GD Star Rating
loading...

опасносте!
Пасаны, есть вот такой сайт http://theartistclub.ru/
При попытке зайти на него через google chrome
выдается вот такое сообщение:


Опасность: обнаружено вредоносное ПО!
Google Chrome заблокировал доступ к этой странице на сайте theartistclub.ru.
На эту веб-страницу было вставлено содержание с www.insightcrime.org, известного распространителя вредоносного ПО. Ее посещение может привести к заражению вашего компьютера вредоносным ПО.

Куда копать, чего делать, кому писать?

Tagged with →  

16 Responses to Опасность: обнаружено вредоносное ПО!

  1. Ravre:

    Там подключается

    http://www.insightcrime.org/media/system

    Собсно, напиши хозяевам http://theartistclub.ru/, попроси их подключать jQuery из какого-нибудь более приличного места (яндекс, гугол, вот это все)

  2. OHA01:

    Убрать фиговые ссылки, после чего в Вебмастер Тулз запросить перепроверку страниц.
    Если сайт не внесён в Вебмастер Тулз, то сделать это и запросить перепроверку страниц.

    Если theartistclub.ru это твой сайт, конечно.

  3. Ag300:

    я приходящий админ в этой компании. доступ к ресурсам сайта есть.
    что есть jQuery? насколько я понял из википедии – это набор готовых ява-скриптов?
    откуда сейчас jQuery подключается?

    как найти все “фиговые ссылки”? сейчас через ftp сканирую сайт на поиск по “insightcrime”, но чую, что фигней занимаюсь.

    и вопрос номер №3 откуда сие взялось? это дыры движка, или кто-то где-то пароль засветил?

  4. Ag300:

    ан нет. нашел 77 файлов содержащих строку “insightcrime”.
    процедура лечения долгая?
    сейчас стоит поставить на главную простой html “сайт на реконструкции”?

  5. Xxxre:

    админ он, ты посмотри на него!
    по фтп сканирует, по айпи вычисляет!

  6. Knuin:

    http://www.revisium.com/ai/ прогони вот этим вот, все подозрительное что он найдет изучи или исправь, либо передай челу который в этом разбирается. Я думаю там бекдоров тьма.

  7. NarVelo:

    Стоит. И обязательно картинку туда прицепить, такую, с полосатым заборчиком.

  8. YciWin:

    недавно лечил подобную дрянь, 2 полных дня ушло при том, что я знаю как они выглядят и где чистить.

    1. сделай дамп БД и просканируй хоть grep’ом (на фтп не работает 🙂 ) на предмет жаваскриптов в полях контента (по-хорошему, вообще не должно быть жаваскрипта в бД)
    2. сделай себе локальную копию сайта и тем же Grep’ом сканируй на предмет
    exec, system, base64, eval.
    Естсественно, прозрачные ссылки на тот вредоносный сайт.

    Просмотри код на предмет file_get_contents/curl из урлов.
    3. залей все снова на очищенный хост и в чистую БД
    4. если это цмс – почитай оф доку по правам на директории (для сраного вордпресса закрывай нафиг даже uploads, themes, plugins – обновлять руками будешь)
    5. меняй пароли доступа (все – в админку, в БД, в управление хостингом)
    6. убирай фтп как класс отовсюду. Для доступа по ssh лучше нагенерить ключей и пользоваться только ими

    Это вкратце.
    Если есть деньги и нет опыта – пиши сюда, может кто возьмется. Я бы взялся где-то за 25 баксов в час, ориентируйся на 16 часов. Тут есть пост с девочкой, там можно разместить объяву. Есть ниже цены, ищи.

  9. HtoAdm:

    я лечу и закрываю, если чо.

  10. HtoAdm:

    Короче, постируй, если что.

  11. DikMsk:

    А сайтик-то похакали, все ссылки ведут на vipmedprice.

  12. Ag300:

    всем спасибо.
    блогодруг dedulik помог восстановить работоспособность сайта.
    похакали скорее всего по причине “топ 100 самых популярных паролей”.

  13. HtoAdm:

    не, по причине, которая называется wordpress и его лучшие друзья – плагины.

  14. VsaSm:

    Надо, блин, использовать vcs, e.g. git. Тогда увидеть все локальные модификации помог бы простой git status. Ну вот кто еще в 2013 году хранит код “на флешке” и деплоит сайт копированием по FTP? Про то, что “хостинг такой” – не верю. За 50 долларов в месяц можно завести себе, скажем, линодовскую виртуалку со всеми плюшками.

  15. KilLinux:

    да там скорее всего разрабы похачили и не без фтп. Это ещё не последняя серия, если всё не обновить 🙂

  16. HtoAdm:

    права доступа на параною, 403 на всё, кроме точек входа, ссш/фтп в коде выкосить к хуям, итд.

Добавить комментарий