Полная Версия: Как вылечить сайт от вируса?
Есть необходимость вылечить сайт от вируса HEUR.Trojan.Script.Generic. Сайт на Вордпресс. После того, как копирую файл с фтп, Касперский отправляет в карантин. Отправил сообщение в лабораторию Касперского, но ответа пока нет. Подскажите пожалуйста, что обычно делается в таких случаях?
скорее всего в конце файла index.php добавилось это чудо.
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
Не только в index, но и в других php файлах.
Можно было бы отключить Касперского, открыть файл и посмотреть код, но я че-то стремаюсь его открывать) как бы не заразиться
Можно было бы отключить Касперского, открыть файл и посмотреть код, но я че-то стремаюсь его открывать) как бы не заразиться
ну так меняйте пароли на панель, ftp, удаляйте все эти строки.
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
Вордресс можно удалить, а вот themes шаблон придется переделывать, а не хочется. Копии нет. Только на сервере
| Цитата |
| удаляйте все эти строки. |
воспользуйтесь ранним бекапом.
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
Нету бекапа, такая ситуация, что сайт в таком виде долго провисел, а сейчас решили его восстановить
я не понял, в чём проблема???
открыть файл за файлом и проверить на наличие этих строк? или воспользоваться поиском этих строк в файлах через любой ftp менеджер???
давайте архив с сайтом (без БД), 1 час - 500 WMR - я всё подчищу.
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
открыть файл за файлом и проверить на наличие этих строк? или воспользоваться поиском этих строк в файлах через любой ftp менеджер???
давайте архив с сайтом (без БД), 1 час - 500 WMR - я всё подчищу.
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
вот этот вопрос меня интересует, если отключить Касперский, скачать файл и посмотреть его содержимое (код) - компьютеру не поплохеет от этого?
OleKh
проблема не в вирусе, а в том как он туда проник. Меняй все пароли как написали выше. Отключи антивирус, и скачай нормально файлы с сервера. Найди тело вируса в коде, потом запусти поиск по файлом с заданным тестом, и выяви все инфицированные файлы. Можно удалять вручную, можно и отдельный скрипт написать под это дело.
проблема не в вирусе, а в том как он туда проник. Меняй все пароли как написали выше. Отключи антивирус, и скачай нормально файлы с сервера. Найди тело вируса в коде, потом запусти поиск по файлом с заданным тестом, и выяви все инфицированные файлы. Можно удалять вручную, можно и отдельный скрипт написать под это дело.
не получается подхолтурить 
http://coder-diary.ru/security/virus-na-saite/
http://anokalintik.ru/lechit-sajty-na-word...ot-virusov.html
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
http://coder-diary.ru/security/virus-na-saite/
http://anokalintik.ru/lechit-sajty-na-word...ot-virusov.html
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
| Цитата (OleKh @ 17.02.2013 - 19:21) |
| вот этот вопрос меня интересует, если отключить Касперский, скачать файл и посмотреть его содержимое (код) - компьютеру не поплохеет от этого? |
нет, этож обычный js код.
Восстановить сайт от вирусов на самом деле достаточно сложно, логи редко говорят откуда пришел вирус, если только он не заливался через уязвимость методом GET, в логах POST запросы не хранятся, так-же вирус мог уже быть на сайте, вордпресс славится тем, что шаблоны и модули уже в своем дефолте скаченные с левых сайтов содержат шелы и потенциальные уязвимости.
Лучшее решение:
1. Скопировать базу данных.
2. Просмотреть базу на наличие ненужных записей в критических разделах контекнта, а так же пользователей с админскими правами.
3. Полное удаление сайта без остатка. (В паблик папке должны быть стерты обсалютно все файлы)
4. Смена всех паролей.
5. Установка вордпресса с 0
6. Перед установкой модуля каждый модуль нужно проверить ручками на потенциальные уязвимости (Требуется скилл в php)
7. Заливка бэкапа базы.
Если данный вариант не катит, есть более геморойный.
1. Скопировать базу данных.
2. Просмотреть базу на наличие ненужных записей в критических разделах контекнта, а так же пользователей с админскими правами.
3. Сделать снапшот сайта на локальный диск.
4. Залить скомпрометированный сайт в папку /site-snapshot-virus создать новую папку рядом /site-src в /site-src развернуть из не скомпрометированных исходников сайт.
5. Воспользоваться программой WinMerge либо diff (у кого стоит *nix)
6. Если различий не на пару тысяч файлов, а например с десяток, ручками просмотреть файлы, попытаться найти основной шелл откуда растут ноги, но скорее всего найдутся лишь потомки. Саму дырку нужно искать ручками в сторонних модулях, шаблонах которые устанавливались.
Лучшее решение:
1. Скопировать базу данных.
2. Просмотреть базу на наличие ненужных записей в критических разделах контекнта, а так же пользователей с админскими правами.
3. Полное удаление сайта без остатка. (В паблик папке должны быть стерты обсалютно все файлы)
4. Смена всех паролей.
5. Установка вордпресса с 0
6. Перед установкой модуля каждый модуль нужно проверить ручками на потенциальные уязвимости (Требуется скилл в php)
7. Заливка бэкапа базы.
Если данный вариант не катит, есть более геморойный.
1. Скопировать базу данных.
2. Просмотреть базу на наличие ненужных записей в критических разделах контекнта, а так же пользователей с админскими правами.
3. Сделать снапшот сайта на локальный диск.
4. Залить скомпрометированный сайт в папку /site-snapshot-virus создать новую папку рядом /site-src в /site-src развернуть из не скомпрометированных исходников сайт.
5. Воспользоваться программой WinMerge либо diff (у кого стоит *nix)
6. Если различий не на пару тысяч файлов, а например с десяток, ручками просмотреть файлы, попытаться найти основной шелл откуда растут ноги, но скорее всего найдутся лишь потомки. Саму дырку нужно искать ручками в сторонних модулях, шаблонах которые устанавливались.
| Цитата |
| Игорь_Vasinsky |
Вредные ссылки
Если действовать так как описано там, шанс появления вирусов вновь, просто зашкаливает.Скомпрометированная система должна быть уничтожена Никакой пощады.
ну ежу понятно что нужно менять пароли.
а дыры в CMS если они есть - то они будут если их не залатать.
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
а дыры в CMS если они есть - то они будут если их не залатать.
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
Мало вероятно, что дыра в самом вордпрессе, скорее в модуле либо в шаблоне. Их там обычно тьма-тьмущая.
Здесь расположена полная версия этой страницы.