Странный маркетинг хостера

[Sandynist 1 115]

Добрый вечер!

 

В связи с отсутствием IT-поддержки у нашей местной газеты, мне приходится помогать сотрудникам газеты с оформлением и поддержкой их сайта.

 

Намедни сотруднику редакции, который отвечает за хостинг, хостер прислал письмо такого содержания:

 

 

Здравствуйте.

На хостинге Тарифный план "F-4" - вашагазета.kz были обнаружены вредоносные файлы на указанных сайтах: вашагазета.kz

В связи с этим, вам необходимо произвести поиск и ликвидацию вредоносного кода в течение 7 календарных дней с момента получения данного письма.

В случае, если по истечении указанного срока вредоносный код не будет удалён, мы будем вынуждены приостановить работу сайта(ов).

 

Для сканирования сайта с целью обнаружения и устранения вредоносного кода, мы рекомендуем воспользоваться антивирусом ImmunifyAV в панели управления хостингом Plesk. Подробная инструкция по использованию данного антивируса доступна по ссылке: https://www.ps.kz/faq/hosting/shared-plesk/imunify. Антивирус доступен только для тарифных планов B-*.

 

Также мы настоятельно рекомендуем самостоятельно, либо с привлечением сторонних специалистов найти и устранить уязвимости, наличие которых привело к появлению вредоносного кода.

Надеемся на ваше понимание и дальнейшее сотрудничество

 

 

Текст письма очень сильно меня смутил. Первым делом полез лопатить сайт, естественно с  включённым антивирусом. Ничего не обнаружилось. Второй порыв — просканировал на Вирустотале. Опять ничего! Всё чисто.

 

Написал одному из сотрудников Лаборатории Касперского, попросил совета. Тот предложил просканировать сайт на virusdesk.kaspersky.com

 

Отчёт по сканированию:

 

 

То есть ни в каких базах вредоносных сайтов наш местный сайт не значится.

 

Как действовать дальше?  Подозреваю, что тут лохотрон со стороны хостера! Как отбиться от его навязчивого предложения?

Изменено 10 августа, 2019 пользователем Sandynist

[andrew75 1 414]

Пусть напишут, какой конкретно вредоносный код и в каких файлах они обнаружили.

 

А то что сайта нет в базах это не показатель. 

 

Посмотрите ссылку - https://www.revisium.com/ai/

Изменено 10 августа, 2019 пользователем andrew75

[Sandynist 1 115]

Ссылку посмотрел. Сайт на Джумле, потому не совсем ясно как делать локальную копию сайта для проверки этим антивирусом.

[Noo 30]

Ссылку посмотрел. Сайт на Джумле, потому не совсем ясно как делать локальную копию сайта для проверки этим антивирусом.

Попробуйте скачать какой-нибудь антивирусный плагин для джумлы и просканировать им плагины сайта. Если что найдёт - хорошо. Если нет - пишите в поддержку хоста, мол ложное срабатывание.

Ещё вариант: если у хостинга есть триал, создайте аккаунт с пробным планом B-* и перенесите на него сайт. Далее просканируйте антивирусом. Интересно, что он найдёт  . После скана не забудьте удалить сайт с пробного аккаунта.

Изменено 10 августа, 2019 пользователем Noo

[andrew75 1 414]

@Sandynist, там есть скрипт, который можно положить на хостинг и запустить.

И есть онлайн сервис для проверки сайта - https://rescan.pro/

[Sandynist 1 115]

Онлайн-проверка ничего не выявила:

 

 

 

Попробуйте скачать какой-нибудь антивирусный плагин для джумлы и просканировать им плагины сайта.

 

Скачал плагин Antivirus Website Protection, просканировал, тот выдал какую-то дичь типа «14 файлов заражены! Опасность! Ваш сайт взломан! Ваш  сайт забанит Гугл в течение 48 часов!» и прочую фигню (конечно же на английском). Пришёл к выводу почему это фигня опять же из-за неуёмного желания создателей плагина нажиться на веб-мастерах.

 

На два файла приведены конкретные ссылки, а на 12 ссылках на остальные файлы значится «FREE REPORT LIMITS», что в переводе на великий и могучий означает: «Вы нам бабла ещё не заплатили, а уже хотите знать какие файлы под нашим подозрением» 

 

Но вот неувязочка для создателей сего чуда именно с теми двумя первыми файлами, адрес которых указан.

 

Посмотрел на дату их изменения, оказывается изменены они были ещё два года тому назад. И вот чего-то за два прошедших до сего дня года, сайт и гуглом не забанен, и антивирусы при его посещении не ругаются на вредоносный код.

