Всего 125 366 комментариев

Александр Мельник
Александр Мельник
14 мая 2025, 12:22
0
Ни у кого не возникло ощущение, что проблема в самом timeweb?
Читаю комменты выше и вижу что все хостятся на таймвебе. У нас тоже около 30 сайтов на таймвебе, около 30 у других хостеров. Проболемы возникают пока только на тех, кто на таймвебе.
Есть среди пострадавших те, у кого иной хостинг?
Кто то уже проводил анализ своего сайта на предмет, как именно сайт становится источником заражения? (потому что я пока тупо не успеваю, очень долго в переписке прощу, чтобы хостинг вернул доступ к директории нашего пользователя, они пишут что вернули, я вхожу по ssh но через считанные секунды мне хостинг снова меняет права на мою директорию и я снова не могу даже скачать якобы зараженные файлы сайта. И так по кругу).
/
perfkirill
perfkirill
14 мая 2025, 10:04
0
Это даст кратковременный результат, от пары минут, до пары недель.
/
Сергей Сергеевич
Сергей Сергеевич
13 мая 2025, 19:01
+1
Сайт написан на WP. Отношение к MODX не имеет. Пользователь просто аккуратно расставляет ссылки для SEO.
/
Александр Мельник
Александр Мельник
13 мая 2025, 15:48
0
Такая же проблема. Таймвеб заблокировал сайты по превышению нагрузки на процессор.
В качестве рекомендаций получены следующие инструкции.
Может кому-то пригодятся, сам пока не вникал

В первую очередь рекомендуем проверить следующие директории, так как очень часто подозрительные процессы запускаются именно из них:
~/.config/session/config/logs/php-fpm/model/observer/
~/.local/session/config/logs/php-fpm/model/observer/
~/.gnupg/session/config/logs/php-fpm/model/observer/
~/.gnupg/php-fpm/session/mods/logs/config/observer/
~/.gnupg/config/mods/logs/session/php-fpm/observer/
~/.config/htop/defunct.dat
~/.config/htop/defunct
Если директории из списка выше существуют, рекомендую по возможности их удалить.
Дополнительно прошу удалить файл ~/.profile

Также вижу, после разблокировки на аккаунте запустились следующие подозрительные процессы:

[slub_flushwq] 

Поэтому рекомендую подключиться к консоли аккаунта и выполнить команду:
killall -9 -u $(whoami)
Которая завершит все пользовательские процессы, включая вредоносные.
/
Ivan
Ivan
13 мая 2025, 15:34
0
Ответ ТП:
Наши инженеры уже в курсе проблемы и собрали достаточно информации по майнеру. Паттерны выявили и сейчас ищем оптимальное решение.
/
perfkirill
perfkirill
13 мая 2025, 12:23
0
А да, похожие файлы встречался у меня и в pdotools и в других модулях (У меня задено много сайтов на разных аккаунтах, поэтому могу сравнить)
/
perfkirill
perfkirill
13 мая 2025, 12:20
0
Забавно, вирусы, которые убирают конкурентов.

Мне кажется надо вот эти модули прошерстить, оставить методом исключения парочку, потом удалить эти модули на зараженных сайтах и посмотреть будет ли возникать повторы.

Ace
Console
MIGX
MinifyX
miniShop2
mSearch2
msOptionsPrice2
pdoTools
tinyMCE Rich Text Editor
translit
/
Алексей
Алексей
13 мая 2025, 11:43
0
Сервисы по защите от скликивания
clickfraud.ru/
botfaqtor.ru/

Так же советую использовать elama.ru (это не реклама, как и всё остальное) там можно защитой от скликивания пользоваться бесплатно, плюс ещё зарабатывать процент от рекламы заказчика
/
Алексей
Алексей
13 мая 2025, 11:26
0
У меня сейчас больше подозрений (я не безопасник) на mSearch2 был найдет вот такой файл \components\msearch2\cache.php при этом у других компонентов ничего не было, прелогаю что написал о файле chatgpt


/
Alexey
Alexey
13 мая 2025, 09:06
0
>>>Были еще файлы, которые как я понял отправлял консольный запрос сервер
Что за файлы?
/
perfkirill
perfkirill
13 мая 2025, 08:54
0
он запрос порезанный прислал, там доступы от БД отправляются, т.е вирус уже знает данные для входа.

Были еще файлы, которые как я понял отправлял консольный запрос сервер, как мне кажется для запуска systemd, который уже циклично в течение 10 секунд проверял активирован ли майнер и если нет, то запускал его.

Но я нифига не безопатсник — это мои догадки
/
Наумов Алексей
Наумов Алексей
12 мая 2025, 15:46
0
Здесь вроде просто запросы в попытках найти файлы. В том же easyredirects, например, нет action.php, просто 404 ошибка должна быть.

adminer-5.2.1.php — искали файл админера… но вроде бы эти запросы не могут привести к заражению
/
Алексей
Алексей
12 мая 2025, 15:26
0
Как было у меня

May 4 01:51:38 vh432 apache_access[80853]: site.ru 69.16.157.71 — - [04/May/2025:01:51:36 +0300] «POST /ass_7856/components/easyredirects/action.php?username=cv95498_site HTTP/1.0» 302 20 «site.ru/ass_7856/components/easyredirects/action.php?username=cv95498_site» «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36»

May 4 01:58:41 vh432 apache_access[80853]: site.ru 69.16.157.71 — - [04/May/2025:01:58:41 +0300] «POST /adminer-5.2.1.php HTTP/1.0» 302 20 «site.ru/adminer-5.2.1.php» «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36»
/
Юрий
Юрий
12 мая 2025, 13:12
0
Спасибо! Надо потестить.
/
Наумов Алексей
Наумов Алексей
12 мая 2025, 13:07
0
В общем сделал я это одним спокойным вечерком, свежий релиз в магазине.
/
Андрей
Андрей
12 мая 2025, 12:08
0
На одном сайте есть, на 3-х нет
/
Alexey
Alexey
12 мая 2025, 12:01
0
Привет! Компонент MinifyX есть на зараженных сайтах?
/
perfkirill
perfkirill
12 мая 2025, 11:06
0
Я напишу что из этого есть у меня на проектах

Ace
Console
MIGX
MinifyX
miniShop2
mSearch2
msOptionsPrice2
pdoTools
tinyMCE Rich Text Editor
translit
/
Alexey
Alexey
12 мая 2025, 11:00
0
Список используемых на сайте компонентов:
Ace 1.9.3-pl
AjaxForm 1.1.9-pl
Comparison 1.2.14-pl
Console 2.2.2-pl
controlErrorLog 1.4.6-pl
FormIt 4.2.7-pl
gTranslit 1.1.5-pl
lmims 0.0.2-beta
MIGX 3.0.0-alpha5
MinifyX 2.0.3-pl
miniShop2 3.0.7-pl
mSearch2 1.14.9-pl
msFavorites 3.0.5-beta
msOptionsPrice2 2.5.22-beta
pdoTools 2.13.2-pl
pThumb 2.3.3-pl
Redirector 2.0.10-pl
Resizer 1.0.2-beta
seotext 1.0.6-beta
inyMCE Rich Text Editor 2.0.9-pl
translit 1.0.0-beta
-------------------------------
/
Alexey
Alexey
12 мая 2025, 10:46
0
Всем привет! Присоединяюсь: хостинг timeweb, вредонос в .local/session/config/logs/php-fpm/model/observer/

MODX 2.8.5, php 7.4
/