CMS Made Simple Forums

Может кто сталкивался - есть куча сайтов - все на CMS Made Simple. Пару дней назад позвонил один заказчик - сказал что сайт не открывается. точнее открывается только главная. изучая проблему обнаружил что в корне сайта - по 500 файлов вида - zh103.html внутри - куча ссылок все на .com вида - при том страницы пустые.фото не отображается.
и меняется файл - .htaccess
поэтому отключается мод реврайт и перестают рабоать внутренние страницы. кто сталкивался - что делать?
.htaccess - содержимое

На этой системе не сталкивался. Но в таких случаях рекомендую следующий алгоритм работы:
1. Определиться несешь ли ты вообще ответственность за этот сайт? Если с момента сдачи прошло больше месяца и тебе не кто не доплачивает за его техническую поддержку - то справедливо будет напомнить заказчику об этом.
2. Если претензия заказчика справедлива и вы действительно несете ответственность за работоспособность сайта, то следует определить источник заражения. Для этого придется уточнять у кого могли быть доступы к сайту и вспомнить когда Вы сами последний раз работали с ним. Единственно что в данном случае важно - вирус занесен по Вашей вине или по Вине заказчика. Далее, как и в пункте первом, договариваетесь кто кому на самом деле что должен в этой ситуации.
** Я надеюсь всем ясен, мой призыв не работать за просто так.
3. Если вы дошли до третьего пункта, то впереди Вам предстоит достаточно серьезная работа и однозначной инструкции тут нету. В общих чертах следует отключать сайт и выносить его на свой компьютер, где проводить полное его сканирование на вирусы (без удаления файлов) и чистка этих файлов вручную. Могу сказать, что работа очень кропотливая и неблагодарная чистить сотни или тысячи файлов от зловредного кода. Далее следует направить запрос в хостинг, чтоб они провели полную чистку вашего хостинга (вы ведь все скопировали?).
Во общем, когда все будет стирильно - сайт можно чинить и ставить на место.

Я сверил все файлы системы = добавилисть только новые + изменился файл .htaccess
Как предполагаю - заражение через ftp - так как все сайты на этом хостинге подверглись заражению. и кстати увеличилось колличество трафика - до 600 посентителей - все с гугла и не понятно что делают.

Был похожая ситуация, но сайт был на asp. Определили, что произошло примерно следующее: у сотрудников клиента на компьютерах с которых осуществлялся доступ к сайту сидел троян, который видимо отсылал пароли при доступе к фтп. А дальше просто в конец html файлов добавлялся зашифрованый яваскрипт, который тянул контент с вирусного сайта...

Проблема как оказалась не такая)
выжил как раз 1 сайт.
На всех остальных, поражена вся система. Почти все файлы изменены.
выходом послужила - обновление всех систем с полной заменой файлов.

Тут возникает другой вопрос.-
В теории если хоть на одном сайте остался файл вида aaaa.php - содержащий вредный код. и если его запустить с браузера, то возможно ли повторное заражение всех файлов?
в php не силен.

Теоретически - да. На сервере - php - это чаще всего простой текстовый файл. Редко - бинарники, зашифрованные zendoptimizer. Если у файлов php стоят права с возможностью писать в них от имени пользователя под которым работает php - то да.

На линукс-системе достаточно оставить у php файлов доступ только на чтение (естественно у тех файлов, которые не меняются самой системой, например, конфиги или кэши).

Спасибо. Т.е. Выход - слить весь сайт - и сравнить с кодом чистой системы - лишние удалять. А с модулями как поступать?

На самом деле, если в систему не лезли ручками, не правили ядро, и использовались стандартные модули, то проще поднять чистую систему, установить на нее все модули из менеджера модулей, и залить туда базу с основного сайта, а так-же скопировать папку uploads и остальные, созданные вручную.