cotonti.com : Вирусы на Кото?

Evil

Wed, 03 Jun 2009 23:45:23 -0000

Trustmaster удалите адрес сайта пожалуйста из своего сообщения, по поиску названия моего сайта ваше сообщение одно из первых в Яндексе.

Альф вы будете смеятся, я всегда пользовался КИС 6 версии, решил обновить и сидел 2 месяца на 2009 (он же 8 версия), он очень неудобный, и вот решил я удалить и снова поставить 6 версию, что вы думаете? он нашел 2 вируса (прогонял вашей прогой от доктор веба - ничего не нашла).

qdeez

Fri, 15 May 2009 22:51:18 -0000

Альф,каждому свое по душе,хотя касперского тоже не люблю xD
Значит понял,в чем вся штука была....на народе был старый сайт,он и заболел ифреймом,а я склеил его с сайтом на новом хостинге,поставил на него ссылки...не знаю наверно вирус всегда как-то перебегал :-)),вот и заражался сайт на Кото на том же хостинге...вот так наверно

Альф

Wed, 13 May 2009 17:29:15 -0000

Выкиньте этот KIS на помойку. Поставьте Аваст Home - бесплатная регистрация на 14 месяцев, ифрейма ловит и блокирует доступ к зараженному сайту. Еще на сайте Доктора Вебера по этой ссылке скачиваем бесплатную приблуду в форме паучка и лечимся от всякой нечисти безвозмездно, то есть даром. Приблуду надо регулярно скачивать новую, примерно раз в неделю и вирусы вам будут не страшны. При запуске лечит быстро, после чего возможно запустить полную проверку вашего компутира. Инструкция на Бесплатную лечащую утилиту Dr.Web CureIt!® Надо вычистить свой комп, а потом загружать Кота на сервер.

qdeez

Wed, 13 May 2009 01:20:28 -0000

Evil,извените исправил ,]

Evil

Mon, 11 May 2009 17:08:03 -0000

Если не сложно, модераторы, удалите пожалуйста ссылку на сайт с темы.

Sharp_Toothed

Tue, 05 May 2009 16:38:02 -0000

2 Evil

А у меня схема такая: Я ставлю виртуальную машину и в Сеть хожу ТОЛЬКО с неё. Причём, машинок таких несколько и каждая для своего применения. Одна такая типа белая и пушистая и ТОЛЬКО для административных дел на проектах. Как только сделал - так погасил. Кроме того, РЕГУЛЯРНО делаю с неё копии её "харда", благо он выбран размером 1Гб Ну и регулярно проверяю её одноразовыми утилитами или от Касперского, или от Данилова. Да, и ещё я нигде не храню пароли в прогах, ибо достать их из любой проги - это только вопрос времени. Три секунды затраченные на копипаст ПМСМ помогают избежать многих проблем.

qdeez

Tue, 05 May 2009 11:11:01 -0000

Evil,http://www.webscanner.ru/
Или антивирус в панели управления сайтом

Evil

Tue, 05 May 2009 10:16:25 -0000

Движок тут не причем, у меня взломали компьютер и разместили долбаный вирус на 15 проектах. Вроде зачистил. Этот вирус создает на диске С файл qiy.ygq видно внедрился в мое ПО, но антивирь ничего не видит, стоит KIS со всеми обновлениями, работаю через Total Commander, скачивал с офф сайта (кажется в нем и есть основная дыра!), сейчас ищу замену =(. Эта падла внедряется во все пхп файлы, в которых есть тег body или .

З.Ы. есть ли сервис, чтобы проверить весь сайт на вирусы? Если просто сравнивать файлы, то у меня пол движка перелопачено, а так, запустил типа бота на сайт и он пишет - такая то страница заражена.

Sergeich

Mon, 04 May 2009 20:52:01 -0000
Ну значит движок тут не причём, тему можно закрыть :)

qdeez

Mon, 04 May 2009 20:32:20 -0000
Хостер дал мне логи....там в период около часа что-то с разных айпи входило в С-панель(на ФТП) и каждый раз добавляло вредоносный в файлы...все пассы сменил...на компьютере ничего опасного нет,почистил все что можно...буду смотреть результат,надеюсь все будет хорошо,спасибо!

Trustmaster

Mon, 04 May 2009 12:06:03 -0000
Обычно одно из трёх:
[list=1]

Украли пароль от FTP у одного из админов (обычно через троян в каком-нибудь Total Commander'е) и записали свой код в скрипты.

Украли пароль от админки к сайту (различными способами, от соц. инженерии до XSS) и добавили свой код в меню. Китайцы и турки особенно любят этот момент.

Взломали сайт через дырявый плагин и залили свой контент.
Чтобы понять, что случилось, необходимо проанализировать, в каком месте вывода (HTML-код генерируемых страничек) находится вредоносный скрипт. Соответственно, он либо выводится каким-то тэгом (вроде {PHP.cfg.menu1}), либо прописан в шаблоне, либо выдается самим скриптом.

Sergeich

Mon, 04 May 2009 05:20:56 -0000
если чтото вписали в index.php, то это или пароли свиснули или хостера ломанули, т.к. сам движок в этот файл ничего писать не умеет.

esclkm

Mon, 04 May 2009 04:59:58 -0000
да нормально -у меня почемуто такое регулярно( обидно но факт))))
да преимущественно файлы индекс) везде надо искать дописку iframe )
сейчас менил пароли от фтп - теперь они есть только у меня) посмотрим на сколько хватит)

Fagot

Mon, 04 May 2009 04:01:34 -0000
IMHO полезно снять атрибуты W со всех файлов php движка. Особенно в корне сайта.

qdeez

Mon, 04 May 2009 03:30:14 -0000
Sergeich,спасибо,завтра обязательно попробую,заражаются файлы преимущественно с названием index...
После того как устанавливал плагин Юзергал дооступы на нужные папки ставил 777....все впринципе остальное свое неопасное....если только галерея 250 левая еле нашел,на вирусы проверил,все норм...

Sergeich

Mon, 04 May 2009 03:11:18 -0000
Скачайте архив котонти с оф.сайта. Затем распакуйте архив и сравните название всех файлов оф.версии со своим сайтом. Если найдёте что-то лишнее в корне сайта или в папке core, то это с большой долей вероятности злобный вирус.

Также интересует какие у вас права на папки и файлы на хостинге выставлены, какие плагины установлены (и откуда скачаны). На каких страницах вирус обнаруживается.

qdeez

Mon, 04 May 2009 02:03:26 -0000
Trustmaster,здравствуйте,вывод это что?
www.ro-nifelheim.ru : Сайт содержит подозрительный JavaScript код
На своем сайте я проверил все страницы,папки на хостинге,лишнего ничего не обнаружил...

Trustmaster

Mon, 04 May 2009 01:56:12 -0000
ro-nifelheim.ru взломан и содержит в выводе "инородное тело". Проверьте внимательно, нет ли в выводе вашего сайта чужеродных скриптов, которые отсутствуют в шаблонах и стандартном выводе Cotonti.

А бывают менее печальные истории. Например, один популярный антивирус считает трояном популярную библиотеку jQuery и ругается на все сайты и движки, которые её используют.

qdeez

Mon, 04 May 2009 01:38:04 -0000
Здравствуйте,столкнулся с проблемой вируса на своем сайте...сам вирус Exploit.HTML.IFrame-6...появляется даже после того как все чистил у себя на компьютере,на хостинге,менял пароли и т.д...
Но дело в том что столкнулся ещё с парой саййтов с такой проблемой,как например ****.ru извените если палю,кому-то наверное поможет...и ещё просто натыкался,не стал искать сейчас...описание:Веб-сайт по адресу ro-nifelheim.ru содержит элементы сайта gumblar.cn, где, вероятно, размещено вредоносное ПО – программа, которая может нанести вред вашему компьютеру или выполять действия без вашего согласия. Ваш компьютер может быть заражен просто при посещении сайта, на котором размещена вредоносная программа...и все с китайских .cn,подскажите пожалуйста если кто что знает...