Сообщений в теме: 11

[Sandynist]

Добрый вечер!

 

В связи с отсутствием IT-поддержки у нашей местной газеты, мне приходится помогать сотрудникам газеты с оформлением и поддержкой их сайта.

 

Намедни сотруднику редакции, который отвечает за хостинг, хостер прислал письмо такого содержания:

 

 

Здравствуйте.

На хостинге Тарифный план "F-4" - вашагазета.kz были обнаружены вредоносные файлы на указанных сайтах: вашагазета.kz

В связи с этим, вам необходимо произвести поиск и ликвидацию вредоносного кода в течение 7 календарных дней с момента получения данного письма.

В случае, если по истечении указанного срока вредоносный код не будет удалён, мы будем вынуждены приостановить работу сайта(ов).

 

Для сканирования сайта с целью обнаружения и устранения вредоносного кода, мы рекомендуем воспользоваться антивирусом ImmunifyAV в панели управления хостингом Plesk. Подробная инструкция по использованию данного антивируса доступна по ссылке: https://www.ps.kz/fa...d-plesk/imunify. Антивирус доступен только для тарифных планов B-*.

 

Также мы настоятельно рекомендуем самостоятельно, либо с привлечением сторонних специалистов найти и устранить уязвимости, наличие которых привело к появлению вредоносного кода.

Надеемся на ваше понимание и дальнейшее сотрудничество

 

 

Текст письма очень сильно меня смутил. Первым делом полез лопатить сайт, естественно с  включённым антивирусом. Ничего не обнаружилось. Второй порыв — просканировал на Вирустотале. Опять ничего! Всё чисто.

 

Написал одному из сотрудников Лаборатории Касперского, попросил совета. Тот предложил просканировать сайт на virusdesk.kaspersky.com

 

Отчёт по сканированию:

 

 

То есть ни в каких базах вредоносных сайтов наш местный сайт не значится.

 

Как действовать дальше?  Подозреваю, что тут лохотрон со стороны хостера! Как отбиться от его навязчивого предложения?

Сообщение отредактировал Sandynist: 10 Август 2019 - 19:00

[andrew75]

Пусть напишут, какой конкретно вредоносный код и в каких файлах они обнаружили.

 

А то что сайта нет в базах это не показатель. 

 

Посмотрите ссылку - https://www.revisium.com/ai/

Сообщение отредактировал andrew75: 10 Август 2019 - 19:27

[Sandynist]

Ссылку посмотрел. Сайт на Джумле, потому не совсем ясно как делать локальную копию сайта для проверки этим антивирусом.

[Noo]

Ссылку посмотрел. Сайт на Джумле, потому не совсем ясно как делать локальную копию сайта для проверки этим антивирусом.

Попробуйте скачать какой-нибудь антивирусный плагин для джумлы и просканировать им плагины сайта. Если что найдёт - хорошо. Если нет - пишите в поддержку хоста, мол ложное срабатывание.

Ещё вариант: если у хостинга есть триал, создайте аккаунт с пробным планом B-* и перенесите на него сайт. Далее просканируйте антивирусом. Интересно, что он найдёт  . После скана не забудьте удалить сайт с пробного аккаунта.

Сообщение отредактировал Noo: 10 Август 2019 - 21:14

[andrew75]

Sandynist, там есть скрипт, который можно положить на хостинг и запустить.

И есть онлайн сервис для проверки сайта - https://rescan.pro/

[Sandynist]

Онлайн-проверка ничего не выявила:

 

Попробуйте скачать какой-нибудь антивирусный плагин для джумлы и просканировать им плагины сайта.

 

Скачал плагин Antivirus Website Protection, просканировал, тот выдал какую-то дичь типа «14 файлов заражены! Опасность! Ваш сайт взломан! Ваш  сайт забанит Гугл в течение 48 часов!» и прочую фигню (конечно же на английском). Пришёл к выводу почему это фигня опять же из-за неуёмного желания создателей плагина нажиться на веб-мастерах.

 

На два файла приведены конкретные ссылки, а на 12 ссылках на остальные файлы значится «FREE REPORT LIMITS», что в переводе на великий и могучий означает: «Вы нам бабла ещё не заплатили, а уже хотите знать какие файлы под нашим подозрением» 

 

Но вот неувязочка для создателей сего чуда именно с теми двумя первыми файлами, адрес которых указан.

 

Посмотрел на дату их изменения, оказывается изменены они были ещё два года тому назад. И вот чего-то за два прошедших до сего дня года, сайт и гуглом не забанен, и антивирусы при его посещении не ругаются на вредоносный код.

