Добрый день. На сервере лежит 10 сайтов. На всех сайтах лежат непонятные файлы. Ресурсы сервера всё время полностью заняты(количество процессов, виртуальная и физическая память), хотя раньше такого не было. CMS сайтов Wordpress 4 и Modx Revo 2.3.2
Ниже привожу ссылки на эти файлы:
http://pastebin.com/SBkyZ5EM
http://pastebin.com/irDy5kY1
http://pastebin.com/AQwv5QkQ
http://pastebin.com/ByXE5TtK
http://pastebin.com/XuVvQFNz
http://pastebin.com/Lary6ijf
http://pastebin.com/5hYv8Rzf
http://pastebin.com/1m5ZxEz6
Эксплоиты:
http://pastebin.com/L1TXAJRV
http://pastebin.com/zpJFUq5p
http://pastebin.com/2RqyBBr9
И интересный файл jquery.so
Возможно ли такое, что с помощью эксплойтов библиотека jquery.so установилась, теперь сидит в памяти, грузит сервер и размножает вредоносное программное обеспечениеные файлы, т.к. файлы после удаления появляются заново? Есть ли тут вина хостера, в том, что на сервере удалось запустить эксплойт и поместить библиотеку в память? Как с этим бороться? Где искать причину заражения?
#1
Отправлено 23 Апрель 2015 - 10:57
#2
Отправлено 23 Апрель 2015 - 10:57
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
#3
Отправлено 23 Апрель 2015 - 11:04
на сайты обчно ставят чекалку для проверки изменения файлов
#4
Отправлено 23 Апрель 2015 - 11:06
налепите яндекс метрику...бесплатно и сердито
#5
Отправлено 23 Апрель 2015 - 11:49
налепите яндекс метрику...бесплатно и сердито
Яндекс метрика стоит, есть заходы с индийских IP на заражённые файлы. Глубина захода 12. Запрещаем доступ по IP, но он каждый раз меняется. По-этому диапазон адресов запретить тоже не получится. Чекалку файлов поставил, но вряд ли она что-то даст, т.к. файлы уже записаны и отследить новые скорее-всего не получится. По наблюдению, новые файлы создаются только если удаляется все старые. Меня больше волнуют эксплойты и библиотека которая висит в памяти. Её оттуда надо убрать, что бы новые файлы не создавались, потом удалить все вирусованные файлы и тогда уже отслеживать куда и через что пишутся скрипты. Так вот вопрос: можно ли как-то посмотреть список процессов которые висят в памяти и как-то убрать оттуда подозрительные? Стоит CPanel. Или этого сделать не получится и надо писать хостеру?
#6
Отправлено 23 Апрель 2015 - 11:52
Надежный способ - переставить ВСЕ с нуля.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#7
Отправлено 23 Апрель 2015 - 11:55
Надежный способ - переставить ВСЕ с нуля.
а если *.so файл висит в памяти и файлы всё равно запишутся?
#8
Отправлено 23 Апрель 2015 - 11:55
налепите яндекс метрику...бесплатно и сердито
Яндекс метрика стоит, есть заходы с индийских IP на заражённые файлы. Глубина захода 12. Запрещаем доступ по IP, но он каждый раз меняется. По-этому диапазон адресов запретить тоже не получится. Чекалку файлов поставил, но вряд ли она что-то даст, т.к. файлы уже записаны и отследить новые скорее-всего не получится. По наблюдению, новые файлы создаются только если удаляется все старые. Меня больше волнуют эксплойты и библиотека которая висит в памяти. Её оттуда надо убрать, что бы новые файлы не создавались, потом удалить все вирусованные файлы и тогда уже отслеживать куда и через что пишутся скрипты. Так вот вопрос: можно ли как-то посмотреть список процессов которые висят в памяти и как-то убрать оттуда подозрительные? Стоит CPanel. Или этого сделать не получится и надо писать хостеру?
у хостера есть логи....ковырять их нудно,но можно
Прикрепленные файлы:
Сообщение было изменено mrbelyash: 23 Апрель 2015 - 11:57
#9
Отправлено 23 Апрель 2015 - 12:00
а вообще посмотрите в сторону cloudflare
халява-с
Прикрепленные файлы:
Сообщение было изменено mrbelyash: 23 Апрель 2015 - 12:02
#10
Отправлено 08 Февраль 2016 - 18:38
Lodiur, ещё 1 подобное предложение - отправитесь в бан.
Модератор.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Also tagged with one or more of these keywords: вирусы, эксплойты, linux
Русские форумы →
Dr.Web Enterprise Suite →
Enterprise Suite 10 на Debian - ошибка клиентов на WindowsАвтор: demonoffuture , 08 фев 2024 linux, agent, ошибка |
|
|
||
Русские форумы →
Dr.Web для Unix →
kswapd0 - Unpacking errorАвтор: wcpgrief , 03 дек 2022 Unpacking errorб, samba, smb и еще 1… |
|
|
||
Русские форумы →
Dr.Web для Unix →
Как понизить потребление процессора в режиме full scan?Автор: iceja , 04 июн 2022 linux |
|
|
||
English forums →
Dr.Web for Unix (English) →
Unable to Register Linux VersionАвтор: netsurfer38 , 23 янв 2022 Ubuntu, Register, License, Linux |
|
|
||
English forums →
Common questions (English) →
Unable to Register Linux VersionАвтор: netsurfer38 , 23 янв 2022 Ubuntu, Register, Linux |
|
|
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых