Как найти вирус на сайте? Скачал сайт на комп, просто Касперский не находит.
Пришло сообщение с хостинга.
Мы получили жалобу от администратора стороннего сервиса на исходящие запросы вредоносного характера с вашего аккаунта.
Приводим фрагмент логов сервера, к которому шли обращения:
This was detected by a tcp connection from 92.53.96.153 on port 38678 going to IP address 216.218.185.162 (the "sinkhole") on port 80.
The botnet command and control domain for this connection was blog.gbc0m4yh5rixmlqhwvo.com.
This detection corresponds to a connection at January 14 2021, 07:42:59 UTC.
По логу исходящих запросов видно, что атака выполнялась с вашего аккаунта (UID вашего аккаунта - 4163 ):
Jan 14 22:02:51 vh88 netfilter_output_connections: [28749643.833127] Output_TCPSYN: IN= OUT=eth0 SRC=92.53.96.153 DST=216.218.185.162 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=37327 DF PROTO=TCP SPT=38678 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0 UID=4163 GID=600
Для того, чтобы атака не повторилась, мы заблокировали доступ к сайтам аккаунта, а также возможность отправки писем с сервера.
Скорее всего, вредоносная активность стала результатом взлома вашего аккаунта. Вам необходимо провести аудит безопасности, чтобы проблема не возникла снова.
Порядок действий при обнаружении вредоносного кода: http://timeweb.com/ru/help/x/zIBC
Скачайте AI-Bolit и проверьте папку с файлами сайта
А Вы думаете касперский нацелен на определение скриптов на сайте?
Сработал триггер мониторинга у хостера, что от Вашего сайта появляется слишком много обращений. Вероятно внедрен скрипт через уязвимость.
Это не "вирус" в понимании Касперского. Он (как и другие антивирусы нацеленные на десктопы) _ничем_ Вам не поможет в случае скрипта на хостинге. Вам нужно связаться с хостером. Возможно им видно что посылает запросы. На сайте обновить компоненты, если это CMS. Или пинать разработчика.
напиши почту удалю с сайта и сервера (не бесплатно)
а нет вероятности, что сам сайт дырявый?
например, какие-то допотопные версии софта/cms/модулей/etc., для которых в общем доступе полно уязвимостей?
вирусу необязательно оставаться в файлах сайта, можно просто подать на сайт хитро сформированный запрос, заставляющий сайт делать каку
и всё, только в логах и останется
Смотрите по дате создания или обновления папок сайта.
Какая папка по дате свежая, там смотрите. Далее ищите файл-вирус по свежей дате обновления или создания. Либо это будет измененный текстовый файл сайта с расширением .php, либо это будет новый файл, чаще .php, замаскированный по имени под системный файл движка сайта, например, system.php, out.php, index3.php и т. п.
