| Вопрос: |
Помогите пожалуйста решить проблему с вирусом на сайте.
результатом является вставка мод реврайт под мобильные устройства
код:
*
*HTTP_USER_AGENT*]
*HTTP_USER_AGENT*opera*]
*HTTP_USER_AGENT*]
*HTTP_USER_AGENT*iphone*]
*HTTP_USER_AGENT*hiptop*]
*HTTP_USER_AGENT*|**windows*opera*windows*windows*]
*HTTP_USER_AGENT*\ *.*|*****|****|****|****|****|****|****|****|***|****|****|****|***|***|***|***|****|***|****|****|****|****|****|**|**|***|**|**|**|**|****|****|****|****|****|****|*-***|****|****|*******|****|*******|**|*****:|*******|*******|****|****|****|********|*****|*****|****|****|*****|****|**|***|****|-****|*****|*****|*******|****|****|****|*****|****|****|*****|*;***********|*****|****|****|****|**|**|*****|****|*****|****|****|****|****|********|****|********|****|***|*|******|****|****|*-****|***|******|*****|*******|***|nokia*.*.**|*]
*HTTP:*\.*\.*\.*\.xhtml*]
*HTTP:*} .+ [*]
*HTTP:*} .+ [*]
*HTTP:*} .+ [*]
*HTTP:*operamini*} .+ [*]
*HTTP:*} .+ [*]
*]
*HTTP_USER_AGENT*\/*\.*\ \(Linux*\ *\.*;\ ***\)\ *\/***\.*\ \(KHTML*\/*\.*\ *\/***\.*\ *]
*HTTP_USER_AGENT*windows\.***|*google*yandex*windows*]
* ^(.*)$ http://*.*=***]
если нет * то он создается с такими правилами |
| Ответ: |
&*;
Здравствуйте. сообщите какая у вас установлена cms и как давно вы ее обновляли?
так же сообщите о каком сайте идет речь и чем мы можем Вам помочь
&*; |
| Вопрос: |
Joomla!
в данный момент я не могу записать на сервер файл разрывает соединение по какой-то причине
мне кажется что все связанно, помогите разобраться.
до этого сайт находился на * там хостер отказал в помощи поэтому переехали к вам. У вас защита получше, но видно зараза была уже в скриптах джумлы. Мне нужна помощь чтобы вычислить |
| Ответ: |
вы можете воспользоваться сканером вредоноснх скриптов http://www.revisium.com/ai/
как вы записываете файлы ? при помощи чего? |
| Ответ: |
так же интересует вопрос, почему вы переносили зараженный сайт ан хостинг не уведомив нас? |
| Вопрос: |
я не думал что дело в сайте, я думал что проблемы в хостинге |
| Ответ: |
joomla очень популярая cms для взломов. если у вас были вирусы на сайте до переноса, нужно было об этом сообщать. если бы с вашего сайта стал рассылаться спам, то для сохранения ip мы можем заблокировать сервер
мы сейчас запустили антивирус clam проверять ваш сайт. Ожидайте |
| Вопрос: |
Я все понимаю, что можно сделать сейчас, я этот сайт переделываю и скоро его джумловскую версию удалю |
| Вопрос: |
Просто сейчас надо как-то решить этот вопрос, я извиняюсь, но это от незнания проблемы |
| Ответ: |
у вас заражены все сайты
&*;
т.к. у вас найдены вебшелы, может считать что хакер имеет полный контроль над вашими сайтами. какой код он менял не известно. антивирусы все найти не смогут. |
| Вопрос: |
Какие действия?
*.* и *.* это новые сайты, точнее только автоматически созданные вами, там можно почистить папку, но как хакер получает доступ и подчищает логи, это можно как-то отловить |
| Ответ: |
хакер никакие логи не чистит, у него есть возможность загружать файлы и есть права администратора на ваших сайтах. Он все делает через вебшелы. |
| Вопрос: |
а можно как-то прослушать порты, curl он же как-то посылает команды, не может быть чтобы не было никакого решения |
| Ответ: |
http://joomlaforum.*.php*=******.* |
