Добре дошъл/дошла, Гост. Моля, въведи своето потребителско име или се регистрирай.
Изгубил си активационния е-мейл?

Влез с потребителско име, парола и продължителност на сесията

Новини:

Автор Тема: Помощ за "Спрян сайт поради разпространение на спам" от Хост.бг  (Прочетена 22734 пъти)

Неактивен hristokk

  • Задържал се
  • *
  • Публикации: 60
  • Репутация: 0
Здравейте. Поддържам безплатно сайт на едно училище и като цяло не съм специалист в джумлата освен да я ползвам и настройвам, но не и по кода...
Днес получихме изненадващо писмо, че сайта изведнъж е спрян за разпространение на спам.. сайта  е 2.5 версия и през последните месеци освен обновяването и нищо друго не е качвано като модули.. само се ползват старите.. последно статията която публикувахме беше с изполване на стар модул за Attacments към него освен нещо той да е проблема и задействал нещо...
Как мога да проверя къде е зловредния код и да го изчистя!!Примерно ако сваля файловете от ФТП има ли някаква програма за сканиране
При запитване към тях отговора беше:
Цитат
За съжаление не извършваме услуги по изчистване на сайтовете на клиентите ни от зловреден код. Необходимо е да се свържете с уеб разработчик. Прилагам едно от писмата разпространявани от хостинга ви, дано ви даде насоки.

Моля, НЕ отваряйте никой от линковете в писмото, за ваша безопасност.
Едно от писмата:
*** ENVELOPE RECORDS active/9E5881096A2 ***
message_size: 790 182 1 0 790
message_arrival_time: Mon Aug 18 19:41:52 2014
create_time: Mon Aug 18 19:42:01 2014
named_attribute: rewrite_context=local
sender_fullname:
sender: pearl_buckley@sou-kavarna.com
*** MESSAGE CONTENTS active/9E5881096A2 ***
Received: by gauss.host.bg (Postfix, from userid 2693)
id 9E5881096A2; Mon, 18 Aug 2014 19:41:52 +0300 (EEST)
To: rita.maiga@yahoo.com
Subject: RE: Hi Brunette Amateur Slut Bent Over On A Massage Table
From: "Pearl Buckley" <pearl_buckley@sou-kavarna.com>
Reply-To:"Pearl Buckley" <pearl_buckley@sou-kavarna.com>
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Message-Id: <20140818164201.9E5881096A2@gauss.host.bg>
Date: Mon, 18 Aug 2014 19:41:52 +0300 (EEST)
<h2><a href=" newbielink:http://www.vdonate.org/modules/title.html?cGt2YyxvY2tlY0J7Y2ptbSxhbW8= [nonactive]">Brunette Amateur Slut Bent Over On A Massage Table</a></h2>
<div> He looked me up and down coldly, a big man with big muscles-as well
</div>

*** HEADER EXTRACTED active/9E5881096A2 ***
named_attribute: encoding=8bit
original_recipient: rita.maiga@yahoo.com
recipient: rita.maiga@yahoo.com
*** MESSAGE FILE END active/9E5881096A2 ***

Какво може да се направи.. сайта има много информация и е лудост да се почва от 0 с нова J3 евентуално!

Благодаря ви много предварително!
« Последна редакция: 18 Август, 2014, 21:42:37 от hristokk »

Неактивен Бого

  • Администратор
  • Гуру
  • *
  • Публикации: 2254
  • Mercedes-Benz forever
  • Репутация: +28
Мдам... хост.бг :-)  аз ръчно се оправям с notepad++.
Joomla, произлиза от думата Jumla (на суахили), която означава `всички заедно`, като потвърждение на open source инициативата!

Неактивен hristokk

  • Задържал се
  • *
  • Публикации: 60
  • Репутация: 0
но как да намеря къде измежду всички файлове е проблема... има ли някакъв софтуер за това... или поне какво да търся...

и с кой хостинг подяволите да ги сменя за да нямам подобни ядове вече... да ми казват, че понеже нямам реално ИП няма да ми дадат достъп.. и как подяволите аз да опитам поне да оправя проблема


Неактивен Бого

  • Администратор
  • Гуру
  • *
  • Публикации: 2254
  • Mercedes-Benz forever
  • Репутация: +28
Трябват ти знания, софт не знам.
Joomla, произлиза от думата Jumla (на суахили), която означава `всички заедно`, като потвърждение на open source инициативата!

