Закончилась борьба в вирусами на сайте

10 ноября 2014 года у меня лег сайт, причем не один, а все , что находились на хостинге. Зашел в админку хостера и увидел, что действие услуг приостановлено по причине нарушения условий использования. Я ессно, такой подляны не ожидал и позвонил уточнить, чем именно я нарушил условия, учитывая то, что я принципиально не пишу тут о политике и кровавом путинском режиме, потому что меня от всего этого уже тошнит. Вернее, не пишет та моя часть, которая занимается этим сайтом, всякими железками и прочими интересными жизненными хренями.

Представители хостера, нашем телефонном разговоре мне намекнули, что я превысил лимиты по нагрузке на процессор сервера и особенно в этом старался скрипт guestbook.php который входил в плагин гостевой книги для Joomla, из тех, что я установил в надежде прочитать в каментах, какой у меня интересный сайт и какой я сам офуенный. Попутно выяснилось, что письма от хостера до меня не доходили, потому что на km.ru перестала работать переадресация. Восстановил и прочитал все, что мне писали до и после моего отключения.

Хостинг, после моего нытья,  мне включили, я вырубил гостевую книгу с миллионом записей на испанском языке и все бы ничего, но вдруг обнаружил, что у меня каталоге лежат какие-то левые файлы, которые я туда не клал. Пробежался по папкам с сайтами, удалил все лишнее и на этом успокоился. И зря...

 Через пару дней приходит письмо от хостера, с жалобой, что с моего сайта рассылается спам. Лезу по фтп и виду опять кучу левых файлов. Удаляю.

Начинаю пытаться понять, откуда все это говно берется. Вижу в логах попытки зайти в адиминку джумлы с разных сайтов, ставлю плагины для защиты от брутфорса, меняю админские пароли, меняю все пароли на фтп, переименовываю админские учетки на всех сайтах, все лишние удаляю, запрешаю регистрацию на всех сайтах. Через неделю снова вижу левые файлы в корневых каталогах двух из шести сайтов. Удаляю нафиг. Обновляю все CMS и форумы до последних версий.

Через неделю, вижу опять левые файлы.

Подключаюсь по фтп к сайтам и начинаю копировать все файлы с хостинга к себе на комп, чтобы понять, в чем там ерунда. В этот момент, мой антивирус начинает верещать при копировании каталога документации багтрекера и какого-то стиля CMS. Лезу в папку на фтп и вижу там рассадник заразы, кучу скриптов с разными хитрыми названиями и временные файлы. Кроме этого, антивирус ругнулся на один из бесплатных шаблонов, который я себе пробовал ставить на сайт, но так и не стал использовать.

Оказалось, что все началось с бесплатного шаблона, который и притянул к себе все остальное. Дальше на мой хостинг загрузилось куча левого контента, который инфицировал всех, кто приходил по ссылкам на левые страницы, что рассылались по мылу с моего сайта.

Вся эта хрень совпала с атаками на сайты моего хостера и последнее усилило бдительность как его, так и мою. В итоге удалось раскрыть сеть рассылки спама. А гостевая книга, возможно была тоже непричем. Но я ее ставить больше не буду. Фуевый осадочек остался.

Пока все работает как надо, но я понял следующие вещи. Все эти разговоры про дырявые CMS начинают неудачники, которые скачивают с варезных сайтов халявный софт, зараженный вирусами и получают полное инфицирование. Еще, полезно иногда заглядывать на сайт через фтп и контролировать, что там находится, даже если сайт прекрасно работает.

Каждый день проверяю файлы, жду очередной подляны со стороны злых хацкеров.