Добре дошъл/дошла, Гост. Моля, въведи своето потребителско име или се регистрирай.

Влез с потребителско име, парола и продължителност на сесията

Новини:

Автор Тема: Помощ за "Спрян сайт поради разпространение на спам" от Хост.бг  (Прочетена 26134 пъти)

Неактивен hristokk

  • Задържал се
  • *
  • Публикации: 60
  • Репутация: 0
Дааа и отново    [Host.bg #722057] спрян сайт... какво да правя вече не знам..  явно остава да се прави сайта изцяло наново...  и да се използват минимални и само сигурни разширения... 

Неактивен Бого

  • Администратор
  • Гуру
  • *
  • Публикации: 2275
  • Репутация: +28
Дааа и отново    [Host.bg #722057] спрян сайт... какво да правя вече не знам..  явно остава да се прави сайта изцяло наново...  и да се използват минимални и само сигурни разширения...

Здравей Колега,

съжалявам да прочета последния ти пост в тази тема, но решението е едно, смени хоста и то веднага без да се замислиш дори и за миг! Ще забравиш за тези главоболия след време. ;)
Joomla, произлиза от думата Jumla (на суахили), която означава `всички заедно`, като потвърждение на open source инициативата!

Неактивен hristokk

  • Задържал се
  • *
  • Публикации: 60
  • Репутация: 0
Да го сменя, ама с кой.. препоръчайте ми стабилен хостинг..
Има ли хостинг при който ако действително има проникване през някое инсталирано разширение или тема, поне да засичат кой е вредния файл по активноста му или нещо такова ако е възможно... а не да ме хвърлят в 3333 файла от които аз трябва да намеря вредния...абсурд..

Междувременно сега ще сложа чиста Joomla 3 .. и ще видя как да прехвърля само данните - менюта и статии най вече...


Неактивен Бого

  • Администратор
  • Гуру
  • *
  • Публикации: 2275
  • Репутация: +28
Да го сменя, ама с кой.. препоръчайте ми стабилен хостинг..

СуперХостинг, ICN ме дразнят в последно време с малоумните си действия. Въпроса е само този сайт ли ще местиш на новия хостинг или и други сайтове имаш в Хост.бг .
Joomla, произлиза от думата Jumla (на суахили), която означава `всички заедно`, като потвърждение на open source инициативата!

Неактивен hristokk

  • Задържал се
  • *
  • Публикации: 60
  • Репутация: 0
имам 4 сайта но те не са реално мои, а ги поддържам.. поръчвани по различно време и т.н. тоест едновременното прехвърляне ще е невъзможно...

ПП: да не отварям нова тема.. но след като прехвърлих чрез SQL данните от стария сайт в нова Joomla или след инсталиране на Akeeba Admin нещо се прецака със super user ID. При опит за редакция и запис на статия ми дава съобщение Записването неуспешно. Причината е следната: Невалидно главно id. Обаче реално записва, променя и създава... ID то е 62.. пробвах да го сменя или да създам друг супер потребител но и с него е същото... може би съм пропуснал да копирам някоя таблица или пък тоя Akeeba Admin и неговото супер ид прецака нещо, но и след деинсталацията му е същото..
« Последна редакция: 13 Септември, 2014, 17:44:45 от hristokk »

Неактивен Бого

  • Администратор
  • Гуру
  • *
  • Публикации: 2275
  • Репутация: +28
имам 4 сайта но те не са реално мои, а ги поддържам.. поръчвани по различно време и т.н. тоест едновременното прехвърляне ще е невъзможно...

Защо да не е възможно, местиш ги за да нямаш бъдещи ядове, е вярно е трябва да отделиш някъв лев. Виж какъв ресурс ще им трябва, процесорно време на 24часа, дисково пространство, слагаш 10% отгоре  и избираш хостинг плана, който ще ти върши работа.
« Последна редакция: 13 Септември, 2014, 17:42:58 от Бого »
Joomla, произлиза от думата Jumla (на суахили), която означава `всички заедно`, като потвърждение на open source инициативата!

Неактивен hristokk

  • Задържал се
  • *
  • Публикации: 60
  • Репутация: 0
ако бяха мои да го направя.. но както казах те са на други хора.. някои са подновени скоро и т.н. Евентуално при изтичането им може да се помисли за промяна стига да няма голяма разлика в цената която хората вече са свикнали да им казвам :)

Сега като реших да проверя техн. данни на сървъра видях нещо което може да е основната причина..
на проблемния сайт който е от 2010г.  данните са:
   Име на сървъра: gauss
    Архитектура: i686
    Операционна система: Gentoo
    Perl -  Активна версия: 5.0.51a
    Apache -   Активна версия: 1.3


а на друг който е от миналата година и досега е нямал проблеми да чукна на дърво са доста по нови данните:
    Име на сървъра: pascal
    Архитектура: x86_64
    Операционна система: Gentoo
    Сървър IP адрес: 193.107.36.50
    Perl -    Активна версия: 5.5.25a
    Apache -  Активна версия: 2.4

май не е лошо да поискам смяна на сървъра...

Важно! Моля препоръчайте ми стабилен хостинг/за предпочитане с възможност и за домейн от същото място/ понеже ми предстои изграждане на мини сайт за имоти с помоща нa Joomla и К2 и ме притеснява да няма отново проблеми, че има доста допълнителни модули и плъгини...
« Последна редакция: 23 Септември, 2014, 08:09:01 от hristokk »

Неактивен res5ect

  • Задържал се
  • *
  • Публикации: 120
  • Репутация: 0
    • коли за скрап
Гледам нищо не сте избистрили... лепнах го същото... голям провал
Вирусът се казва blackhat seo malware, управлява цялата база данни, и цялата администрация, след хак, ъплоудва собствените си файлове нейде... променя съдържанието на артикълите и блокира tinymice едитор.

Какво може да се направи... мааалко под въпрос, но за 2 дни борба, ето стъпките

1) изтриваш всичко - пишеш на хост.бг - всичко е 6, връщаш файловете обратно, и започваш да сменяш таблички през бази данни, пароли, потребители и др.

2) влизаш в phpmyadmin DB_namecontent - там са ти страниците, както и съдържанието, вътре в тях има спамммммм... триешшшшш.... :) прегледай всяка страница.
3) влизаш в phpmyadmin DB_nameusers - махаш ненужни потребители

за момента съм до тук стигнал.... ако искаш да знаеш дали има още вирус, влизаш в admin.host.bg, там има едно " операции четене запис" логове по часове, ако когато не си бил ти, има операции, начи не си се изчистил....

аз още се боря...  успех....
изкупуване на коли за скрап newbielink:http://tinstrade.com [nonactive] изкупуване на коли, безплатен превоз, плащане на момента

Неактивен hristokk

  • Задържал се
  • *
  • Публикации: 60
  • Репутация: 0
не моя не беше такъв... проблеми по сайта, информация, потребители и други нямах... всичко си работеше нормално до последно... при мене само разпращаше спам писма към много хора и сървъра на хостбг ми го блокираше заради спамене...

Неактивен res5ect

  • Задържал се
  • *
  • Публикации: 120
  • Репутация: 0
    • коли за скрап
именно де, ето какво получих и аз:

Цитат
Отговор от: Ивайло Димов на 18 Sep 2014 в 22:49
Събери
Здравейте,

Достъпът до сайтът Ви      е спрян, т.к. е хакнат. Изглежда в системата за управление на съдържание(CMS), която ползвате има дупка в кода/сигурността позволяваща качване на файлове/изпълнение на команди и/или злонамерен php код. Това дава възможност на злонамерени лица да изпращат спам, да правят флуд атаки, публикуват фишинг страници и др. злонамерени действия.
Всяка от горепосочените атаки попада под ударите както на Българското, така и на Европейското законодателство, като съгласно Общите условия на ползване на хостинг услугата отговорността се носи от собственика на сайта.
Препоръчваме Ви да обновите системата (CMS), която ползвате, както и темите, плъгините, модулите и компонентите към нея. В голяма част от случайте подобни хаквания стават през горепосочените компоненти на CMS системите.

Възстановяването на достъпа до Вашия сайт се извършва при следните условия:

1. Преди възстановяването сте премахнали конкретния зловреден код, скрипт, компрометирани файлове и т.н.

2. Съгласен сте след получаване на достъп да откриете и премахнете уязвимостта, довела до използването на Вашия сайт за атака на други сайтове или услуги в максимално кратък срок, но не по-дълъг от три работни дни.

При повторно и следващо експлоатиране на уязвимост на Вашия сайт в рамките на три месеца, достъпът до официалния адрес ще бъде преустановен съответно за 7 и 14 календарни дни. Възстановяването на достъпа преди тези срокове се таксува.