Неактивен hristokk

  • Задържал се
  • *
  • Публикации: 60
  • Репутация: 0
Здравейте. Пуснаха ми достъп до сайта само за моето ИП. Търсих в нета за нещо намиращо зловреден год и попаднах на файл JAMSS.php .. стартирах го но то връща прекалено много неща... а не съм кодър за да отсея кое е вредно и кое полезно... може ли някой да погледне  прикачения файл с получените резултати и да каже какво трябва да се изтрие... сайта никога няма да се използва за пращане на писма така че може абсолютно да се изтрие тази функция.. много благодаря предварително!!

Неактивен Мариян

  • Чаткащ
  • *
  • Публикации: 253
  • Репутация: 0
Здравейте. Пуснаха ми достъп до сайта само за моето ИП. Търсих в нета за нещо намиращо зловреден год и попаднах на файл JAMSS.php .. стартирах го но то връща прекалено много неща... а не съм кодър за да отсея кое е вредно и кое полезно... може ли някой да погледне  прикачения файл с получените резултати и да каже какво трябва да се изтрие... сайта никога няма да се използва за пращане на писма така че може абсолютно да се изтрие тази функция.. много благодаря предварително!!

Като за начало:

1. Свали сайта от хостинга и сканирай с антивирусни програми архива (използвай две -три различни).
2. Смени паролите за хостинга и провери на кои имейли праща данни за промяна, това в cpanel.
3. Смени паролите за администрация на joomla, провери с какъв имейл е главният администратор.
4. Mжеш да защитиш administrator директорията...
5. Виж дали имаш добавен потребител, който не познаваш...
6. Виж с какъв редактор си, ако не е проблем, махни всички добавени - остани само с tiny mce.
7. Провери за компоненти, модули и плъгини със съмнителни качества (това е трудно, ама ако можеш го направи)
8. Провери всички index.php файлове за някакви промени, ако намериш, използваш намереното (като код) за да претърсиш във всички останали файлове с текстов редактор.
9. В ... libraries/simplepie/simplepie.php
Тук има проблем, сравни (направо замести)  с оригинален файл, запази променения, и чрез него със текстов редактор търсиш във всички останали файлове във архива.
Например, търсиш за:    "\xC3\x86", 'aelig;' => "\xC3\xA6", 'Agrave' => "\xC3\x80"" или
" 'aelig;' =>" или "'Agrave' =>"

Има един хитър начин да провериш файловете в архива, като търсиш файлове променени през последните 10 дни, 20 дни и т.н. когато предполагаш, че е хакнат сайта ... може и така.


Как става търсенето:
1.Изтегляте си директорията "public_html" от хоста (или там, където Ви се намира сайта).
2.Намирате си Edit plus editor (xттп://www.editplus.com/), след като си го инсталирате в Tools > Preferences > Files > Махате чавката на  "Create backup file when saving"
3.Отваряте едитора и от менюто избирате Search > Find in files
Find what: "... "
File type: " *.* "   копирате всичко без кавичките
Folder: тук намирате изтеглената папка "public_html" на Вашия компютър
И натиската Find


Провери за всеки случай в http://www.unmaskparasites.com/ сйта си, когато го пуснат!
« Последна редакция: 19 Август, 2014, 18:59:17 от Мариян »

Неактивен Бого

  • Администратор
  • Гуру
  • *
  • Публикации: 2254
  • Mercedes-Benz forever
  • Репутация: +28
 (shut)
1. Свали сайта от хостинга и сканирай с антивирусни програми архива (използвай две -три

Това Утепа риБата... @Мариян, мисли малко преди да пишеш.
 
@hristokk, ако не се справиш дай ми права до тъпхост.бг на лични, но в края на семицата.
« Последна редакция: 19 Август, 2014, 22:14:01 от Бого »
Joomla, произлиза от думата Jumla (на суахили), която означава `всички заедно`, като потвърждение на open source инициативата!

