Перейти к содержанию

Странный маркетинг хостера


Sandynist

Рекомендуемые сообщения

Добрый вечер!

 

В связи с отсутствием IT-поддержки у нашей местной газеты, мне приходится помогать сотрудникам газеты с оформлением и поддержкой их сайта.

 

Намедни сотруднику редакции, который отвечает за хостинг, хостер прислал письмо такого содержания:

 

 

Здравствуйте.

На хостинге Тарифный план "F-4" - вашагазета.kz были обнаружены вредоносные файлы на указанных сайтах: вашагазета.kz
В связи с этим, вам необходимо произвести поиск и ликвидацию вредоносного кода в течение 7 календарных дней с момента получения данного письма.
В случае, если по истечении указанного срока вредоносный код не будет удалён, мы будем вынуждены приостановить работу сайта(ов).
 
Для сканирования сайта с целью обнаружения и устранения вредоносного кода, мы рекомендуем воспользоваться антивирусом ImmunifyAV в панели управления хостингом Plesk. Подробная инструкция по использованию данного антивируса доступна по ссылке: https://www.ps.kz/faq/hosting/shared-plesk/imunify. Антивирус доступен только для тарифных планов B-*.
 
Также мы настоятельно рекомендуем самостоятельно, либо с привлечением сторонних специалистов найти и устранить уязвимости, наличие которых привело к появлению вредоносного кода.
Надеемся на ваше понимание и дальнейшее сотрудничество

 

 

Текст письма очень сильно меня смутил. Первым делом полез лопатить сайт, естественно с  включённым антивирусом. Ничего не обнаружилось. Второй порыв — просканировал на Вирустотале. Опять ничего! Всё чисто.

 

Написал одному из сотрудников Лаборатории Касперского, попросил совета. Тот предложил просканировать сайт на virusdesk.kaspersky.com

 

Отчёт по сканированию:

 

post-860-0-05625400-1565451771_thumb.jpg

 

То есть ни в каких базах вредоносных сайтов наш местный сайт не значится.

 

Как действовать дальше?  Подозреваю, что тут лохотрон со стороны хостера! Как отбиться от его навязчивого предложения?

Изменено пользователем Sandynist
Ссылка на комментарий
Поделиться на другие сайты

Пусть напишут, какой конкретно вредоносный код и в каких файлах они обнаружили.

 

А то что сайта нет в базах это не показатель. 

 

Посмотрите ссылку - https://www.revisium.com/ai/

Изменено пользователем andrew75
Ссылка на комментарий
Поделиться на другие сайты

Ссылку посмотрел. Сайт на Джумле, потому не совсем ясно как делать локальную копию сайта для проверки этим антивирусом.

Ссылка на комментарий
Поделиться на другие сайты

Ссылку посмотрел. Сайт на Джумле, потому не совсем ясно как делать локальную копию сайта для проверки этим антивирусом.

Попробуйте скачать какой-нибудь антивирусный плагин для джумлы и просканировать им плагины сайта. Если что найдёт - хорошо. Если нет - пишите в поддержку хоста, мол ложное срабатывание.

Ещё вариант: если у хостинга есть триал, создайте аккаунт с пробным планом B-* и перенесите на него сайт. Далее просканируйте антивирусом. Интересно, что он найдёт  :). После скана не забудьте удалить сайт с пробного аккаунта.

Изменено пользователем Noo
Ссылка на комментарий
Поделиться на другие сайты

Онлайн-проверка ничего не выявила:

 

post-860-0-83998800-1565465085_thumb.jpg


 

 


Попробуйте скачать какой-нибудь антивирусный плагин для джумлы и просканировать им плагины сайта.

 

Скачал плагин Antivirus Website Protection, просканировал, тот выдал какую-то дичь типа «14 файлов заражены! Опасность! Ваш сайт взломан! Ваш  сайт забанит Гугл в течение 48 часов!» и прочую фигню (конечно же на английском). Пришёл к выводу почему это фигня опять же из-за неуёмного желания создателей плагина нажиться на веб-мастерах.

