Перейти к содержимому


Фотография
- - - - -

Странный маркетинг хостера

Внимание!

Счетчик сообщений и начисление баллов в разделе отключены.

 

Осторожно, мошенники! Пострадавшим от WannaCry.


  • Закрытая тема Тема закрыта
Сообщений в теме: 11

#1 OFF   Sandynist

Sandynist

    Гигант мысли

  • Старожилы
  • Золотые бета-тестеры
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 338

Награды

     

Отправлено 10 Август 2019 - 18:44

Добрый вечер!

 

В связи с отсутствием IT-поддержки у нашей местной газеты, мне приходится помогать сотрудникам газеты с оформлением и поддержкой их сайта.

 

Намедни сотруднику редакции, который отвечает за хостинг, хостер прислал письмо такого содержания:

 

 

Здравствуйте.

На хостинге Тарифный план "F-4" - вашагазета.kz были обнаружены вредоносные файлы на указанных сайтах: вашагазета.kz
В связи с этим, вам необходимо произвести поиск и ликвидацию вредоносного кода в течение 7 календарных дней с момента получения данного письма.
В случае, если по истечении указанного срока вредоносный код не будет удалён, мы будем вынуждены приостановить работу сайта(ов).
 
Для сканирования сайта с целью обнаружения и устранения вредоносного кода, мы рекомендуем воспользоваться антивирусом ImmunifyAV в панели управления хостингом Plesk. Подробная инструкция по использованию данного антивируса доступна по ссылке: https://www.ps.kz/fa...d-plesk/imunify. Антивирус доступен только для тарифных планов B-*.
 
Также мы настоятельно рекомендуем самостоятельно, либо с привлечением сторонних специалистов найти и устранить уязвимости, наличие которых привело к появлению вредоносного кода.
Надеемся на ваше понимание и дальнейшее сотрудничество

 

 

Текст письма очень сильно меня смутил. Первым делом полез лопатить сайт, естественно с  включённым антивирусом. Ничего не обнаружилось. Второй порыв — просканировал на Вирустотале. Опять ничего! Всё чисто.

 

Написал одному из сотрудников Лаборатории Касперского, попросил совета. Тот предложил просканировать сайт на virusdesk.kaspersky.com

 

Отчёт по сканированию:

 

Газета_10-08-19-003.jpg

 

То есть ни в каких базах вредоносных сайтов наш местный сайт не значится.

 

Как действовать дальше?  Подозреваю, что тут лохотрон со стороны хостера! Как отбиться от его навязчивого предложения?


Сообщение отредактировал Sandynist: 10 Август 2019 - 19:00

  • 0

Меньше будешь в интернете - здоровее будут дети!

Мой блогWanna Decryptor или пятница, двенадцатое;  Кто виноват в эпидемии WannaCry? Эпидемия Bomber

 


#2 OFF   andrew75

andrew75

    Гигант мысли

  • Старожилы
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4 409

Отправлено 10 Август 2019 - 19:25

Пусть напишут, какой конкретно вредоносный код и в каких файлах они обнаружили.

 

А то что сайта нет в базах это не показатель. 

 

Посмотрите ссылку - https://www.revisium.com/ai/


Сообщение отредактировал andrew75: 10 Август 2019 - 19:27

  • 0

#3 OFF   Sandynist

Sandynist

    Гигант мысли

  • Старожилы
  • Золотые бета-тестеры
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 338

Награды

     

Отправлено 10 Август 2019 - 21:05

Ссылку посмотрел. Сайт на Джумле, потому не совсем ясно как делать локальную копию сайта для проверки этим антивирусом.


  • 0

Меньше будешь в интернете - здоровее будут дети!

Мой блогWanna Decryptor или пятница, двенадцатое;  Кто виноват в эпидемии WannaCry? Эпидемия Bomber

 


#4 OFF   Noo

Noo

    Постоялец

  • Участники
  • Pip
  • Cообщений: 68

Отправлено 10 Август 2019 - 21:14

Ссылку посмотрел. Сайт на Джумле, потому не совсем ясно как делать локальную копию сайта для проверки этим антивирусом.

Попробуйте скачать какой-нибудь антивирусный плагин для джумлы и просканировать им плагины сайта. Если что найдёт - хорошо. Если нет - пишите в поддержку хоста, мол ложное срабатывание.

