Мы используем cookie-файлы
Для оптимизации работы нашего сайта мы используем cookie-файлы. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов.
Панель управления
  • Русский
  • Українська
  • UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 170-15-42  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  Vodafone
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Хостинг. Вирус редиректа


kostya.raikage
9 месяцев
0
Вирус редиректа

Весь хостинг заражен вирусом редиректа. Когда создается новый сайт через время на нем появляется скрипт редиректа

alex
9 месяцев
0

Здравствуйте.
Уточните, пожалуйста, более подробно, о каком скрипте идёт речь?

Весь хостинг заражен вирусом редиректа © codercchandrey
Хостинг-аккаунт?

alex
9 месяцев
0

Вполне вероятно, что в Вашем хостинг-аккаунте есть сайт с уязвимостью или бекдором, и/или на сайтах используется уже заражённый плагин/модуль/тема CMS, особенно если она взломана или взята с сомнительного ресурса.
В данном случае рекомендуем изучить как минимум POST-запросы ко всем сайтам хостинг-аккаунта за дату заражения, проверить базы данных, либо обратиться к профильному специалисту.
Со своей стороны мы можем помочь с самостоятельной диагностикой сайта на уязвимости, но для этого требуется больше деталей от Вас.
Также у нас есть wiki, есть статьи о мерах предосторожности. Например, для Wordpress: https://wiki.ukraine.com.ua/hosting:cms:wordpress:hack-protection

kostya.raikage
9 месяцев
0

Когда на новый домен зилаваю сайт, все ок. Где-то через неделю появляется этот скриптовый редирект catcut. Я его удаляю в коде, он всегда в разных файлах. Потом он опять появляется и это не на одном сайте. На всех сайтах хостинга. Плюс все сайты написаны по разному

alex
9 месяцев
0

Есть ли в логах сайта (Они находятся в Хостинг - Мои сайты - Ваш сайт - Логи сервера - Access - дата - фильтр по пути к файлу) POST-запросы к заражённым ныне файлам за все время от загрузки сайта по данный момент?

kostya.raikage
9 месяцев
0

После этого, что нужно делать?)

rudenko
9 месяцев
0

После этого, что нужно делать?) © codercchandrey

По дате модификации зараженного файла вы сможете найти запрос в логе и определить через какую часть сайта идет заливка вируса. После чего можно либо скачать обновление уязвимого модуля либо заблокировать запросы, которые используются для взлома.

kostya.raikage
9 месяцев
0

а как заблокировать запрос или скачать обновление уязвимого модуля? Если не сложно опишите пожалуйста)

rudenko
9 месяцев
0

Ломают через форму обратной связи. Пришлите код файла /mail/contact_me.php

kostya.raikage
9 месяцев
0

// Check for empty fields
if(empty($_POST['name'])                ||
   empty($_POST['email'])               ||
   empty($_POST['phone'])               ||
   empty($_POST['message'])     ||
   !filter_var($_POST['email'],FILTER_VALIDATE_EMAIL))
   {
        echo "No arguments Provided!";
        return false;
   }
       
$name = $_POST['name'];
$email_address = $_POST['email'];
$phone = $_POST['phone'];
$message = $_POST['message'];
       
// Create the email and send the message
$to = 'elkind@elkind.net'; // Add your email address inbetween the '' replacing yourname@yourdomain.com - This is where the form will send a message to.
$email_subject = "Website Contact Form:  $name";
$email_body = "You have received a new message from your website contact form.\n\n"."Here are the details:\n\nName: $name\n\nEmail: $email_address\n\nPhone: $phone\n\nMessage:\n$message";
$headers = "From: noreply@yourdomain.com\n"; // This is the email address the generated message will be from. We recommend using something like noreply@yourdomain.com.
$headers .= "Reply-To: $email_address";
mail($to,$email_subject,$email_body,$headers);
return true;

rudenko
9 месяцев
0

В этом файле нет ничего такого, что позволило бы менять другие файлы. Скажите, а какая дата и время изменения файла, который был заражен вирусом?

kostya.raikage
9 месяцев
0

Точной даты я не знаю. Только сегодня на него зашел и там уже есть редирект. Создан сайт был 5-го числа этого месяца. Только через POST запросы может быть заражение? и этот <script>catcut</script> постоянно заражает новые сайты которые размещаются на хостинге

rudenko
9 месяцев
0

В файл менеджере посмотрите дату модификации зараженного файла (а лучше через SSH). Время POST запроса должно совпадать со временем изменения зараженного файла. А вы прислали просто POST запрос. GET запросом с вероятностью 99% заражения быть не может.

kostya.raikage
9 месяцев
0

Вот этот редирект на сайт catcut.net. Совпадает со временем изменения index.html
[[upload]Screenshot_1.jpg[[/upload]]
[[upload]Screenshot_2.jpg[[/upload]]

alex
9 месяцев
0

Это редирект наоборот, с catcut на Ваш сайт

kostya.raikage
9 месяцев
0

Тогда почему спустя минуты оно со всех сайтов кидает на каткат?

alex
9 месяцев
0

Уточните, пожалуйста, нет ли на Вашем ПК какого-нибудь ПО, либо расширения в браузере, которое может быть взаимосвязано с catcut?

raiterjob
9 месяцев
0

Нет, нету. Это актуально только для сайтов на данном хостинге. В некоторых сайтах перезаписывается href при клике. С других устройств ситуация аналогична

rudenko
9 месяцев
0

Нужна ссылка на сайт зараженный вирусом

Участвовать в общении на этом форуме могут только зарегистрированные пользователи.