Помощ за "Спрян сайт поради разпространение на спам" от Хост.бг

[hristokk]

Здравейте. Поддържам безплатно сайт на едно училище и като цяло не съм специалист в джумлата освен да я ползвам и настройвам, но не и по кода...
Днес получихме изненадващо писмо, че сайта изведнъж е спрян за разпространение на спам.. сайта  е 2.5 версия и през последните месеци освен обновяването и нищо друго не е качвано като модули.. само се ползват старите.. последно статията която публикувахме беше с изполване на стар модул за Attacments към него освен нещо той да е проблема и задействал нещо...
Как мога да проверя къде е зловредния код и да го изчистя!!Примерно ако сваля файловете от ФТП има ли някаква програма за сканиране
При запитване към тях отговора беше:

За съжаление не извършваме услуги по изчистване на сайтовете на клиентите ни от зловреден код. Необходимо е да се свържете с уеб разработчик. Прилагам едно от писмата разпространявани от хостинга ви, дано ви даде насоки.

Моля, НЕ отваряйте никой от линковете в писмото, за ваша безопасност.
Едно от писмата:
*** ENVELOPE RECORDS active/9E5881096A2 ***
message_size: 790 182 1 0 790
message_arrival_time: Mon Aug 18 19:41:52 2014
create_time: Mon Aug 18 19:42:01 2014
named_attribute: rewrite_context=local
sender_fullname:
sender: pearl_buckley@sou-kavarna.com
*** MESSAGE CONTENTS active/9E5881096A2 ***
Received: by gauss.host.bg (Postfix, from userid 2693)
id 9E5881096A2; Mon, 18 Aug 2014 19:41:52 +0300 (EEST)
To: rita.maiga@yahoo.com
Subject: RE: Hi Brunette Amateur Slut Bent Over On A Massage Table
From: "Pearl Buckley" <pearl_buckley@sou-kavarna.com>
Reply-To:"Pearl Buckley" <pearl_buckley@sou-kavarna.com>
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Message-Id: <20140818164201.9E5881096A2@gauss.host.bg>
Date: Mon, 18 Aug 2014 19:41:52 +0300 (EEST)
<h2><a href=" newbielink:http://www.vdonate.org/modules/title.html?cGt2YyxvY2tlY0J7Y2ptbSxhbW8= [nonactive]">Brunette Amateur Slut Bent Over On A Massage Table</a></h2>
<div> He looked me up and down coldly, a big man with big muscles-as well
</div>

*** HEADER EXTRACTED active/9E5881096A2 ***
named_attribute: encoding=8bit
original_recipient: rita.maiga@yahoo.com
recipient: rita.maiga@yahoo.com
*** MESSAGE FILE END active/9E5881096A2 ***

Какво може да се направи.. сайта има много информация и е лудост да се почва от 0 с нова J3 евентуално!

Благодаря ви много предварително!

[Бого]

Мдам... хост.бг :-)  аз ръчно се оправям с notepad++.

[hristokk]

но как да намеря къде измежду всички файлове е проблема... има ли някакъв софтуер за това... или поне какво да търся...

и с кой хостинг подяволите да ги сменя за да нямам подобни ядове вече... да ми казват, че понеже нямам реално ИП няма да ми дадат достъп.. и как подяволите аз да опитам поне да оправя проблема

[Бого]

Трябват ти знания, софт не знам.

[hristokk]

Здравейте. Пуснаха ми достъп до сайта само за моето ИП. Търсих в нета за нещо намиращо зловреден год и попаднах на файл JAMSS.php .. стартирах го но то връща прекалено много неща... а не съм кодър за да отсея кое е вредно и кое полезно... може ли някой да погледне  прикачения файл с получените резултати и да каже какво трябва да се изтрие... сайта никога няма да се използва за пращане на писма така че може абсолютно да се изтрие тази функция.. много благодаря предварително!!

[Мариян]

Здравейте. Пуснаха ми достъп до сайта само за моето ИП. Търсих в нета за нещо намиращо зловреден год и попаднах на файл JAMSS.php .. стартирах го но то връща прекалено много неща... а не съм кодър за да отсея кое е вредно и кое полезно... може ли някой да погледне  прикачения файл с получените резултати и да каже какво трябва да се изтрие... сайта никога няма да се използва за пращане на писма така че може абсолютно да се изтрие тази функция.. много благодаря предварително!!