[andrew75]

Sandynist, напишите хостеру что привлекли экспертов и вредоносный код не найден.

Если они утверждают, что он там есть, пусть приведут конкретные данные. 

 

Вот здесь еще несколько ссылок - https://habr.com/ru/post/303956/

Сообщение отредактировал andrew75: 10 Август 2019 - 23:42

[Sandynist]

Sandynist, напишите хостеру что привлекли экспертов и вредоносный код не найден.

 

В общем я ко всей этой истории привлёк эксперта — себя, и обнаружил вредоносный код! 

 

Ну и о том, как это сделал естественно пару слов.

 

Хорошо, что сотрудничество с газетой начал с создания бэкапов. На сайт ещё год с лишним тому назад установил плагин Akeeba Backup. Так вот, сделал бэкап с помощью этого плагина, затем скачал его на компьютер и после распаковки архива на диск проверил его антивирусом. Вот тут уже получился совсем другой результат. В нескольких файлах антивирус нашёл Trojan.PHP.Agent.pg и Trojan.PHP.Agent.qn

 

Теперь вот думаю как всё это разрулить.

 

Самое на данный момент печальное — доступа к сайту по FTP у меня нет. Озвучивал эту проблему ответственному за хостинг сотруднику газеты ещё год тому назад, но никаких сдвигов. 

 

Кстати, заразу на сайт положили ещё два с половиной года тому назад, ещё до того, как я начал сотрудничать с газетой.

 

Почему всё это время молчал хостер и все антивирусы — это пока для меня загадка.

 

Есть версия, что назначение у вирья было не в том, чтобы заражать посетителей газеты, а в том, чтобы делать что-либо на первый взгляд не очень заметное — генерировать спам, майнить криптовалюту ну или участвовать в досс-атаках.

P.S. Погуглил, такие истории уже случались, не я первый: https://joomlaforum....c,323437.0.html

[andrew75]

доступа к сайту по FTP у меня нет

скажите что если доступа не будет, то им прикроют хостинг. Собственно хостер имеет на это полное право.

 

Почему всё это время молчал хостер и все антивирусы

потому что они не проверяют сайты постоянно. Видимо уже были проблемы на хостинге и они решили все или выборочно просканировать.

 

не в том, чтобы заражать посетителей газеты, а в том, чтобы делать что-либо на первый взгляд не очень заметное — генерировать спам, майнить криптовалюту ну или участвовать в досс-атаках

с большой вероятностью так оно и есть.

 

такие истории уже случались, не я первый

да сплошь и рядом. Уязвимости в CMS-ках и плагинах быстро начинают эксплуатировать.

 

По вашей ссылке все написано, что надо делать, когда будет ftp.

Сообщение отредактировал andrew75: 11 Август 2019 - 23:22

[Sandynist]

C антивирусами для сайтов всё не так хорошо развивается, как с антивирусами для операционных систем, например: https://yandex.ru/manul/

 

По решению возникшей проблемы мне видится два пути:

 

1) Попытаться откатить на резервную копию трёхлетней давности, там вроде бы всё не так запущено по мнению антивирусных сканеров.

 

2) Снести сайт, накатить CMS самой последней версии и делать сайт заново.

 

Лечить то, что есть очень проблематично да и не знаю, нужно ли?

[andrew75]

Снести сайт, накатить CMS самой последней версии и делать сайт заново

вы уверены, что они к этому готовы и у них есть кому этим заниматься? В частности делать сайт заново.

 

Попытаться откатить на резервную копию трёхлетней давности

вопрос насколько изменился контент за это время и опять-таки есть ли кому его восстановить.

 

Можно забэкапить сейчас базу (скорее всего база чистая), снести сайт, поставить заново CMS-ку последней версии со всеми нужными плагинами и подгрузить базу.

Опять-таки если есть кому этим заниматься.

[Sandynist]

Опять-таки если есть кому этим заниматься.

 

Заниматься всем эти придётся мне. Газета у нас не настолько богатая, чтобы позволить себе расходы на хоть какую-то вменяемую тех.поддержку. Цена вопроса — около 300 условных ёжиков в год, но даже эти деньги взять негде.

 

Кризис он не только в России, он и по нам бьёт из всех орудий. Когда только начинал сотрудничество с газетой, она состояла из 16 полос, сейчас объём сократили до 12. 

 

В связи с прояснением ситуации с хостером тема закрыта, продолжаем здесь >>>