- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу

Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Автор, смотри где в коде стоит:
т.е. между блоком "navigation" и "спецпредложением"
Если используется CMS - ищите в модуле с классом "navigation2"
1. Только эти 2 страницы заражены? Вы их нашли в ВМ? По тому, что тут написано всё проверили: http://help.yandex.ru/webmaster/?id=1059440#1059447
2. Вы пробовали сравнивать код - безопасной страницы
Это не угрожает вашему компьютеру и данным
с кодом страницы что в выдаче? Если ничего не найдено, то значит есть с неё ссылка на заражённую страницу. Это как в на сайтах с баннерной рекламой - если там попадался баннер ведущий на заражённый сайт, то сайт где баннер крутился попадал под санкции. если есть, то это и есть искомое.
изменить дату/время файла - всего лишь одна команда.
1. Искать подгружаемые файлы (include, require и т.д.)
ну это понятно. возможен еще вариант, когда все свои скрипты действительно абсолютно чистые, а вот хостинг - не совсем. это редкий случай, но встречался и с таким тоже
Да, возможно.
2. Искать в коде по "http"
лучше искать co.cc или iframe или куски доменов, что приведены выше.
хотя... простейший самописный кодировщик скроет все это, не говоря про тривиальный base64, uuencode и прочее..
Может код выдает динамический адрес? там и .com может быть, и .ru.. а вот без http проинклудить не получится.
Кодировщик да, скроет.
3. Искать все java-скрипты
ява-скрипты тут не при чем, т.к. в данном случае контент отдается пхп скриптом.
Ява скрипт тут причем тогда, когда надо найти зашифрованный или закодированный код. Без JS это сделать затруднительно.
Хотел бы добавить автору:
Долбите разработчиков Октопуса, вполне вероятно что через их дыру попал к вам сплойт.
ставьте сохраненные ранее бекапы, анализируйте изменения. если у вас их нет, то проект ваш не серьезный и не стоит 5т. в целом)
при входе на сайт у меня нод высветил атаку трояна wiki\js.php - проблема в нем! фреймы вообще яндексом всегда считались признаком вредноносного ПО. и не только яндексом..
от 5т. не откажусь :)
Может код выдает динамический адрес? там и .com может быть, и .ru.. а вот без http проинклудить не получится.
панацеи нет ни на что... :( echo "ht"+"tp"; или echo "h"+"t"+"t"+"p";
мы рассматриваем конкретный случай, а не переливаем воду.
ява-скрипт выполняется на стороне клиента(т.е. браузера) и он не имеет ни какого отношения к вредоносному коду,
который я показал в первом своем посте.
этот html код отдает именно сервер(пхп,перл,цги и т.д.), а не клиентский ява скрипт.
admak добавил 16.10.2010 в 16:20
при входе на сайт у меня нод высветил атаку трояна wiki\js.php - проблема в нем! фреймы вообще яндексом всегда считались признаком вредноносного ПО. и не только яндексом..
wiki\js.php - это уже следствие включенного ранее ифрейма.
когда-то наблюдал картину, что через первый ифрейм цеплялось еще последовательно штук 7 других вирусяк. наверное, они надеялись, что если первый вирус не сработает, то сработает второй, третий и т.д.
Касперский блокирует работу скрипта, расположенного по адресу Надо все подключаемые файлы проверять.
мы рассматриваем конкретный случай, а не переливаем воду.
ява-скрипт выполняется на стороне клиента(т.е. браузера) и он не имеет ни какого отношения к вредоносному коду.
этот html код отдает именно сервер(пхп,перл,цги и т.д.), а не клиентский ява скрипт.
Как одно мешает другому? Средствами JS можно подгрузить сторонний php код в процессе выполнения на стороне клиента.
Это один из вариантов, указанный мной одним из последних (если поиск по инклудам в php файлах ничего не дал)
когда-то наблюдал картину, что через первый ифрейм цеплялось еще последовательно штук 7 других вирусяк. наверное, они надеялись, что если первый вирус не сработает, то сработает второй, третий и т.д.
Это называется связка сплойтов.
В любом случае для ее вызова нужно поместить код в исполняемые файлы на сервере.
ps. Я вижу автор уже почистил скрипты.
Кому приз-то достался? :) Или все альтруисты :)
Кому приз-то достался? :) Или все альтруисты :)
Я думаю - приз - не самое главное здесь.
Проблема актуальна и опыт полученный в этой теме не сравним с представленным килобайтом деревянных.
а это что за бип-ня?...
на странице http://m350.ru/price/
чистить немедленно. такого признака может быть достаточно для занесения в блек.
Upd: похоже вас довольно умно затроянили, при рефреше код пропадает.
если нужно, помогу найти и вычистить этот код с сайта.
На текущий момент admak - главный претендент на победу.
Пока по решению этого вопроса я общаюсь с ним.
Почему-то не вижу кнопки "отредактировать" сообщение - раньше была.
Может быть есть deadline, после которого сообщения не правятся? Или я чего не понимаю...