Ребята, помогите, кто сталкивался? Хостеры закрыли сайт из-за массовой спам рассылки. Как мне искать этот вирус? И как понять причину взлома? Очень жду помощи
Ищите поиском по файлам eval, assert, base64, array_map, extract, curl, file_get_contents и смотрите, нет ли там подозрительного кода. В принципе, в первых двух вариантах это точно он, в случае с остальными нужно смотреть на сам код.
Ну, именно этот кусок кода - да. Только он закоментирован. Вообще, если в base64_decode завёрнуто какой-то набор символов, а не переменную - это точно вирус. В остальных случаях надо смотреть на остальной код.
т.е. тот кусок, что я скинула, это вирус? А почему интересно он активизировался вчера в 22.30, хотя файл последний раз менялся 2.11.13?
В вебе понятие "вируса" - это условность. Обычно, это бекдоры, которые позволяют их автору получить доступ к сайту. Соответственно, вредоносное их действие проявляется тогда, когда автор бекдора что-либо делает через него на сайте. Но этот кусок кода не тот "вирус", который вы сейчас ищите (если файл действительно не менялся 2 года), ибо он во-первых, закомментирован, а во-вторых, просто отправляет какой-то текст в ответ на запрос.
Так а как же мне тогда быть? Сейчас идет поиск по "eval". Количество файлов меня совсем не радует. Тем более что я не всегда понимаю, что значит кусок кода. А этот Eval в основном в скриптах находится по поиску
В смысле, в js скриптах? Там это может быть и не вредоносный код, а просто некачественный или обфусцированный. Учитывая, как проявился этот вирус, искать надо по php файлам. Правда, есть вероятность, что на странице входа в админку есть js скрипт, который отправляет кому-то логин и пароль от админке.
Хостеры мне написали так: Мы заметили, что ваш сайт участвует в рассылке email сообщений (СПАМ сообщений). В связи с этим, ваш хостингаккаунт ********] был временно заблокирован. Просим вас принять меры по устранению вредоносных скриптов вашего сайта с целью недопущения подобных рассылок. В приложении вы найдете информацию с нашего сервера о рассылке спама вашим сайтом. На время оптимизации скриптов/устранения вредоносных файлов, мы можем временно перенести ваш сайт на сервер отладки приложений (данный сервер предназначен для оптимизации скриптов клиентами). По вашему запросу, сайт будет возращен обратно на прежний сервер после оптимизации. Но я ничего не поняла в этом прикрепленном файле
Можно. Только ничего полезного там нет: первая половина файла это логи запросов к БД, при беглом просмотре которых ничего подозрительного не заметно, а вторая часть файла это совершенно не информативный лог веб сервера.
Это все, что мне хостеры скинули. Скажите, а поставить бекап нельзя? У меня есть от 12.11. Тогда еще ни о каких вирусах хостеры не говорили. Можно так?
Я тебе дам только дельный совет-найти код без доступа нереально. 2. Искать твой "вирус" на сайте дело трудоемкое и если не можешь сам определить файл (путем что когда устанавливал и после чего появилось), лучше не трать неделю/две на его поиски, а попроси за небольшое вознаграждение прогнать его у специалистов, их тут достаточно и при чем грамотных. Но, как говорится - решать тебе.
11 - это месяц или год? Если у вас бекап, сделанный 3 дня назад, сильно сомневаюсь, что от него будет польза. Нужен как минимум бекап до последних установок модулей (если предположить, что вирус был в одном из последних установленных модулей). А хостер говорит не о вирусе, а о рассылке спама. То есть, вирус и пол года мог до этого момента у вас пролежать без дела пока не понадобился автору.
Вот есть отчет от aibolit Извините, что не сразу ответила. Не было возможности. Бекап как раз трехдневной давности до установки модуля Вчера ночью, около 4 утра точнее, хостеры прислали письмо с извинениями, отключили аккаунт из-за большой нагрузки на сервер с моей стороны. Никакой рассылки спама от меня не шло. Вот так. Теперь надо разбираться, что вызвало эту нагрузку и была ли она вообще. Программа айболит мне нашла подозрительные файлы, включая мобильный редирект. Вот это может со временем мне навредить?
А редирект куда? То есть, у вас должен он быть? Мобильный редирект - очень популярная вирусная вставка: если посетитель заходит с телефона, его отправляет куда нужно автору вируса, а владелец сайта заходя с компьютера даже не подозревает, что есть проблема. А вы перед этим что-нибудь с сайтом делали? Импорт/экспорт товаров, добавление сайта в Я.Маркет или какой-то другой агрегатор, установка какого-нибудь фильтра?
На редирект указывается в htaccess. Хотя я его не меняла с апреля того года На сайте ничего не делалось, в логах ошибок есть указание на синтаксическую ошибку в файле модуля и после этого запись о том, что упала БД.