Неактивен hristokk

  • Задържал се
  • *
  • Публикации: 60
  • Репутация: 0
Ами надявам се да съм се справил.. но само времето ще покаже.. ако пак го блокират значи не съм :)
Честно казано свалянето и сканирането на файловете откри някакво GIF файлче което уж било троянски кон.. не знаех че има вируси по GIF.. иначе изчистих почти всички допълнителни модули и оставих само основните... качих няколко допълнителни безплатни модула за защита на които попаднах.. Admin panel с която сложих парола на админ папката, също и дадох да оправи всички права на файлове и папки... и там други.. сложих и  OSE Secure plugin там против SQL injection и др...
Пробвах и да обновя накрая от 2.5 до 3.2 но не се получи.. дава грешки.. и си остана на 2.5 засега.

Остава да се надявам вече, че проблема е отстранен... 

Неактивен Мариян

  • Чаткащ
  • *
  • Публикации: 253
  • Репутация: 0
(shut)
Това Утепа риБата... @Мариян, мисли малко преди да пишеш.

Хайде де, изтегли си "заразен" файл и го сканирай с антивирусна. Да видим, какво ще стане.
Аз ще ти кажа ... в повечето случай пищят, отдавна авнтивирусните засичат част от "кофти" кодове.
 8)

Е, ако не ми вярваш, можеш да пробваш и онлайн:
https://www.virustotal.com/

« Последна редакция: 19 Август, 2014, 23:39:57 от Мариян »

Неактивен ItsoWD1

  • Чаткащ
  • *
  • Публикации: 250
  • Репутация: +3
В подкрепа на Мариян ще кажа, че и аз правих същата операция преди време и даде резултат :)

Адаш дано си се справил, иначе като съвет мога да ти дам да смениш доставчика... хост.бг от към съпорт бих ги оценил на -10 по десетобалната. Много ядове брах с тях преди време и ще ги кълна докато дишам :D :D :D

 (beer)

Неактивен Бого

  • Администратор
  • Гуру
  • *
  • Публикации: 2254
  • Mercedes-Benz forever
  • Репутация: +28
Как антивирусната ще хване пренаписан код?
Joomla, произлиза от думата Jumla (на суахили), която означава `всички заедно`, като потвърждение на open source инициативата!

Неактивен Бого

  • Администратор
  • Гуру
  • *
  • Публикации: 2254
  • Mercedes-Benz forever
  • Репутация: +28
Изтеглете си някой текстов редактор като Notepad++ и си направете пълен архив на сайта.

При злонамерените скриптове се въоръжете се с търпение в откриването му. Повечето писачи на зловреден код го прикриват доста добре. Можете да го разпознаете  по това, че е писан с големи и малки букви  и символи.

iframe вирусите се откриват най-лесно. Най-често са модифицирани index.php, кода изглежда така, <iframe , ******</iframe>.

.htaccess вирусите, потърсете код започваш с "RewriteEngine On" включваш "HTTP_REFERRER".Вижте добре дали не са включени URL адреси.
« Последна редакция: 05 Септември, 2014, 14:41:15 от Бого »
Joomla, произлиза от думата Jumla (на суахили), която означава `всички заедно`, като потвърждение на open source инициативата!

Неактивен me7hos

  • Михаил Семерджиев
  • Администратор
  • Мега Гуру
  • *
  • Публикации: 4211
  • Репутация: +10
Или ако имате повече от 3 сайта се абонирайте за myjoomla.com и ще спите спокойно.
It's all about motivation
locked ideas

Неактивен Михаил Михов

  • Администратор
  • Мега Гуру
  • *
  • Публикации: 3903
  • @Mihail
  • Репутация: +80
    • MyWeb1
Направо ме смазахте колеги с тази тема.
Спама през домейна може да бъде от всякъде, включително и от не съществуващ майл, примерно: аз@sou-kavarna.com
Най-вероятно е да е хакната пощата, а не сайта. // виждам, че сайта вече е активен :)
myweb1.eu // Български платежни методи за HikaShop

Неактивен hristokk

  • Задържал се
  • *
  • Публикации: 60
  • Репутация: 0
да активен е.. ще видим до кога обаче.. да не след година и хоп пак изненада.. този път няма да слагам абсолютно нищо допълнително като модули да видим... поща към сайта няма, нито има модули за писма в сайта или някаква друга обратна връзка, всичко бях изчистил и въпреки това пак се появи проблем.. започва силно да ме съмнява че може нещо и от хостинга да е дупката... при някое от приложенията за сканиране на които попаднах май ми изписваше че има опасност поради остарялата Апачи... ще препоръчате ли читав хостинг за в бъдеще с по хубава защита специално за Joomla сайтове.. Благодаря като цяло за помощта!