Вирус на сайте modx Evolution
Версия MODX: Evolution
На сайт проник вирус, еще на старой версии — делает рассылку — Сайт обновили до v.1.0.15 Почистили — через неделю опять идет рассылка с сайта, почистили — с почтовой программы сайта рассылка, почистили — опять рассылка с сайта. Программист говорит, что файл остался после проникновения в «дыру» в старой версии или в проникает на сайт уже в новой версии. Кто может подсказать 1. Есть ли эффективная программа антивирусная которая не только чистит файлы сайта (уже последствия), а еще и находит источник — вирусный файл который все это дело организует 2. Есть ли антивирусная программа которая предотвращает проникновения вируса в любом виде даже если есть так называемая «дара» в программе? Спасибо заранее благодарен.
Комментарии (7)
Для добавления комментариев вы должны авторизоваться или зарегистрироваться.
Михаил 20.10.2015 15:36 #
Также можно посмотреть список последних изменённых файлов на наличие в нём вредоносного кода.
Андрей 06.11.2015 11:01 #
/home/arbat-tur/arbat-tur.ru/docs/assets/snippets/personalize/snippet.personalize.php
/home/arbat-tur/arbat-tur.ru/docs/manager/includes/controls/phpmailer/class.smtp.php
/home/arbat-tur/arbat-tur.ru/docs/manager/media/style/MODxLight/images/ini.php
Павел Романов 20.10.2015 16:30 #
В Вашем случае остался скрипт, который пропустил антивирус. По опыту могу сказать, что тот же Ai-Bolit или Manul иногда пропускают вредителей и приходится либо, как сказал Михаил, смотреть дату изменения, либо (поскольку это не всегда помогает — иногда зараженные файлы датируются примерно временем создания сайта) запрашивать у хостера логи mail-сервера и просто поиском пробежаться запросом ".php" — сразу увидите, что и как.
Михаил 20.10.2015 16:35 #
Опять же, поиск файлов по содержимому помогает (eval, имена глобальных переменных и пр.).
Андрей 06.11.2015 11:04 #
/home/arbat-tur/arbat-tur.ru/docs/assets/snippets/personalize/snippet.personalize.php
/home/arbat-tur/arbat-tur.ru/docs/manager/includes/controls/phpmailer/class.smtp.php
/home/arbat-tur/arbat-tur.ru/docs/manager/media/style/MODxLight/images/ini.php
Ру центр блокирует тк готовится рассылка — на сайте есть форма заявки почти на каждой странице — без пароля — может в этом беда? Программист каждый раз говорит, что присылают картинки и там ничего не должно быть — чистит присылаемые файлы, но опять появляются новые
Удален 21.10.2015 20:16 #
Андрей 06.11.2015 10:42 #
/home/arbat-tur/arbat-tur.ru/docs/assets/snippets/personalize/snippet.personalize.php
/home/arbat-tur/arbat-tur.ru/docs/manager/includes/controls/phpmailer/class.smtp.php
/home/arbat-tur/arbat-tur.ru/docs/manager/media/style/MODxLight/images/ini.php
можете пояснить что может быть и «куда смотреть» я в этом деле профан. Спасибо