Като за начало:

1. Свали сайта от хостинга и сканирай с антивирусни програми архива (използвай две -три различни).
2. Смени паролите за хостинга и провери на кои имейли праща данни за промяна, това в cpanel.
3. Смени паролите за администрация на joomla, провери с какъв имейл е главният администратор.
4. Mжеш да защитиш administrator директорията...
5. Виж дали имаш добавен потребител, който не познаваш...
6. Виж с какъв редактор си, ако не е проблем, махни всички добавени - остани само с tiny mce.
7. Провери за компоненти, модули и плъгини със съмнителни качества (това е трудно, ама ако можеш го направи)
8. Провери всички index.php файлове за някакви промени, ако намериш, използваш намереното (като код) за да претърсиш във всички останали файлове с текстов редактор.
9. В ... libraries/simplepie/simplepie.php
Тук има проблем, сравни (направо замести)  с оригинален файл, запази променения, и чрез него със текстов редактор търсиш във всички останали файлове във архива.
Например, търсиш за:    "\xC3\x86", 'aelig;' => "\xC3\xA6", 'Agrave' => "\xC3\x80"" или
" 'aelig;' =>" или "'Agrave' =>"

Има един хитър начин да провериш файловете в архива, като търсиш файлове променени през последните 10 дни, 20 дни и т.н. когато предполагаш, че е хакнат сайта ... може и така.


Как става търсенето:
1.Изтегляте си директорията "public_html" от хоста (или там, където Ви се намира сайта).
2.Намирате си Edit plus editor (xттп://www.editplus.com/), след като си го инсталирате в Tools > Preferences > Files > Махате чавката на  "Create backup file when saving"
3.Отваряте едитора и от менюто избирате Search > Find in files
Find what: "... "
File type: " *.* "   копирате всичко без кавичките
Folder: тук намирате изтеглената папка "public_html" на Вашия компютър
И натиската Find


Провери за всеки случай в http://www.unmaskparasites.com/ сйта си, когато го пуснат!

[Бого]

 

1. Свали сайта от хостинга и сканирай с антивирусни програми архива (използвай две -три

Това Утепа риБата... @Мариян, мисли малко преди да пишеш.
 
@hristokk, ако не се справиш дай ми права до тъпхост.бг на лични, но в края на семицата.

[hristokk]

Ами надявам се да съм се справил.. но само времето ще покаже.. ако пак го блокират значи не съм
Честно казано свалянето и сканирането на файловете откри някакво GIF файлче което уж било троянски кон.. не знаех че има вируси по GIF.. иначе изчистих почти всички допълнителни модули и оставих само основните... качих няколко допълнителни безплатни модула за защита на които попаднах.. Admin panel с която сложих парола на админ папката, също и дадох да оправи всички права на файлове и папки... и там други.. сложих и  OSE Secure plugin там против SQL injection и др...
Пробвах и да обновя накрая от 2.5 до 3.2 но не се получи.. дава грешки.. и си остана на 2.5 засега.

Остава да се надявам вече, че проблема е отстранен... 

[Мариян]

Това Утепа риБата... @Мариян, мисли малко преди да пишеш.

Хайде де, изтегли си "заразен" файл и го сканирай с антивирусна. Да видим, какво ще стане.
Аз ще ти кажа ... в повечето случай пищят, отдавна авнтивирусните засичат част от "кофти" кодове.
 

Е, ако не ми вярваш, можеш да пробваш и онлайн:
https://www.virustotal.com/

[ItsoWD1]

В подкрепа на Мариян ще кажа, че и аз правих същата операция преди време и даде резултат

Адаш дано си се справил, иначе като съвет мога да ти дам да смениш доставчика... хост.бг от към съпорт бих ги оценил на -10 по десетобалната. Много ядове брах с тях преди време и ще ги кълна докато дишам

 

[Бого]

Как антивирусната ще хване пренаписан код?

[Бого]

Изтеглете си някой текстов редактор като Notepad++ и си направете пълен архив на сайта.

При злонамерените скриптове се въоръжете се с търпение в откриването му. Повечето писачи на зловреден код го прикриват доста добре. Можете да го разпознаете  по това, че е писан с големи и малки букви  и символи.

iframe вирусите се откриват най-лесно. Най-често са модифицирани index.php, кода изглежда така, <iframe , ******</iframe>.

.htaccess вирусите, потърсете код започваш с "RewriteEngine On" включваш "HTTP_REFERRER".Вижте добре дали не са включени URL адреси.

[me7hos]

Или ако имате повече от 3 сайта се абонирайте за myjoomla.com и ще спите спокойно.

[Михаил Михов]

Направо ме смазахте колеги с тази тема.
Спама през домейна може да бъде от всякъде, включително и от не съществуващ майл, примерно: аз@sou-kavarna.com
Най-вероятно е да е хакната пощата, а не сайта. // виждам, че сайта вече е активен

[hristokk]

да активен е.. ще видим до кога обаче.. да не след година и хоп пак изненада.. този път няма да слагам абсолютно нищо допълнително като модули да видим... поща към сайта няма, нито има модули за писма в сайта или някаква друга обратна връзка, всичко бях изчистил и въпреки това пак се появи проблем.. започва силно да ме съмнява че може нещо и от хостинга да е дупката... при някое от приложенията за сканиране на които попаднах май ми изписваше че има опасност поради остарялата Апачи... ще препоръчате ли читав хостинг за в бъдеще с по хубава защита специално за Joomla сайтове.. Благодаря като цяло за помощта!