 

На два файла приведены конкретные ссылки, а на 12 ссылках на остальные файлы значится «FREE REPORT LIMITS», что в переводе на великий и могучий означает: «Вы нам бабла ещё не заплатили, а уже хотите знать какие файлы под нашим подозрением»  :zloy:

 

Но вот неувязочка для создателей сего чуда именно с теми двумя первыми файлами, адрес которых указан.

 

Посмотрел на дату их изменения, оказывается изменены они были ещё два года тому назад. И вот чего-то за два прошедших до сего дня года, сайт и гуглом не забанен, и антивирусы при его посещении не ругаются на вредоносный код.

Ссылка на комментарий
Поделиться на другие сайты

@Sandynist, напишите хостеру что привлекли экспертов и вредоносный код не найден.

Если они утверждают, что он там есть, пусть приведут конкретные данные. 

 

Вот здесь еще несколько ссылок - https://habr.com/ru/post/303956/

Изменено пользователем andrew75
Ссылка на комментарий
Поделиться на другие сайты

 

 


Sandynist, напишите хостеру что привлекли экспертов и вредоносный код не найден.

 

В общем я ко всей этой истории привлёк эксперта — себя, и обнаружил вредоносный код!  :zloy:

 

Ну и о том, как это сделал естественно пару слов.

 

Хорошо, что сотрудничество с газетой начал с создания бэкапов. На сайт ещё год с лишним тому назад установил плагин Akeeba Backup. Так вот, сделал бэкап с помощью этого плагина, затем скачал его на компьютер и после распаковки архива на диск проверил его антивирусом. Вот тут уже получился совсем другой результат. В нескольких файлах антивирус нашёл Trojan.PHP.Agent.pg и Trojan.PHP.Agent.qn

 

Теперь вот думаю как всё это разрулить.

 

Самое на данный момент печальное — доступа к сайту по FTP у меня нет. Озвучивал эту проблему ответственному за хостинг сотруднику газеты ещё год тому назад, но никаких сдвигов. 

 

Кстати, заразу на сайт положили ещё два с половиной года тому назад, ещё до того, как я начал сотрудничать с газетой.

 

Почему всё это время молчал хостер и все антивирусы — это пока для меня загадка.

 

Есть версия, что назначение у вирья было не в том, чтобы заражать посетителей газеты, а в том, чтобы делать что-либо на первый взгляд не очень заметное — генерировать спам, майнить криптовалюту ну или участвовать в досс-атаках.


P.S. Погуглил, такие истории уже случались, не я первый: https://joomlaforum.ru/index.php/topic,323437.0.html

Ссылка на комментарий
Поделиться на другие сайты

доступа к сайту по FTP у меня нет

скажите что если доступа не будет, то им прикроют хостинг. Собственно хостер имеет на это полное право.

 

Почему всё это время молчал хостер и все антивирусы

потому что они не проверяют сайты постоянно. Видимо уже были проблемы на хостинге и они решили все или выборочно просканировать.

 

не в том, чтобы заражать посетителей газеты, а в том, чтобы делать что-либо на первый взгляд не очень заметное — генерировать спам, майнить криптовалюту ну или участвовать в досс-атаках

с большой вероятностью так оно и есть.

 

такие истории уже случались, не я первый

да сплошь и рядом. Уязвимости в CMS-ках и плагинах быстро начинают эксплуатировать.

 

По вашей ссылке все написано, что надо делать, когда будет ftp.

Изменено пользователем andrew75
Ссылка на комментарий
Поделиться на другие сайты

C антивирусами для сайтов всё не так хорошо развивается, как с антивирусами для операционных систем, например: https://yandex.ru/manul/

 

По решению возникшей проблемы мне видится два пути:

 

1) Попытаться откатить на резервную копию трёхлетней давности, там вроде бы всё не так запущено по мнению антивирусных сканеров.

 

2) Снести сайт, накатить CMS самой последней версии и делать сайт заново.

 

Лечить то, что есть очень проблематично да и не знаю, нужно ли?

