"Письмо счастья" о вредоносном коде

12
katenuha
На сайте с 13.06.2013
Offline
86
2929

Приветствую!

Прошу помощи у знающих людей.

Сегодня утром прилетело письмо от яндекс.вебмастера, что на одном из клиентских сайтов обнаружен вредоносный код.

Сайт получил пометку в выдаче и, естественно, был понижен. На носу сезон и это ппц какой fail.

Скриншот из раздела безопасности http://prntscr.com/n88z5j

31 марта поменялось главное зеркало (переехали на https). На скриншоте же выше указана только 1 главная страница причем с http.

На фтп подозрительных файлов нет или измененных в последние пару дней. В логах, насколько разбираюсь, тоже особо ничего нет подозрительного.

Куда копать, подскажите, пожалуйста. Сейчас выкачиваю сайт, хочу чекнуть айболитом.

---------- Добавлено 06.04.2019 в 12:32 ----------

писал еще в хостинг

пришел ответ.. что ничего не найдено

http://prntscr.com/n89376

Адаптирую Ваш сайт под мобильные устройства. (/ru/forum/946260) за 1 день.
Lord Maverik
На сайте с 15.04.2003
Offline
463
#1

Прогоните сами скрипты и файлы айболитом:

https://revisium.com/ai/

Ну а также запросите перепроверку в Яндексе.

RedMall.Ru (https://redmall.ru) - Товары из Китая (Таобао, Tmall) с проверкой качества, скидка для форумчан 7% Партнерская программа 2 уровня: 5% + 5%. Подробнее. (https://redmall.ru/about/partner/)
LEOnidUKG
На сайте с 25.11.2006
Online
1550
#2

Скорее всего у контрольной группы, которая юзает Яндекс.Браузер сидит вирус в каком-то расширении, вот данные и передались.

✅ Трастовых площадок под размещение статей и ссылок. Опыт 12 лет! ( https://searchengines.guru/ru/forum/675690 ) ⭐ Купить вечные трастовые ссылки для сайта ( https://getmanylinks.ru/?srh ) ⭐ Ускорение ваших сайтов (WP, Opencart и др.) + Настройка сервера ( https://searchengines.guru/ru/forum/997205 )
katenuha
На сайте с 13.06.2013
Offline
86
#3
Lord Maverik:
Прогоните сами скрипты и файлы айболитом:
https://revisium.com/ai/

Ну а также запросите перепроверку в Яндексе.

сейчас буду сканировать

---------- Добавлено 06.04.2019 в 13:12 ----------

LEOnidUKG:
Скорее всего у контрольной группы, которая юзает Яндекс.Браузер сидит вирус в каком-то расширении, вот данные и передались.

если так, то это вообще жесть. Просадка по трафику уже есть.. не говоря уже о позициях 🙅

---------- Добавлено 06.04.2019 в 14:26 ----------

просканировал все айболитом

ничего критичного не нашел

ругается на пару ссылок в файлах из других директорий (папка другого сайта на хостинге)

вычищу все равно и это

написал также в поддержку яндекса, обрисовал ситуацию. Нажал кнопку "я все исправил" в веб-мастере

katenuha
На сайте с 13.06.2013
Offline
86
#4

Эпично.. спустя 4 часа метка в вебмастере пропала. Тех.поддержка яндекс не ответила пока.

У сайта пропала пометка в поиске.

MT
На сайте с 07.07.2006
Offline
114
#5

Та же фигня сегодня, только в качестве угрозы указано "trafdriver.com" :(

Для сайта, который считаю самым железобетонным и простым из всех имеющихся. Тоже не удалось найти проблем... Единственный грех - счетчики mail.ru и hotlog, но даже они вставлены не скриптами. Опыт katenuha обнадеживает, но у меня оперативно не исправилось.

P.S. Спустя примерно четыре часа у меня, наоборот, сайт остается "опасным", но тех. поддержка в лице Платона ответила (правда, пока только о том, что передаст вопрос "куда надо" - я отправлял запрос через форму).

MT
На сайте с 07.07.2006
Offline
114
#6
Mr. Third:
P.S. Спустя примерно четыре часа у меня, наоборот, сайт остается "опасным", но тех. поддержка в лице Платона ответила (правда, пока только о том, что передаст вопрос "куда надо" - я отправлял запрос через форму).

Метка убралась более чем через сутки. Комментарий Платона: "сайт прошел перепроверку". Как бы теперь еще добиться комментария на тему "что это было и как не повторить"...

katenuha
На сайте с 13.06.2013
Offline
86
#7
Mr. Third:
Метка убралась более чем через сутки. Комментарий Платона: "сайт прошел перепроверку". Как бы теперь еще добиться комментария на тему "что это было и как не повторить"...

Да никак.. Захотят, выкинут сайт и поминай, как звали. 😒

SV
На сайте с 03.11.2008
Offline
1377
#8
katenuha:
Эпично.. спустя 4 часа метка в вебмастере пропала.

Надолго ли...

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
MT
На сайте с 07.07.2006
Offline
114
#9

Прикол, на мой сайт, попавший на сутки под метку Яндекса, McAfee тоже говорит, что у него "medium risk" и "unwanted programs" (проверено на trustedsource.org; в чем сделан скриншот выше, не знаю, живой софт McAfee не видел, кажется, ни разу в жизни). А не примеряет ли на себя МакАфи просто мнение Яндекса? Или, скажем, Clean MX'а, который сам по себе паразитирует на чужих подозрениях. Ну ОК, спросим еще и у МакАфи, что ему не нравится, заодно посмотрим, разговорчивы ихние Платоны или нет...

P.S. Понял - Sucuri SiteCheck. Ну тоже говорит "blacklisted by McAfee", да.

MT
На сайте с 07.07.2006
Offline
114
#10
Mr. Third:
Ну ОК, спросим еще и у МакАфи, что ему не нравится, заодно посмотрим, разговорчивы ихние Платоны или нет...
P.S. Понял - Sucuri SiteCheck. Ну тоже говорит "blacklisted by McAfee", да.

Отправил заявку на пересмотр сайта через trustedsource.org, через несколько часов пришло уведомление об успешном пересмотре, репутация понизилась (или уместнее говорить повысилась?) до "minimal risk", SiteAdvisor говорит "безопасно", Sucuri говорит "Site is not Blacklisted".

Объяснений о том, что конкретно это было, как и в случае с Яндексом, пока тоже нет :) Но я еще продолжаю надеяться, что кто-нибудь из них "вернется с подробностями".

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий