Перейти к содержимому

MOAB

- - - - -

Помогите! сайт взломали


  • Войдите, чтобы ответить
Сообщений в теме: 6

#1 Аня1992

Аня1992

    Продвинутый

  • Участник
  • PipPipPip
  • 179 сообщений
70

Отправлено 21 Декабрь 2015 - 19:37

Получила вот такое письмо (((


Цитата

Здравствуйте!

В адрес АО "Регистратор Р01" поступило официальное обращение от компетентной организации Group-IB (Группа информационной безопасности):
http://cctld.ru/ru/r...tors/competent/ следующего содержания:

Уважаемый руководитель!

Сообщаем Вам о том, что доменное имя site.ru
является фишинг-ресурсом, нацеленным на пользователей mail.yandex.ru.

http://site.ru/js/yandex/index.htm:



В соответствии с пунктом 5.7 Правил регистрации доменных имен в зонах
.RU и .РФ, просим прекратить делегирование домена kontstone.ru.

По вопросам разъяснения причин прекращения делегирования данного
доменного имени рекомендуем обращаться по следующим контактам:

Email: soc@cert-gib.ru , телефон: +7 (495) 988-00-40.

Благодарим за сотрудничество.

Откуда появилось файл http://site.ru/js/yandex/index.htm: на сервере не знаю, Но удалила )Потом Писал soc@cert-gib.ru, ответили, что по прежнему есть фишинговый контент ) делал бэкап ) Но не уверена, что все хорошо )

Как решить эту проблему?

Сообщение отредактировал Аня1992: 21 Декабрь 2015 - 20:12


#2 KaSH

KaSH

    Инструктор по счастью

  • Основатель
  • PipPipPipPip
  • 1 312 сообщений
2 302
  • Изморя и с гор

Отправлено 21 Декабрь 2015 - 22:06

Опыт у меня не богатый, но, если у меня проблемы с каким либо сайтом, что делаю:
1. Меняю все все пароли. FTP, MySQL и т.п.
2. Пробегаю сайт глазами, большинство взломов оставляют самые банальные следы. Ну там, в индексном файле внизу какая-то вставка, или еще в ряде php-файлов.
3. Пробегаю сайт вот такой штукой - https://yandex.ru/promo/manul#about , чтобы посмотреть, вдруг где-то глубже есть что-то, что мог не заметить (а это запросто, иногда втыкают код в такую глушь, что сам фиг найдешь :) ).
4. Но если есть бекап (не забывайте делать бекапы), восстанавливаю сайт из бекапа. База страдает редко, в основном, страдают скрипты. А скрипты меняются на сайте не часто, как правило :)
5.Если двиг распространенный, нужно не забывать постоянно накатывать обновления, так как дыры вовсяких там WP и Джумлах находятся регулярно (потому что там их усиленно ищут).
6. Анализирую логи, чтобы понять, через какую дырку сайт был заражен. Во многих случаях, с которыми сталкивался, все указывало на то, что клиенты просто профукали ftp-доступ :)
Если ее нахожу, закрываю. Если не нахожу, активно мониторю сайт в течение некоторого времени.
7. Если Яндекс или Гугл успели понять что сайт заражен, захожу в службы вебмастера, отправляю сайт на перепроверку.

Собственно, все.

По поводу таких писем и подобных ребят. Если люди хотят помочь владельцу сайта, они подскажут где именно есть вирусняк и прочая дрянь, раз они такие умные.
Если нет, то это просто кто-то пытается развести на бабки.
Серьезные сайты размещаю на VPS, простые в SprintHost и в TimeWeb. Старые, более ненужные мне сайты я продаю на Телдери. Бухгалтерию и отчеты в налоговую за меня делает Эльба.

#3 Аня1992

Аня1992

    Продвинутый

  • Участник
  • PipPipPip
  • 179 сообщений
70

TC Отправлено 21 Декабрь 2015 - 23:25

KaSH,Спасибо )) так и сделала ) Писала так же хостинг провайдеру, чтобы проверял и на других сайта в этом аккаунте ) И вот другая проблема - в этом аккаунте хостинг провайдера все сайты компании, и к нему имеют доступ многие сотрудники компании. Я очень внимательная - не сохраняю пароли в браузере, фтп. Но не знаю, как остальные делают ) возможно оттуда и проблема ((

#4 Petrovich1975

Petrovich1975

    Ку

  • Основатель
  • PipPipPipPip
  • 804 сообщений
725
  • ИзПерово

Отправлено 21 Декабрь 2015 - 23:43

Аккуратность может быть не причем. Может быть дыра в движке сайта. Может быть даже дыра у хостера вашего (плавали - знаем - в смысле попадал и в такие ситуации).
К правительству лететь — гравицаппу надо иметь. Правительство на другой планете живёт, родной!

#5 asssa

asssa

    Бывалый

  • Участник
  • PipPip
  • 84 сообщений
66
  • ИзПонауехало

Отправлено 22 Декабрь 2015 - 01:48

дыры в движке, угнанные пароли, дырки у хостера - верить никому нельзя (с)
поэтому не волнуемся по этим поводам, просто делаем бекапы почаще, обновляем cms вовремя и меняем пароли регулярно
это жизнь, детка уважаемый тс

а! и да! чаще всего пихают всякую шнягу в любые папки в индексный файл

Сообщение отредактировал asssa: 22 Декабрь 2015 - 01:50


#6 azsx

azsx

    Почетный

  • Основатель
  • PipPipPipPipPip
  • 5 084 сообщений
3 196

Отправлено 22 Декабрь 2015 - 06:49

просто напомню, многие репозитории разных линуксов всё еще не обновили баг от php (короче дрявые на уровне сервер). Собирайте сами. Баг https://bugs.php.net/bug.php?id=70219
зы
еще народ отдельного мужика для php подключает, но я хз. http://rpms.famillecollet.com/
Самому интересно нужен он мне для дебиана и убунты, или нафиг надо.

#7 Rover

Rover

    Продвинутый

  • Старая гвардия
  • PipPipPip
  • 384 сообщений
193
  • ИзМосква

Отправлено 22 Декабрь 2015 - 09:47

Мне кажется, такое письмо уже обсуждалось на форуме.
Персональный блог zeppelinblog.ru о путешествиях и самолетах.




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных



© 2020 SMO&SEO форум «WEBIMHO» — продвижение и создание сайтов, интернет-маркетинг

По вопросам рекламы на форуме и цены на рекламу
Все материалы SEO форума разрешены к копированию только с установкой гиперактивной ссылки на webimho.ru,
тем, кто этого не сделает, мы оторвем руки и ноги и поменяем местами,
а когда выйдем из тюрьмы, опять оторвем и опять поменяем.


Россия, г. Москва

Мы в соцсетях: twitter | вконтакте | facebook | livejournal