Ещё вариант: если у хостинга есть триал, создайте аккаунт с пробным планом B-* и перенесите на него сайт. Далее просканируйте антивирусом. Интересно, что он найдёт  :). После скана не забудьте удалить сайт с пробного аккаунта.


Сообщение отредактировал Noo: 10 Август 2019 - 21:14

  • 0

m6012.gif


#5 OFF   andrew75

andrew75

    Гигант мысли

  • Старожилы
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4 409

Отправлено 10 Август 2019 - 21:46

Sandynist, там есть скрипт, который можно положить на хостинг и запустить.

И есть онлайн сервис для проверки сайта - https://rescan.pro/


  • 0
  • Спасибо x 1
  • Показать

#6 OFF   Sandynist

Sandynist

    Гигант мысли

  • Старожилы
  • Золотые бета-тестеры
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 338

Награды

     

Отправлено 10 Август 2019 - 22:40

Онлайн-проверка ничего не выявила:

 

Газета_10-08-19-005.jpg



Попробуйте скачать какой-нибудь антивирусный плагин для джумлы и просканировать им плагины сайта.

 

Скачал плагин Antivirus Website Protection, просканировал, тот выдал какую-то дичь типа «14 файлов заражены! Опасность! Ваш сайт взломан! Ваш  сайт забанит Гугл в течение 48 часов!» и прочую фигню (конечно же на английском). Пришёл к выводу почему это фигня опять же из-за неуёмного желания создателей плагина нажиться на веб-мастерах.

 

На два файла приведены конкретные ссылки, а на 12 ссылках на остальные файлы значится «FREE REPORT LIMITS», что в переводе на великий и могучий означает: «Вы нам бабла ещё не заплатили, а уже хотите знать какие файлы под нашим подозрением»  :zloy:

 

Но вот неувязочка для создателей сего чуда именно с теми двумя первыми файлами, адрес которых указан.

 

Посмотрел на дату их изменения, оказывается изменены они были ещё два года тому назад. И вот чего-то за два прошедших до сего дня года, сайт и гуглом не забанен, и антивирусы при его посещении не ругаются на вредоносный код.


  • 0

Меньше будешь в интернете - здоровее будут дети!

Мой блогWanna Decryptor или пятница, двенадцатое;  Кто виноват в эпидемии WannaCry? Эпидемия Bomber

 


#7 OFF   andrew75

andrew75

    Гигант мысли

  • Старожилы
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4 409

Отправлено 10 Август 2019 - 23:37

Sandynist, напишите хостеру что привлекли экспертов и вредоносный код не найден.

Если они утверждают, что он там есть, пусть приведут конкретные данные. 

 

Вот здесь еще несколько ссылок - https://habr.com/ru/post/303956/


Сообщение отредактировал andrew75: 10 Август 2019 - 23:42

  • 0

#8 OFF   Sandynist

Sandynist

    Гигант мысли

  • Старожилы
  • Золотые бета-тестеры
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 338

Награды

     

Отправлено 11 Август 2019 - 22:14


Sandynist, напишите хостеру что привлекли экспертов и вредоносный код не найден.

 

В общем я ко всей этой истории привлёк эксперта — себя, и обнаружил вредоносный код!  :zloy:

 

Ну и о том, как это сделал естественно пару слов.

 

Хорошо, что сотрудничество с газетой начал с создания бэкапов. На сайт ещё год с лишним тому назад установил плагин Akeeba Backup. Так вот, сделал бэкап с помощью этого плагина, затем скачал его на компьютер и после распаковки архива на диск проверил его антивирусом. Вот тут уже получился совсем другой результат. В нескольких файлах антивирус нашёл Trojan.PHP.Agent.pg и Trojan.PHP.Agent.qn

 

Теперь вот думаю как всё это разрулить.

 

Самое на данный момент печальное — доступа к сайту по FTP у меня нет. Озвучивал эту проблему ответственному за хостинг сотруднику газеты ещё год тому назад, но никаких сдвигов. 

 

Кстати, заразу на сайт положили ещё два с половиной года тому назад, ещё до того, как я начал сотрудничать с газетой.

 

Почему всё это время молчал хостер и все антивирусы — это пока для меня загадка.

