Рекламный блок.

Собственно Яндекс выдал предупреждение, что сайт заражен
http://accsnab.com.ua
Вэбмастер выдал название вируса: Troj/JSRedir-MH

КАК ЛЕЧИТЬ???

КАК ЛЕЧИТЬ???

Все зависит от того на каком движке сайт (в данном случае друпал), где именно находится вредоносный код, так же нужно выяснить как он туда попал На сайт не пускает даже опера - предупреждает о заражении, так что нужно вам как администратору проверить на каких же страницах засел вредоносный код, удалить его из них (естессно вручную) либо поднять более ранние бэкапы. Сайт проверялся как я понял по базам http://antivirus-alarm.ru/ 12 числа сего месяца и вирусов там не найдено, но это не значит что их там нет. Поскольку вирус найден именно яндексом я бы добавил сайт в панель вебмастера от яндекса и там уже администратор сайта может получить более подробную информацию о вирусе, на каких страницах найден и т.д. Поскольку сайт выполнен на друпале - в первую очередь проверить актуальность версии ядра и модулей, кстати очень часто сайты на друпал заражаются именно из за дыр в модулях, особенно тех, которые устарели или вообще не поддерживаются. Есть еще более углубленные программы и скрипты для анализа сайта но с ними удобно работать имея рут доступ к серверу, хотя можно и средствами PHP
P.S. Особое внимание следует обратить на .js файлы, причем в первую очередь на те, которые находятся в модулях Удачи в лечении, доводилось мне уже не раз этим заниматься, иногда находил за несколько минут, а иногда не хватало и нескольких суток.
P.P.S. http://www.revisium.com/ai/ - рекомендую к использованию, проанализировать придется не мало, но зато шансы найти максимальны

Отредактировал VladiZlav - 17 Октября, 2013, 14:44

удалить его из них (естессно вручную)

каким образом это сделать?

я бы добавил сайт в панель вебмастера от яндекса и там уже администратор сайта может получить более подробную информацию о вирусе, на каких страницах найден и т.д.

это уже сделано
есть список старниц

на каким редактором залезть в код?

на каким редактором залезть в код?

любым толковым текстовым, я к примеру всегда использую http://akelpad.sourceforge.net/ru/index.php

каким образом это сделать?

В идеале предварительно слить копию сайта (забэкапить), а затем внеся правки в необходимые файлы залить на сервер, очистить кэш, проверить результат.

небольшое дополнение - тут как я понял вирус хитроопый, он может проявится а может и нет в зависимости от рефера (смотрит откуда пришел юзер), так что его нужно тщательно вылавливать. Знать на каких страницах он есть - часть дела. Страницы же формируются на отдачу из многих составляющих, теперь я бы начал проверку всех файлов этим инструментом http://www.revisium.com/ai/

VladiZlav
спасибо за помощь!

буду разбираться сейчас

Походу проще восстановиться с резервной копии

а эту копию как проверить на вирусы оффлайн?

а эту копию как проверить на вирусы оффлайн?

по большому счету никак, только подняв у себя на локалке сервер и пройдя утилитой которой я рекомендовал выше. Но просто восстановление бэкапа - это временное решение проблемы, нужно найти дыру откуда он вообще взялся

а эту копию как проверить на вирусы оффлайн?

обычным текстовым поиском в тотал командере например, но для этого в начале нужно было выявить тело вируса.
Вообще устранить вирус это ерунда, гораздо важней определить, каким путем он туда попал. Нужно смотреть даты модификации файлов, инфицированные файлы будут иметь боле позднюю дату, чем остальные файлы движка. Далее по дате модификации файлов поднимаем логи вебсервера, и ищем подозрительную активность. Если дыру искали сканером, там наверняка будет шквал кривых запросов, с 404-ой ошибкой. Если ломали через дыры в скриптах, таким путем можно вычислить уязвимость.
Так же нужно поднять логи фтп, возможно заход был оттуда.
Ну и стандартные действия после взлома:
1 смена всех паролей, ко всему, фтп, панель хостинга, админка и т.п.
2 если используется фтп, обязательно задействовать фильтрацию по IP
3 сообщить хостеру, и узнать не были ли взломаны другие аккаунты, вполне возможно проблемы на его стороне.
4 проверить все компы с которых админится сайт, на наличие вирусов

А ещё можно попробовать поискать файлы с недавней датой модификации.

Поскольку за последнюю неделю вирус очень активизировался то сделали по нем более подробный обзор.

проблема в том что вирус сложный и современный
прописывается в файлах, а точнее в 3х.
1. - флеш файл .swf
2. - вызывающий его закодированный .js
3. - измененный файл движка / темы / стиля / пинчеванная картинка ... что была на сайте которая подтягивает вышеуказанный и максимально незаметна по изменениям (вес и дату стараются оставить как в изначальном)

Обзор подробный по этому вирусу тут - w2b.com.ua/audit/552-kak-udalit-virus-trojjsredir-mh-s-sajta.html

если сами не разберетесь, то обращайтесь в skype: w2b.kz или на почту - support@w2b.kz по цене порядка 25$ за лечение, срок гарантированного возврата в чистую выдачу серпа Яндекса - от 2 до 72 часов.

В Вашем конкретном случае (без фтп доступа сказать точно сложно что там еще заражено) но вроде как сам файл зловред - accsnab.com.ua/sites/default/files/589.swf это п.1 после выполнения 2 и 3 ну и всего что по инструкции прописано можете переподать.
А насчет проверки есть вирус или нет то лучше всего virustotal.com юзать, вот Ваш сразу засветился:
virustotal.com/ru/url/aa2ec7ba5e939197f5acac63585b3d358437ce0775897ee146e9f035729e1b7a/analysis/1382224925/

Отредактировал w2bcomua - 20 Октября, 2013, 3:33

Спасибо w2bcomua за оперативное решение проблемы!
Быстро, четко и за адекватные деньги!

Рекомендую!!!

Ваш сайт заражён
смотрите в файлах .php по адресам http://accsnab.com.ua/node/714, http://accsnab.com.ua/content/kak-kupit, http://accsnab.com.ua/node/1, http://accsnab.com.ua/node/2, http://accsnab.com.ua/каталог/borona-luschilnik/vtulka, http://accsnab.com.ua/каталог/borona-lusch...ik/gajka-borony
участки кода:
<p class="rtecenter"><a target="_blank" href="http://accsnab.com.ua"><img width="162" height="162" border="0" title="QR код" alt="" src="http://qrcoder.ru/code/?BEGIN%3AVCARD%0AFN%3A%C0%E3%F0%EE%F1%EF%E5%F6%F1%ED%E0%E1%0AORG%3A%CE%CE%CE+%22%CF%F0%E5%E4%EF%F0%E8%FF%F2%E8%E5+%22%C0%E3%F0%EE%F1%EF%E5%F6%F1%ED%E0%E1%22%0ATEL%3A%2 B380665248348%0AURL%3Ahttp%3A%2F%2Faccsnab.com.ua%0AEMAIL%3Asales%40accsnab.com.ua%0ANOTE%3A%C7%E0%EF%F7%E0%F1%F2%E8%2C+%EC%E0%F2%E5%F0%E8%E0%EB%FB%2C+%F3%F1%EB% F3%E3%E8+%EF%EE+%F0%E5%EC%EE%ED%F2%F3+%E4%EB%FF+%F2%F0%E0%EA%F2%EE%F0%EE%E2%2C+%EA%EE%EC%E1%E0%E9%ED%EE%E2%2C+%E0%E2%F2%EE%EC%EE%E1%E8%EB%E5%E9%2C+%F1%EF%E5%F6%F2%E5 %F5%ED%E8%EA%E8%0AEND%3AVCARD&amp;2&amp;0" /></a></p>

В любом случае выражаем признательность IVR за проявленную заботу, но "вынуждены" разочаровать, указанный код это не вирус, а лиш ссылка с картинкой пусть и по очень страшному адресу
Разберем подробней весь код:
<p class="rtecenter"><a target="_blank" href="http://accsnab.com.ua"> - открытие строи и ссылка причем на главную того же сайта
</a></p> - закрытие ссылки и самого строки
теперь самый "страшная" часть:
<img width="162" height="162" border="0" title="QR код" alt="" src="http://qrcoder.ru/code/?BEGIN%3AVCARD%..." />
это код к показу картинки по с адреса qrcoder.ru/code/?BEGIN%3....
что бы удостоверица в том что там нет вируса а это просто GIF изображение достаточно проверить его отдельно, что подтверждает отсутствие в нем отсутствия зловредного кода - https://www.virustotal.com/ru/url/2ea527f7a...sis/1382462620/

Касаемо очистки сайта http://accsnab.com.ua/ от вируса Troj/JSRedir-MH то она была успешно проведена о чем свидетельствует удаление сайта из базы зараженных в Sophos антивирусе и соответственно сегодняшний его возврат к нормальному режиму поисковой выдачи без предупреждения об опасности заражения, подробный отчет по лечению сайта есть у его владельца, думаю если он захочет то поделится с Вами подробностями где был вирус и что с ним сделали.
--
Хорошего Вам вечера и пусть Вас не кусают вирусы
С уважением, W2B support center
--------------------------------------------
e-mail: support@w2b.kz
icq: 265909362
skype: w2b.kz
web: www.W2B.kz

в 18-30 сайт ещё был в Blacklist яндекса.
Сейчас всё нормально и это есть - хорошо.

В свое время сталкивался с аналогичной ситуацией.
Проблему решал восстановлением пораженных файлов из бакапа.

Проблему решал восстановлением пораженных файлов из бакапа.

фигня это все,если залез один раз-залезет и потом,нужно искать место,через которое он влез или обновлять сук или переезжать на другую

хотя,еще надо узнать инфу,поймали ли эту гадость сайты, которые крутятся у провайдера, бо могут и через провайдера залезть

З.Ы. много видел сливов проектов,которые были слиты через дыры в centos или его карявую настройку на стороне безопасности


и самая шикарная редактилка для php-netbeans

Отредактировал parolex - 9 Декабря, 2013, 15:32