Едно от писмата разпространявани от хостинга ви:


*** ENVELOPE RECORDS deferred/4/4490B367D4C ***
message_size: 120824 614 1 0 120824
message_arrival_time: Thu Sep 18 21:04:32 2014
create_time: Thu Sep 18 21:04:32 2014
named_attribute: log_ident=4490B367D4C
named_attribute: rewrite_context=local
sender: tnt-support@***.net
named_attribute: log_client_name=localhost
named_attribute: log_client_address=127.0.0.1
named_attribute: log_client_port=37097
named_attribute: log_message_origin=localhost[127.0.0.1]
named_attribute: log_helo_name=pascal
named_attribute: log_protocol_name=SMTP
named_attribute: client_name=localhost
named_attribute: reverse_client_name=localhost
named_attribute: client_address=127.0.0.1
named_attribute: client_port=37097
named_attribute: helo_name=pascal
named_attribute: protocol_name=SMTP
named_attribute: client_address_type=2
named_attribute: dsn_orig_rcpt=rfc822;ingraf@intercable.net
original_recipient: ingraf@intercable.net
recipient: ingraf@intercable.net
*** MESSAGE CONTENTS deferred/4/4490B367D4C ***
X-SG-User: ****
X-SG-Opt: SCRIPT_FILENAME=/www/*****.net/www/root/templates/****/data/dirs23.php REQUEST_URI=/templates/*****/data/dirs23.php PWD=/www/*****.net/www/root/templates/******/data REMOTE_ADDR=146.185.239.51
To: ingraf@intercable.net
Subject: Delivery Notification
Date: Thu, 18 Sep 2014 21:04:31 +0300
From: TNT Express <tnt-support@****.net>
Message-ID: <849a8c43bc219479ceb772b0774ba9d2@***.net>
X-Priority: 3
X-Mailer: PHPMailer 5.2.8 ( newbielink:https://github.com/PHPMailer/PHPMailer/ [nonactive])
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="b1_849a8c43bc219479ceb772b0774ba9d2"
Content-Transfer-Encoding: 8bit

--b1_849a8c43bc219479ceb772b0774ba9d2
Content-Type: multipart/alternative;
boundary="b2_849a8c43bc219479ceb772b0774ba9d2"

--b2_849a8c43bc219479ceb772b0774ba9d2
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 8bit

TNT
e?x?p?r?e?s?s


International courier delivery services company







Delivery Notification

Courier service could not make the delivery of your parcel.

The label of your parcel is enclosed to the letter.
Print a label and show it at your post office.




All rights reserved by TNT Holdings B.V. © 2014


--b2_849a8c43bc219479ceb772b0774ba9d2
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: 8bit

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
" newbielink:http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd [nonactive]">
<html>
<body>
<head>
</head>
<table border="0" width="665" height="auto" style="border-collapse: collapse;font-family:Arial,sans-serif;color:#343434;font-size:14px;height:auto;font-weight:100;text-align:left;">
<tr>
<th style="border-bottom:#ff6600 solid 5px;">
<ul style="margin:0 0 0 0;padding:0 0 0 32px;width:150px;height:60px;display:inline-block;float:left;">
<p style="color:#ff6600;font-weight:bold;font-size:31px;margin:0;padding:0 85px 0 0;border-bottom:1px #808080 solid;width:auto;display:inline-block;height:30px;">TNT</p>
<p style="color:#ff6600;font-size:16px;font-weight:normal;margin:0;padding:0 0 0 60px;">e&nbsp;x&nbsp;p&nbsp;r&nbsp;e&nbsp;s&nbsp;s</p>
</ul>
<ul style="margin:0;padding:10px 0 0 0;width:475px;height:30px;display:inline-block;float:left;">
<p style="color:#ff6600;font-size:15px;font-style:italic;font-weight:normal;text-align:right;">International courier delivery services company</p>
</ul>
</th>
</tr>
<tr><th>
<ul style="width:655px;margin:10px auto;padding:0;background:#ededee;border-radius:10px;font-weight:normal;border:1px #ff6600 solid;">
<p style="display:block;width:100%;height:20px;border-radius:10px 10px 0 0;background:#ff6600;margin:0;padding:0;"> </p>
<p style="padding:10px;margin:0;">
<b style="color:#ff6600;font-size:16px;display:block;margin:0 0 5px 0;">Delivery Notification</b>
<br>
Courier service could not make the delivery of your parcel.
<br><br>
The label of your parcel is enclosed to the letter.<br>
Print a label and show it at your post office.<br>
</p>
<br>
<br>
</ul>
<p style="color:#ff6600;font-size:13px;text-align:right;margin:0;font-weight:100;padding:0 10px 0 0;">All rights reserved by TNT Holdings B.V. © 2014 </p>
</th></tr>
</table>
</body>
</html>



--b2_849a8c43bc219479ceb772b0774ba9d2--

--b1_849a8c43bc219479ceb772b0774ba9d2
Content-Type: application/octet-stream; name="TNTHG0029015274.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=TNTHG0029015274.zip


--b1_849a8c43bc219479ceb772b0774ba9d2--

*** HEADER EXTRACTED deferred/4/4490B367D4C ***
named_attribute: encoding=8bit
*** MESSAGE FILE END deferred/4/4490B367D4C ***



С уважение,
И
Техническа поддръжка - Host.bg
изкупуване на коли за скрап newbielink:http://tinstrade.com [nonactive] изкупуване на коли, безплатен превоз, плащане на момента

Неактивен hristokk

  • Задържал се
  • *
  • Публикации: 60
  • Репутация: 0
Да такова беше и моето писмо...  аз разчистих масксимално сайта от излишните плъгини и модили.. след което инсталирах цялата joomla на чисто и после импортирах от старата БД само таблиците за менюта, статии, модули, плъгини и още няколко, които трябват за съдържанието... . ако в тях има нещо това може би значи че пак ще го лепна.. засега да чукам на дърво няма проблем, но времето ще покаже... ако пак се появи май ще се прави изцяло всичко наново .

Но все си мисля че пробива е заради слабата защита на хостинг сървъра...  а никой не препоръчва по добър такъв...

ПП: А има ли начин предварително да се претърси кода за този вирус.. някоя ключова дума която се среща и с някоя търсачка, която претърсва съдържанието на файловете...

Неактивен res5ect

  • Задържал се
  • *
  • Публикации: 120
  • Репутация: 0
    • коли за скрап
Аз преди малко се изчистих, още сменям пароли и прочие...


иначе за проверката, тук намерих доста вярна информация

newbielink:http://sitecheck.sucuri.net/ [nonactive]
изкупуване на коли за скрап newbielink:http://tinstrade.com [nonactive] изкупуване на коли, безплатен превоз, плащане на момента

Неактивен hristokk

  • Задържал се
  • *
  • Публикации: 60
  • Репутация: 0
Направих проверката с въпросния линк.. дава че няма вируси.. но и дава че е много остаряло    Apache/1.3.41 и има голяма опасност от него.. което потвърждава съмненията ми в хоста..

Неактивен Бого

  • Администратор
  • Гуру
  • *
  • Публикации: 2275
  • Репутация: +28
Здравейте,

днес чистих хакнат сайт, та си направих труда да тествам гореспоменатите сайтове, Да, ама нищо не откриха. ще сложа само част от зловоредния код и то орязан.

// Please Dont change this (encoded for the security of the license key)
eval(gzinflate(base64_decode('ZZBBa4NAEIXPCv6HIQhrILp3S4RcikhDSvEuWzuNSzfudtwk9N933Y2BkOPMvPe9x8RN3e7fyrLL2CcO4iI1Fd8kTnjV9MM2YOmM65ck=')));

Joomla, произлиза от думата Jumla (на суахили), която означава `всички заедно`, като потвърждение на open source инициативата!

Неактивен Михаил Михов

  • Администратор
  • Мега Гуру
  • *
  • Публикации: 3915
  • @Mihail
  • Репутация: +80
    • MyWeb1
Здравейте,

днес чистих хакнат сайт, та си направих труда да тествам гореспоменатите сайтове, Да, ама нищо не откриха. ще сложа само част от зловоредния код и то орязан.

// Please Dont change this (encoded for the security of the license key)
eval(gzinflate(base64_decode('ZZBBa4NAEIXPCv6HIQhrILp3S4RcikhDSvEuWzuNSzfudtwk9N933Y2BkOPMvPe9x8RN3e7fyrLL2CcO4iI1Fd8kTnjV9MM2YOmM65ck=')));


base64_decode
Бас, че има руска кирилица в линковете
Не платено за сваляне :D
myweb1.eu // Български платежни методи за HikaShop