Не могу найти вирус на сайте. Нестандартная проблема.

Не так давно мои сайты на одном сервере начали попадать в блэклист firefox
Везде все просмотрел, ну ничего нету. Да и когда я заходил ничего не грузилось.
Залили старые бэкапы сайтов.
Пытался восстановить сайты, но они опять улетали в бан.

Вирус проявляется в редиректе пользователей на домены lyzwvvvh.net.in, loxzvkhvg.net.in, lqwirylnp.net.in . Действует эта зараза, только один раз на один ip, поэтому вычислить достаточно трудно.

Вот здесь похожая проблема, но решения так и не нашли http://www.google.com/support/forum/p/webmasters/thread?tid=06b58e4d4f6c5cfa&hl=ru

Если вы уже сталкивались с данной проблема, большая просьба помочь. Работы могу оплатить (только при условии, что вы действительно знаете, что делаете)

Смотри в тему топы где про топы ломанули там я отписал что искать и другие писали может поможет чем

телепаты роятся в округе, но никак не могут взять след.

ссылку дай, а? =)

Все просто, это известная проблема. Вскрыли сервер твой, сменили sshd и httpd. Можешь сравнить контрольную сумму этих двух бинарей из репозитория, если отличается - значит я прав. Делай реинстал openssh и httpd, заказывай пересмотр сайтов в гугле, закрывай все что можно закрыть, чтобы не повторилось снова.
PS. Я не помогу, мы обслуживаем только на нашей площадке машины. Но в целом любой опытный админ знает, что делать.

ну есть еще более красивое решение... даже в лог апача ничего не попадет
объясню. ставится nginx, запросы с него проксируются на апач с сохранением реферера и т.д., а вот траф с нужной страны или с нужного поисковика получает header location.
ну и база ип сохраняется, т.к. дважды показывать связку или промо софта одному и тому же человеку - не совсем правильно.
что касается как лечить. запускаем снифер трафа на сервере и смотрим что происходит при запросе http.
а по поводу админов: я бы рекомендовал в HQHost стукнуть. В принципе не дорого, но очень качественно все починят.
P.S. это не реклама, уверен что есть еще куча супер админов, просто я их услугами более 5 лет уже пользуюсь, нареканий нет

Была эта же проблема с доменами *.net.in и гулем.
Обратись к http:/soft-com.biz/ у них очень грамотные админы и знают что делать в этом случае.

всем огромное спасибо за ответы.
сейчас попробую сам (жуть как интересно)
а потом, если не справлюсь
буду уже связываться с более опытными людьми, указанными в топике

Тема закрыта.
Большое спасибо ребятам из http://soft-com.biz/ .
Все популярно объяснили, помогли с переустановкой некоторых сервисов, дали полезные советы.
Очень понравилось общение: адекватные, добрые люди, которые не спешат нажиться на чужом горе [/url]

так опубликуй тут отчет о работе админов.
что было сделано и т.д.
многим поможет, думаю

Так где оказался вредоносный код?

Если вкратце.
1. Сначала они выявили, что этот хитрый редирект дествительно имееет место быть на url типа vwqzshws.net.in/index.php?src=195&surl=domen.com&sport=80&suri=%2F
2. После этого я дал им доступ к SSH и они выяснили, что был подменен бинарник ssh-сервера и бинарник nginx. И переустановили эти сервисы.
3. Еще раз проверили своим сервисом на предмет вируса.
4. Дали ответы на все мои вопросы по улучшению защиты сервера.
Вот где-то так.

и сколько за неспешку нажиться на чужом горе?

Вообще в таких случаях и быстрее, и дешевле и надежнее просто переустановить все с нуля. Забэкапить все важное - контент, конфиги и пр., и переустановить к ебеням, переформатировав диски. Если был умным человеком и держал весь контент на отдельной партиции, а не как у 90% хостеров, у которых все в руте - то переустановка будет сильно быстрее. Через час уже все online и снова в работе, со 100% гарантией чистоты. Это нормальная практика, которую тебе расскажет любой серьезный консультант по безопасности: на зарутенной машине доверять нельзя ничему, только на убой все бинарники целиком. Остальное - детские затеи.

А так никогда 100% не можешь быть уверен, что избавился. Руткиты не вчера придумали, через неделю (не дай бог, конечно) снова придется sshd подменять, ну и снова, и опять. Часто init уже подменен, ls, ps, top, crond, возможны варианты.

shhef: бесплатно

2 Dr.Syshalt
Ясное дело что всё это может быть подменено.

Но ТС грамотно настроил фаервол (лучше поздно чем никогда), так что проблема у него не повторится (как показывает опыт, это был 23й сервер с этим типом взлома), а остальные бинари и либы подменены небыли.

