суббота, 25 сентября 2010
11:22

все записи пользователя в сообществе Hemem
I see you
[ok]

Снова вопрос о вирусе на сайте.
Я уже поднимала этот вопрос, тогда предложенные меры помогли
http://techsupport.diary.ru/p123007004.htm
все пароли (доступ фтп и админки) были изменены

сейчас ситуация несколько иная:
при попытке зайти на сайт, а также в админку сайта (браузер Mozilla Firefox)я вижу сообщение о том что сайт заблокирован.
в "подробнее" вижу следующую информацию.

"В некоторой части этого сайта несколько раз (3) за последние 90 дней была замечена подозрительная активность.

Что произошло во время последнего просмотра этого сайта компанией Google?

Из протестированных нами за последние 90 дней страниц данного сайта (100) в загрузке и установке вредоносного программного обеспечения без разрешения пользователя было замечено 81. Последний раз сайт просматривался Google 2010-09-17, а подозрительное содержание было обнаружено 2010-09-17.

Malicious software includes 74 scripting exploit(s).

Количество доменов, на которых размещается вредоносное ПО, равняется 2, включая nuttypiano.com/, pocketbloke.ru/


я поступила как и в предыдущий раз, выкачала сайт по фтп, поиском нашла опять три файла js в которых содержалось слово "nuttypiano", удалила строку.
но я не нашла ни одного файла содержащего pocketbloke.ru.
кроме того, как я понимаю, гугл нашел на сайте 74 вредоносных скрипта, я нашла только 3 файла

есть какие-то рекомендации?

UPD спасибо за помощь, вроде бы проблему удалось решить, и даже попросить Гугл переиндексировать сайт. теперь он открывается.

@темы: Администрирование сайтов и веб-дизайн

URL
Комментарии
25.09.2010 в 12:46

Enkryptor
вопрос — доступ к сайту по фтп есть только у тебя, или и у других людей (в т.ч. малокомпетентных в компьютерах) ?
URL
25.09.2010 в 13:04

Hemem
I see you
по фтп только у меня.
URL
25.09.2010 в 13:27

neo_rage
The day that you stop running is the day that you arrive.
скрипт может быть прописан хоть в одном месте, а открываться он может на всех страницах сайта. поэтому гугл говорит про такое количество страниц с вредоносным скриптом.
URL
25.09.2010 в 13:33

Hemem
I see you
тогда второй вопрос - почему я не нашла нигде элемента pocketbloke?
и еще - если я удалила все вредоносные скрипты, через какое время сайт перестанет блокироваться как подозрительный?
URL
25.09.2010 в 13:45

neo_rage
The day that you stop running is the day that you arrive.
Hemem вероятно, вы пропустили какой-либо файл. так же есть другой вариант: элементы этого сайта могли вызываться через другие скрипты, которые вы удалили.
URL
25.09.2010 в 13:50

Hemem
I see you
neo_rage
я искала поиском windows, по тексту файлов...
скрипты я не удаляла никакие, просто удаляла строку в файле скрипта.
все это я делаю механически просто следуя инструкции, технология скриптов для меня малопонятна.
URL
25.09.2010 в 13:51

neo_rage
The day that you stop running is the day that you arrive.
Hemem суть та же.
URL
25.09.2010 в 13:57

Hemem
I see you
neo_rage то ест ьскриптом является не файл, а команда в файле?

а когда примерно можно ожидать эффекта, то есть того что сайт станет открываться нормально, без предупреждений о вредоносности?
URL
25.09.2010 в 14:25

neo_rage
The day that you stop running is the day that you arrive.
Hemem ваши файлы, которые вы редактируете - это тоже скрипты. вредоносным скриптом является команда в таком файле, которая выполняет вредоносный код, или же вызывает другой скрипт, выполняющий вредоносный код.

Когда ждать эффекта - не знаю. Я бы рекомендовал вам разбираться с причинами возникновения вредоносных записей на вашем сайте. Возможно, существует дырка в безопасности - в этом случае логично будет предъявить претензии разработчикам сайта.
URL
25.09.2010 в 14:28

Hemem
I see you
претензии к разработчикам уже смысла нет предъявлять, к сожалению, контора оказалась очень нечистоплотная. они сделали сайт , но любая поддержка после этого - это огромная нервотрепка, куча хамства с их стороны и месяцы на решение любой малейшей пробелмы. мы собираемся заказывать новый сайт друго конторе, так что пока буду просто опционально бороться с тем что возникает на этом
URL
25.09.2010 в 14:41

LAV ©
Реальный мир ужасен, виртуальный - загадочен...
Если запрещена запись и изменение файлов в папке сайта, где происходит "заражение" файлов, то никакая дырка в движке не позволит изменить файлы, вписав в них вирусную строчку. Так что проверьте этот момент.

Такая надпись "Что произошло во время последнего просмотра этого сайта компанией Google?" в Google Crome появляется? Если в нем, то на других браузерах сайт доступен.
URL
25.09.2010 в 14:47

Hemem
I see you
LAV © да, спасибо за указание на момент запрета на изменение файлов.
нет, надпись появляется в мозилле. эксплорер открывает без пробелм.
но тут пробелма в том что у пооловины посетителей сайта стоит мозилла,и они пугаются и шлют письма нашему руководству что мол у вас сайт не работает...
URL
25.09.2010 в 14:59

LAV ©
Реальный мир ужасен, виртуальный - загадочен...
Пока сайт заново не проиндексируется гуглом и гугл не увидит, что вирусы с сайта пропали, сайт в мозилле не заработает. Так что нужно поторопить повторную индексацию. Можете попробовать воспользоваться их панелью для веб-админов. google.com/webmasters/tools
URL
25.09.2010 в 15:05

Hemem
I see you
спасибо....
URL
25.09.2010 в 16:37

Рез
Hemem, вам действительно лучше всего поскорее заказать сайт "с нуля" другой конторе, так как "нечистоплотные", как вы выразились, конторы любят порой таким образом поднять денег за счёт скрытых реклам и/или решения "проблем", которые они сами и устраивают.
URL
25.09.2010 в 16:40

Hemem
I see you
Рез хм, мне такая степень нечистоплотности не приходила в голову даже -_-
тут скорее все дело в крайней лени и в том что мы неинтересный, неденежны клиент =)
да, постараемся с нуля все сделать, я надеюсь хоть смогу больше сама понимать в структуре сайта и страницах..
URL
25.09.2010 в 16:51

Рез
Hemem, проверьте полностью свой комп на вирусы, и обязательно смените пароль на FTP.
Также обратитесь в службу поддержки хостинга, где расположен сайт: вполне возможно, проблема не с вашей стороны.

Две ссылки просто для ознакомления. Английский.
blog.unmaskparasites.com/2010/05/22/malware-on-...
blog.unmaskparasites.com/2010/06/17/malware-on-...
URL
25.09.2010 в 16:54

Hemem
I see you
Рез спасибо, я уже все это сделала- поменяла пароли к фтп и админке, служба поддержки хостинга сказала что это проблема только с нашей стороны.
спасибо за ссылки!
URL
25.09.2010 в 17:00

Рез
Тогда могу только повторить рекомендацию:
This "nuttypiano" hack uses stolen FTP credentials so:
1. Check all computers that have access to your site for malware (или проверьте всего один и выходите всегда только с него)
2. Change FTP passwords. Don't save them in your FTP client. Use SFTP instead of FTP (обговорите с хостером такую возможность)
URL
25.09.2010 в 17:04

Hemem
I see you
да, спасибо большое..
я думаю что дело в наших компах. работают с сайтом много народу, но только я по фтп, остальные через админку. через админку вирус может залезть?
и...вечный вопрос- какой способ наилучший для обеспечения безопасности от вирусов?:
URL
25.09.2010 в 17:04

Таз
Death Metal Bands Shouldn't Say "Thank You", Because It's Not Very "Death Metal"
а не легче админа нормального нанять?

не так уж и дорого стоит.
URL
25.09.2010 в 17:06

Hemem
I see you
Таз к сожалению, это пока не вариант -_-
я редактор сайта, и такие проблемы строго говоря, вне моей компетенции, но я просто едсинвтенынй человек который может в этом разобраться, гипотетически,..
URL
25.09.2010 в 17:17

Рез
Hemem, теоретически вирус может проникнуть даже с пользовательского компьютера с помощью инъекций. Однако будем считать, что сайт вам делал не студент-первокурсник, и что безопасность хоть какая-то есть. Так что лучше проверить все компьютеры, которые имеют доступ и через админку. Ещё неплохо бы убедиться, что логин-пароль в админку и на ftp не совпадают.

Что до антивирусов. Идеальной защиты нет. Для конечного пользователя лучшим будет иметь на машине оплаченный лицензионный антивирус. Я лично рекомендую Касперского, но это в силу моего опыта. Также неплохо иметь какую-либо защиту от атак снаружи и изнутри, то есть поставить файервол, который сможет оповестить вас, когда какой-то процесс пытается с компа передать данные в интернет (для уже заражённых машин) и препятствовать заражению вашей машины по сети. Но тут рекомендаций и реализаций много, из бесплатного можете попробовать Outpost Free (если у вас машина не в домене, так как сии замечательные люди уверены, что дома у людей домена быть не может) или ZoneAlarm Free (если у вас домен). Обязательным будет являться режим обучения в данных программах, идеальным - режим запрещения всего, "кроме списка", которому вы точно доверяете.
URL
25.09.2010 в 18:12

Таз
Death Metal Bands Shouldn't Say "Thank You", Because It's Not Very "Death Metal"
Hemem 30 баксов за разовую настройку разве много? о_0 скажи "начальству" как человек который за это отвечает что нужен спец. вот и фсе
URL
25.09.2010 в 21:12

Hemem
I see you
Таз а вы можете порекомендовать такого специалиста в Москве?
URL
25.09.2010 в 22:47

Таз
Death Metal Bands Shouldn't Say "Thank You", Because It's Not Very "Death Metal"
я
URL
27.09.2010 в 13:35

Hemem
I see you
LAV © спасибо огромное за рекомендацию , я написала в гугл, и сайт проиндлексировали заново, вирусов не обнаружили и теперь он доступен! =)
URL