 

Есть версия, что назначение у вирья было не в том, чтобы заражать посетителей газеты, а в том, чтобы делать что-либо на первый взгляд не очень заметное — генерировать спам, майнить криптовалюту ну или участвовать в досс-атаках.


P.S. Погуглил, такие истории уже случались, не я первый: https://joomlaforum....c,323437.0.html


  • 0

Меньше будешь в интернете - здоровее будут дети!

Мой блогWanna Decryptor или пятница, двенадцатое;  Кто виноват в эпидемии WannaCry? Эпидемия Bomber

 


#9 OFF   andrew75

andrew75

    Гигант мысли

  • Старожилы
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4 409

Отправлено 11 Август 2019 - 23:18

доступа к сайту по FTP у меня нет

скажите что если доступа не будет, то им прикроют хостинг. Собственно хостер имеет на это полное право.

 

Почему всё это время молчал хостер и все антивирусы

потому что они не проверяют сайты постоянно. Видимо уже были проблемы на хостинге и они решили все или выборочно просканировать.

 


не в том, чтобы заражать посетителей газеты, а в том, чтобы делать что-либо на первый взгляд не очень заметное — генерировать спам, майнить криптовалюту ну или участвовать в досс-атаках

с большой вероятностью так оно и есть.

 

такие истории уже случались, не я первый

да сплошь и рядом. Уязвимости в CMS-ках и плагинах быстро начинают эксплуатировать.

 

По вашей ссылке все написано, что надо делать, когда будет ftp.


Сообщение отредактировал andrew75: 11 Август 2019 - 23:22

  • 0

#10 OFF   Sandynist

Sandynist

    Гигант мысли

  • Старожилы
  • Золотые бета-тестеры
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 338

Награды

     

Отправлено 11 Август 2019 - 23:39

C антивирусами для сайтов всё не так хорошо развивается, как с антивирусами для операционных систем, например: https://yandex.ru/manul/

 

По решению возникшей проблемы мне видится два пути:

 

1) Попытаться откатить на резервную копию трёхлетней давности, там вроде бы всё не так запущено по мнению антивирусных сканеров.

 

2) Снести сайт, накатить CMS самой последней версии и делать сайт заново.

 

Лечить то, что есть очень проблематично да и не знаю, нужно ли?


  • 0

Меньше будешь в интернете - здоровее будут дети!

Мой блогWanna Decryptor или пятница, двенадцатое;  Кто виноват в эпидемии WannaCry? Эпидемия Bomber

 


#11 OFF   andrew75

andrew75

    Гигант мысли

  • Старожилы
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4 409

Отправлено 12 Август 2019 - 00:31


Снести сайт, накатить CMS самой последней версии и делать сайт заново
вы уверены, что они к этому готовы и у них есть кому этим заниматься? В частности делать сайт заново.

 


Попытаться откатить на резервную копию трёхлетней давности
вопрос насколько изменился контент за это время и опять-таки есть ли кому его восстановить.

 

Можно забэкапить сейчас базу (скорее всего база чистая), снести сайт, поставить заново CMS-ку последней версии со всеми нужными плагинами и подгрузить базу.

Опять-таки если есть кому этим заниматься.


  • 0
  • Спасибо x 1
  • Показать

#12 OFF   Sandynist

Sandynist

    Гигант мысли

  • Старожилы
  • Золотые бета-тестеры
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 338

Награды

     

Отправлено 12 Август 2019 - 04:53


Опять-таки если есть кому этим заниматься.

 

Заниматься всем эти придётся мне. Газета у нас не настолько богатая, чтобы позволить себе расходы на хоть какую-то вменяемую тех.поддержку. Цена вопроса — около 300 условных ёжиков в год, но даже эти деньги взять негде.

 

Кризис он не только в России, он и по нам бьёт из всех орудий. Когда только начинал сотрудничество с газетой, она состояла из 16 полос, сейчас объём сократили до 12. 

 

В связи с прояснением ситуации с хостером тема закрыта, продолжаем здесь >>>


  • 0

Меньше будешь в интернете - здоровее будут дети!

Мой блогWanna Decryptor или пятница, двенадцатое;  Кто виноват в эпидемии WannaCry? Эпидемия Bomber

 





Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных