Как удалить вредоносный скрипт рассылки с сайта?

Тема в разделе "Вопросы безопасности", создана пользователем Cvetana, 14.12.2012.

  1. Cvetana
    Offline

    Cvetana Недавно здесь

    Регистрация:
    06.10.2011
    Сообщения:
    19
    Симпатии:
    0
    Пол:
    Женский
    Уже несколько дней хостер блокирует сайт: "Аккаунт заблокирован. Причина - нарушение правил хостинга (нагрузка на сервер)." При этом в последние 2-3 дня нагрузка с одного сайта с посещаемостью около 800 человек в сутки (не в час, не в минуту, а в сутки) - 90-99%. Дело в том, что в определенное время (с 22-00 до 24-00) с нашего сайта идет атака на какие-то другие сайты (к примеру, банк Америки и т.д.). Проверяли на безопасность сервисом Яндекс - ничего не нашло. Посоветуйте какие-то способы лечения. Заранее огромное спасибо!
    Процитирую часть сообщения от хостера:
    "PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
    24429 devchata 20 0 112m 30m 6764 R 99.3 0.1 0:58.54 php-cgi
    30248 devchata 20 0 112m 30m 6544 R 99.0 0.1 0:29.08 php-cgi
    lsof -p 30248 | more
    COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
    php-cgi 30248 devchata cwd DIR 8,18 4096 51259037 /home/devchata/.system/fcgi
    php-cgi 30248 devchata rtd DIR 8,7 4096 2 /
    php-cgi 30248 devchata txt REG 8,3 29227554 9278082 /usr/local/php/5.3/bin/php-cgi
    php-cgi 30248 devchata mem REG 8,7 10096 950421 /lib64/libcom_err.so.2.1
    php-cgi 30248 devchata mem REG 8,3 190976 1836113 /usr/lib64/libgssapi_krb5.so.2
    .2...."
    адрес сайта - http://devchata.in.ua/
     
  2.  
  3. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 048
    Симпатии:
    520
    Пол:
    Мужской
  4. Cvetana
    Offline

    Cvetana Недавно здесь

    Регистрация:
    06.10.2011
    Сообщения:
    19
    Симпатии:
    0
    Пол:
    Женский
    Этим сканером я проверяла, результаты:
    Оффтопик (не в тему) - жми сюда!

    Папка "fcgi" содержит файл "devchata.in.ua.cgi"
    Его содержимое:
    #!/bin/sh

    DOMAIN_NAME=`basename "$0" | sed 's/.\{4\}$//'`
    USER_NAME=`/usr/bin/id -nu`

    DEF_PHP_VER_FILE="/usr/local/php/conf/default_php_ver"
    DEF_MEMORY_FILE="/usr/local/php/conf/default_memory_limit"

    PHP_VER_FILE="/home/$USER_NAME/.system/conf/$DOMAIN_NAME/php_ver"
    MEMORY_FILE="/home/$USER_NAME/.system/conf/$DOMAIN_NAME/memory_limit"

    #Configure PHP version
    if [ -s $DEF_PHP_VER_FILE ]; then
    DEF_PHP_VER=`/bin/cat $DEF_PHP_VER_FILE`
    else
    DEF_PHP_VER="5.3"
    fi

    if [ -s $PHP_VER_FILE ]; then
    PHP_VER=`/bin/cat $PHP_VER_FILE`
    else
    PHP_VER=$DEF_PHP_VER
    fi

    #Configure PHP memory limit
    if [ -s $DEF_MEMORY_FILE ]; then
    DEF_MEMORY_LIM=`/bin/cat $DEF_MEMORY_FILE`
    else
    DEF_MEMORY_LIM="128M"
    fi

    if [ -s $MEMORY_FILE ]; then
    MEMORY_LIM=`/bin/cat $MEMORY_FILE`
    else
    MEMORY_LIM=$DEF_MEMORY_LIM
    fi


    PHP_INI_SCAN_DIR="/home/$USER_NAME/.system/conf/$DOMAIN_NAME/$PHP_VER"
    export PHP_INI_SCAN_DIR
    PHP_FCGI_CHILDREN=0
    export PHP_FCGI_CHILDREN
    PHP_FCGI_MAX_REQUESTS=1000
    export PHP_FCGI_MAX_REQUESTS
    exec /usr/local/php/$PHP_VER/bin/php-cgi -d memory_limit=$MEMORY_LIM
     
  5. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 048
    Симпатии:
    520
    Пол:
    Мужской
    проверяйте с этой строкой ?

    системный файл.вопрос к хостеру.В Joomla 1.6 нет такого файла
     
  6. Cvetana
    Offline

    Cvetana Недавно здесь

    Регистрация:
    06.10.2011
    Сообщения:
    19
    Симпатии:
    0
    Пол:
    Женский
    извините, не совсем понимаю, о чем вы( в сканере, вы имеете ввиду?
    на счет файла действительно это так, файл системный и на него зачастую ссылаются логи. Сегодня подозрительно не блокируют сайт, поменяла пароли, проверила все файлы в основных подозреваемых папках, ничего пока не попалось( Думаю, стоит спросить у хостера еще за этот файл. Большое спасибо!
     
  7. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 048
    Симпатии:
    520
    Пол:
    Мужской
    Нуу и что тут непонятного ?
    Сканер выдал файлы,указав строку
    Вот и проверяй все файлы со строкой String:: c99,то есть- с особый вниманием.
    Я проверяю каждый файл указанный в результате работы сканера.
     
  8. Offline

    samodelkins Недавно здесь

    Регистрация:
    13.09.2009
    Сообщения:
    3
    Симпатии:
    0
    Пол:
    Мужской
    Аналогичная проблема, подскажите что за сканер, как им пользоваться и где взять?
     
  9. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 048
    Симпатии:
    520
    Пол:
    Мужской
    Вот ссылка на сайт разработчиков
    http://site-security.ru/opisanie-raboty-skanera.html
     
  10. Offline

    samodelkins Недавно здесь

    Регистрация:
    13.09.2009
    Сообщения:
    3
    Симпатии:
    0
    Пол:
    Мужской
    Нашол вредокод, почистил, сайт отображается. Захожу в админку - а там вот такое, и эти ссылки не работают... Стоял К2.
    5d1713746248.jpg

    Такое у меня уже было, когда я игрался с админкой, а что именно не помню.. спасло что в другом окне была открыта ещё одна авторизованная страничка, и я вернул ту галочку. А тут с другого компа в новой сессии я туда не попадаю. Может кто подскажет? Наверняка это правится где-то в базе, имхо.

    Вообще этот К2 мне не особо понравился, и не нужен в принцыпе, просто его просил модуль-галерея помоему, или шаблон?( Помогите пожалуйста, 3 часа ковыряюсь..
     
    Последнее редактирование: 14.04.2013

Поделиться этой страницей

Загрузка...