Вообще переустановить и настроить после этого нормальную защиту - это конечно класная идея, но вот дело в том, что это потеря времени (и денег). Но нет уверенности в том, что нет пхп-шеллов на сервере и т.д. Или контент тоже заново делать надо? (не в этом случае, а просто про сферический взлом в вакууме )

Soft-Com писал:

2 Dr.Syshalt Ясное дело что всё это может быть подменено. Но ТС грамотно настроил фаервол (лучше поздно чем никогда), так что проблема у него не повторится (как показывает опыт, это был 23й сервер с этим типом взлома), а остальные бинари и либы подменены небыли.

Именно с этим, а не с каким-то другим только потому, что 22 до этого было с этим? Типа с другой стороны лохи сидят и не учатся, как и вы?

Это как в анекдоте про "Гоги, докажи, что треугольник равнобедренный" - "учитэл, мамой клянус!"

Цитата:

Вообще переустановить и настроить после этого нормальную защиту - это конечно класная идея, но вот дело в том, что это потеря времени (и денег).

Рассказывать, к чему приводят оставленные на сервере руткиты, к потере каких дене через баны, абузы, блэклисты?... а ведь выплывает не сразу, а зачастую только через недели.

Ну и такой контрольный вопрос в голову - сколько стоит переустановка OS? Если немного голову включить, то и восстановление установленных ранее пакетов, и восстановление нужных конфигов - вопрос на 10-15 минут. Это если, конечно, на сервере половину пакетов не ставили из исходников в /usr/local и потом не апдейтили годами (как многие наши админы любят делать)... что само по себе практика такая, что за нее надо бить канделябрами.

Цитата:

Но нет уверенности в том, что нет пхп-шеллов на сервере и т.д. Или контент тоже заново делать надо? (не в этом случае, а просто про сферический взлом в вакууме )

Вообще левый php-код ищется легко - просто потому, что на чистом сервере ты можешь доверять тому, что видишь. В отличие от потенциально зарутенного, где может десяток их быть, а ты и не в курсе окажешься.

Второе - если через php-шелл у тебя рута поиметь легко можно, то уже стоит задуматься, что что-то не так.

to Dr.Syshalt

А что ты ломаешь здесь копья? Кому нужны твои рассуждения?

У ТС была проблема, ему посоветовали нормальный сервис.
Проблему ему решили, он остался доволен. Все.

1. Неадекватное замечание. руткитов на сервере нет, фаервол настроен. Про анекдот вообще чушь не в тему.

2. Думаю не стоит мерятся кто ссыт на стенку выше - мы уже не один десяток взломанных сервер и чистили, и переставляли/переносили, на своем опыте знаю, а чужой не поможет. Думаю не стоит рассказывать что каждый взлом - ситуация уникальная. Или все-таки стоит?

3. Сколько времени займет переустановка ОС (дождаться пока ОС хотябы поставят, или ждать образ и т.д.) - порядка часа, не меньше. Настройка - еще час, пересинковка контента - по ситуации, так что вопрос о времени всегда актуален. Да и в любом случае ВСЕГДА первоочередная задача - закрыть дырки и обеспечить работу сервера, а потом уже как оунер решить, переставлять или нет.

4. Весьма корректное замечание по поводу пхп-кода. Особенно в свете взломов Смарт-тумбса, когда его код подменялся зенд-пожатым кодом.

Когда 23й сервер ломают, то пора вообще задуматься о том, что что-то не так изначально у хостера. Видать, пока жареный петух в задницу не клюнет, как у 3fn, у которых несколько лет назад половину клиентских серверов грохнули, никто, конечно чесаться не будет. Те тоже пальцы кидали, какие они грамотные и сколько раз все проделывали - прямо тут же в форуме, вот точно так же. Зато "фаерволл поставили" - типа он защищает от взлома сервисов, ага, конечно.. хоть бы постыдились, он вообще на другом уровне работает. Ладно, чего я копья ломаю, в самом деле, всем же хорошо, все в порядке.

Именно, молчание - золото.

А по поводу "Когда 23й сервер ломают, то пора вообще задуматься о том, что что-то не так изначально у хостера" - из 23х серверов было 3 наших (которые мы лично админили, хостер - awmhost.nl), 12 серверов - амхост (вообще не наши сервера, и судя по всему не все из них админили амхостовцы), 3 - хкухост (селф-менеджед сервера), 1 - вебазилла), все остальное - где попало, ОС - фря, дебиан, центос.

P.S.
Указание хостера следует рассматривать как рекламу .