Ссылка на комментарий
Поделиться на другие сайты

 

 


Снести сайт, накатить CMS самой последней версии и делать сайт заново
вы уверены, что они к этому готовы и у них есть кому этим заниматься? В частности делать сайт заново.

 

 

 


Попытаться откатить на резервную копию трёхлетней давности
вопрос насколько изменился контент за это время и опять-таки есть ли кому его восстановить.

 

Можно забэкапить сейчас базу (скорее всего база чистая), снести сайт, поставить заново CMS-ку последней версии со всеми нужными плагинами и подгрузить базу.

Опять-таки если есть кому этим заниматься.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

 

 


Опять-таки если есть кому этим заниматься.

 

Заниматься всем эти придётся мне. Газета у нас не настолько богатая, чтобы позволить себе расходы на хоть какую-то вменяемую тех.поддержку. Цена вопроса — около 300 условных ёжиков в год, но даже эти деньги взять негде.

 

Кризис он не только в России, он и по нам бьёт из всех орудий. Когда только начинал сотрудничество с газетой, она состояла из 16 полос, сейчас объём сократили до 12. 

 

В связи с прояснением ситуации с хостером тема закрыта, продолжаем здесь >>>

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • couitatg
      От couitatg
      В субботу, пока я играл в игру, антивирус Касперского проводил сканирование в фоновом режиме. По отчетам, он обнаружил 56 попыток майнинга, а также удалил 351 вирусный объект.
      После этого я решил провести дополнительное сканирование. В результате была выявлена безфайловая угроза и фейковый процесс msedge.exe, который установил TCP-соединение.
      Спустя 20–30 минут попыток устранить угрозу, я заметил, что Windows Defender работает как единственный антивирус в системе, а Касперский будто бы не функционирует. Defender обнаружил троян Njrat в msedge.exe, но не смог его устранить. Более того, в исключениях Windows Defender оказались указаны диск, файл msedge.exe и папка Program Files.
      Позже я обнаружил майнер в поддельных файлах taskmgr.exe, regedit.exe и svchost.exe.
      Самым неприятным оказалось то, что был выявлен руткит (C:\Program Files\DrWeb\drwebnet.sys), хотя антивирус Dr.Web на системе отсутствовал. У руткита была действительная цифровая подпись от Microsoft. Windows Defender смог успешно устранить руткит, но с трояном Njrat так и не справился.
      Затем аналогичная копия руткита обнаружилась в папке антивируса Avast, который тоже не был установлен на системе.
      Наконец, система подверглась попытке шифрования вирусом (предположительно Chaos Ransomware). Мне удалось остановить процесс с помощью утилиты Process Hacker.

      CollectionLog-2024.12.15-13.23.zip
    • Serg1619
      От Serg1619
      С утра на сервере все значки стали тектостовыми файлами с расширением abdula.a@aol.com,при открытии фаилой везде открывается блокном с требованием написать им на почту для того чтоб разблокировать.
      Как то можно расшифровать все файлы?или все уже безнадежно?
    • tw1st3rjk
      От tw1st3rjk
      Сегодня зашел в автозагрузку диспетчера задач и увидел странные программы. Не могу понять совсем откуда они взялись. Ничего не отображается, не могу посмотреть расположение. Просто взять и отключить как-то неправильно будет.
    • skufozavr3000
      От skufozavr3000
      установил касперский, присканировал систему, выдает странные сообщения, причем непонятно вообще с чем они связаны, в интернете не нашел вообще никакой информации по тому пути, куда касперский переводит

    • Sapfira
      От Sapfira
      Примерно в течении последних 1-2 месяцев была замечена какая-то странная странность. Во время игр вырубается интернет, причём, игры одиночные, в них нет мультиплеера и интернет им, вообще, не нужен. Такое было замечено в нескольких разных играх. Проявляется это тем, что поиграешь в игру 1-2 часа, потом выходишь на рабочий стол, а интернета нет (значок в трее показывает, что нет соединения). Можно ничего не делать и через несколько минут интернет сам появляется.
       
      Далее выяснилось, что если включить в игре вертикальную синхронизацию, тогда интернет не отключается. Но какая тут связь не понятно.
×
×
  • Создать...