[andrew75 1 414]

@Sandynist, напишите хостеру что привлекли экспертов и вредоносный код не найден.

Если они утверждают, что он там есть, пусть приведут конкретные данные. 

 

Вот здесь еще несколько ссылок - https://habr.com/ru/post/303956/

Изменено 10 августа, 2019 пользователем andrew75

[Sandynist 1 115]

 

 

Sandynist, напишите хостеру что привлекли экспертов и вредоносный код не найден.

 

В общем я ко всей этой истории привлёк эксперта — себя, и обнаружил вредоносный код! 

 

Ну и о том, как это сделал естественно пару слов.

 

Хорошо, что сотрудничество с газетой начал с создания бэкапов. На сайт ещё год с лишним тому назад установил плагин Akeeba Backup. Так вот, сделал бэкап с помощью этого плагина, затем скачал его на компьютер и после распаковки архива на диск проверил его антивирусом. Вот тут уже получился совсем другой результат. В нескольких файлах антивирус нашёл Trojan.PHP.Agent.pg и Trojan.PHP.Agent.qn

 

Теперь вот думаю как всё это разрулить.

 

Самое на данный момент печальное — доступа к сайту по FTP у меня нет. Озвучивал эту проблему ответственному за хостинг сотруднику газеты ещё год тому назад, но никаких сдвигов. 

 

Кстати, заразу на сайт положили ещё два с половиной года тому назад, ещё до того, как я начал сотрудничать с газетой.

 

Почему всё это время молчал хостер и все антивирусы — это пока для меня загадка.

 

Есть версия, что назначение у вирья было не в том, чтобы заражать посетителей газеты, а в том, чтобы делать что-либо на первый взгляд не очень заметное — генерировать спам, майнить криптовалюту ну или участвовать в досс-атаках.

P.S. Погуглил, такие истории уже случались, не я первый: https://joomlaforum.ru/index.php/topic,323437.0.html

[andrew75 1 414]

доступа к сайту по FTP у меня нет

скажите что если доступа не будет, то им прикроют хостинг. Собственно хостер имеет на это полное право.

 

Почему всё это время молчал хостер и все антивирусы

потому что они не проверяют сайты постоянно. Видимо уже были проблемы на хостинге и они решили все или выборочно просканировать.

 

не в том, чтобы заражать посетителей газеты, а в том, чтобы делать что-либо на первый взгляд не очень заметное — генерировать спам, майнить криптовалюту ну или участвовать в досс-атаках

с большой вероятностью так оно и есть.

 

такие истории уже случались, не я первый

да сплошь и рядом. Уязвимости в CMS-ках и плагинах быстро начинают эксплуатировать.

 

По вашей ссылке все написано, что надо делать, когда будет ftp.

Изменено 11 августа, 2019 пользователем andrew75

[Sandynist 1 115]

C антивирусами для сайтов всё не так хорошо развивается, как с антивирусами для операционных систем, например: https://yandex.ru/manul/

 

По решению возникшей проблемы мне видится два пути:

 

1) Попытаться откатить на резервную копию трёхлетней давности, там вроде бы всё не так запущено по мнению антивирусных сканеров.

 

2) Снести сайт, накатить CMS самой последней версии и делать сайт заново.

 

Лечить то, что есть очень проблематично да и не знаю, нужно ли?

[andrew75 1 414]

 

 

Снести сайт, накатить CMS самой последней версии и делать сайт заново

вы уверены, что они к этому готовы и у них есть кому этим заниматься? В частности делать сайт заново.

 

 

 

Попытаться откатить на резервную копию трёхлетней давности

вопрос насколько изменился контент за это время и опять-таки есть ли кому его восстановить.

 

Можно забэкапить сейчас базу (скорее всего база чистая), снести сайт, поставить заново CMS-ку последней версии со всеми нужными плагинами и подгрузить базу.

Опять-таки если есть кому этим заниматься.

[Sandynist 1 115]

 

 

Опять-таки если есть кому этим заниматься.

 

Заниматься всем эти придётся мне. Газета у нас не настолько богатая, чтобы позволить себе расходы на хоть какую-то вменяемую тех.поддержку. Цена вопроса — около 300 условных ёжиков в год, но даже эти деньги взять негде.

 

Кризис он не только в России, он и по нам бьёт из всех орудий. Когда только начинал сотрудничество с газетой, она состояла из 16 полос, сейчас объём сократили до 12. 

 

В связи с прояснением ситуации с хостером тема закрыта, продолжаем здесь >>>