форума, отсюда сделать выводыможно удалить фтп клиент, сколько пароль не меняй, его вирус украдет сноваИмя сайта _http://webarh.com/z.php Изменено 19 Октября 2010 пользователем Absent Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Arhar Опубликовано 19 Октября 2010 Жалоба Поделиться Опубликовано 19 Октября 2010 Безопасный просмотрСтраница диагностики для webarh.com Занесен ли сайт webarh.com в список подозрительных веб-сайтов? Сайт занесен в список подозрительных веб-сайтов – посещение этого сайта может нанести вред вашему компьютеру. В некоторой части этого сайта несколько раз (2) за последние 90 дней была замечена подозрительная активность. Что произошло во время последнего просмотра этого сайта компанией Google? Из протестированных нами за последние 90 дней страниц данного сайта (397) в загрузке и установке вредоносного программного обеспечения без разрешения пользователя было замечено 27. Последний раз сайт просматривался Google 2010-10-19, а подозрительное содержание было обнаружено 2010-10-19. Malicious software includes 166 scripting exploit(s), 3 trojan(s). Successful infection resulted in an average of 2 new process(es) on the target machine. Количество доменов, на которых размещается вредоносное ПО, равняется 5, включая 77.78.201.0/, 62.122.72.0/, 77.78.246.0/. Несколько доменов (2), по всей видимости, является промежуточными звеньями в распространении вредоносного ПО среди посетителей этого сайта, включая 91.188.60.0/, 77.78.245.0/. This site was hosted on 2 network(s) including AS25129 (MONITORING), AS34229 (OMEGA). Был ли данный сайт промежуточным звеном в дальнейшем распространении вредоносного ПО? По всей видимости, за последние 90 дней сайт webarh.com действовал в качестве промежуточного звена в заражении других сайтов (245), включая alfa.lt/, izu-tenbo.com/, ifri.org/. Размещается ли на этом сайте вредоносное программное обеспечение? Да. За последние 90 дней на этом сайте размещалось вредоносное программное обеспечение. Были заражены некоторые домены (616), включая knowyourmobile.com/, knowyourcell.com/, denofgeek.com/. Как это произошло? В некоторых случаях третьи лица могут добавить вредоносный код на вполне законные сайты. Предупреждающее сообщение может быть показано нами именно по этой причине.так что вот так) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Absent Опубликовано 19 Октября 2010 Автор Жалоба Поделиться Опубликовано 19 Октября 2010 (изменено) так что вот так)Это я всё читал... и про свой форум.А ссылка на webarh была в htaccess Через админку хотел htaccess поставитьВот результат:Запись «.htaccess» в директорию /usr/home/.../domains/мой сайт.com/public_html/forum/cache...Невозможно произвести запись в /usr/home/.../domains/мой сайт.com.com/public_html/forum/skin_acp...Невозможно произвести запись в /usr/home/.../domains/мой сайт.com.com/public_html/forum/style_avatars...Невозможно произвести запись в /usr/home/.../domains/мой сайт.com.com/public_html/forum/style_emoticons...Запись «.htaccess» в директорию /usr/home/.../domains/мой сайт.com.com/public_html/forum/style_images...Невозможно произвести запись в /usr/home/.../domains/мой сайт.com.com/public_html/forum/style_captcha...Невозможно произвести запись в /usr/home/.../domains/мой сайт.com.com/public_html/forum/uploads... Такого содержания:# Order allow,deny Deny from all # Изменено 19 Октября 2010 пользователем Absent Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Ritsuka Опубликовано 20 Октября 2010 Жалоба Поделиться Опубликовано 20 Октября 2010 Absent, форум - это порядка 5 мб разных файлов, более тыс из них - исполняемые скрипты. Без должных навыков даже автоматизированные утилиты безопасности (тем более в двойке они не очень....) тут мало помогут, особенно если кто-то целенаправленно завладел именно вашим ftp или иным доступом к вашему хостингу. Первым делом свяжитесь с хостером и поставьте перед ним задачу проанализировать логи сервера и узнать, каким образом был осуществлен взлом. Хороший хостер обязан это знать и вести логи, и, более того, дальше сам вам все расскажет и поможет. Может быть, ломают не вас, а всего хостера, и тогда вам просто нечего искать у себя и проблему решит сам хостер (ну или меняйте его). Если хостер скажет, что увели FTP-акк и есть логи ftp-подключений - запросите их, смотрите, какие файлы залиты, какие изменены - верните оргинальные копии из бекапов и удалите все лишнее. Ищите любые новые и сомнительные php-файлы, которых нет в оригинальном дистрибутиве. Опять же, если увели ftp-акк - подумайте, как это могло быть сделано. Если у вас Windows - подумайте, что еще могло быть украдено (ssh, пароли от почты, веб-панели администрирования сервера, фото вашего любимого котика). Решите проблему безопасности (переустановка Windows, установка Linux, новый антивирус...). Затем смените все пароли везде. Если не ставили патчи и кто-то воспользовался уязвимостями вашей, откровенно говоря, устаревшей версии форума - обновитесь хотя бы до 2.3.6 или накатите все патчи. Наймите фрилансера под это дело, если сами не уверены. Наконец, если ничего из перечисленного не поможет, а "злодей" не оставил никаких следов - найдите фрилансера по IPB, купите новый чистый акк на хостинге, дайте задание фрилансеру, чтобы он перезалил чистый же дистрибутив IPB и прикрутил к нему вашу существующую БД, моды и аттачи без вашего непосредственного участия и сами как минимум до окончания всех работ ftp-доступами к новому хостингу не пользуйтесь Также почитайте это: http://wiki.iblink.ru/kb/maintenance/my_board_has_been_hacked_or_has_a_virus Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Вопрос
Absent
Вида
RewriteEngine On RewriteBase / RewriteRule ^(.*)? _http://имя сайта/z.php
В папках
cache
cache_lang
skin_cache/cacheid_3
skin_cache/cacheid_4
skin_cache/cacheid_5
Форум закрыл, пароль на ftp сменил, backup сделал.
Что делать дальше?
Ставить по новой?
Менять хостера?
Лицензионный дистр. 2.2.2
Спасибо за полезные советы.
Изменено пользователем AbsentСсылка на комментарий
Поделиться на других сайтах
5 ответов на этот вопрос
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.