Форум Сайтостроение Веб-строительство

Помогите с поиском вредоносного скрипта

12
netactor
На сайте с 28.03.2011
Offline
104
netactor
1497

Здравствуйте, при заходе на сайт noolfilm.com редиректит на такую бяку:

http://pagesinxt.com/?dn=dircash-promost.com&fp=TKOjSRKS9mG84Cialz%2Frc3%2BgK5fSTnSnREsgtu%2F5qAnPh%2Fn6lt4z3WVUIi6ZUukhkBZiFztKFDg2%2BkcDTaIiiA%3D%3D&prvtof=LjY%2B7gA2mz32MZ7EZ4L0LQPeHFumZdlvrZHi2ruAEP4boCg2MirNURrlos%2FQzIFy&poru=Qj6Iz%2FDjK6bRmK9v2s5HP%2BYsZ2PkyQ9lFk53FU8%2FB%2FgXHcQhX8qj63txU6y6bj5L2dsMpX5MQvqd737GdHPoLLTANJY%2BVAUj3vuAx31vMC4%3D&cifr=1&flrdr=yes&nxte=js

Понимаю что где то скрипт зарылся, но уже все вроде просмотрел, весь dir-cash поудалял...но глухо.

Если кто сталкивался, подскажите.

Сайт на DLE

Всегда ЗА
R
На сайте с 24.01.2008
Offline
180
Алексей
#1

Вредоносный код может находиться в любом месте, тут нужно смотреть все файлы.

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov
livelink
На сайте с 30.04.2006
Offline
117
livelink
#2

перерой все файлы index.*

Знакомства БЕЗ регистрации - http://www.privetka.ru (http://www.privetka.ru), КРЕАТИВНАЯ РЕКЛАМА - http://advertisio.ru (http://advertisio.ru), Каталог автозапчастей - http://aubb.ru (http://aubb.ru)
siv1987
На сайте с 02.04.2009
Offline
427
siv1987
#3

Ищем в исходном коде страницы dircash-promost.com

IL
На сайте с 20.04.2007
Offline
435
ivan-lev
#4

код, который перебрасывает - в файле

<script type="text/javascript" src="http://dircash-promost.com/i/toppic/data.js

p.s. интересный подход к рекламным материалам

... :) Облачные серверы от RegRu - промокод 3F85-3D10-806D-7224 ( http://levik.info/regru )
netactor
На сайте с 28.03.2011
Offline
104
netactor
#5
siv1987:
Ищем в исходном коде страницы dircash-promost.com

А что мы там ищем?

---------- Добавлено 24.07.2012 в 19:45 ----------

ivan-lev:
код, который перебрасывает - в файле 
<script type="text/javascript" src="http://dircash-promost.com/i/toppic/data.js

p.s. интересный подход к рекламным материалам

Скрипта уже нет и в помине на сайте, я же говорю, все поудалял. Но видимо где то сидит еще....хз

U2
На сайте с 12.06.2012
Offline
19
User24
#6
netactor:
А что мы там ищем?

---------- Добавлено 24.07.2012 в 19:45 ----------



Скрипта уже нет и в помине на сайте, я же говорю, все поудалял. Но видимо где то сидит еще....хз

Код самого редиректа скорей всего закодирован было у меня такое, но я не помню в каком файле был редирект, вообще нужно всякую абракадабру искать

Автоматизируй свои компании в Яндекс-Директ, Adwords, Вконтакте (http://context.apishops.com/102A7BFDEC6F64BBF0B2A41DEC1AC734.htm) Рекламная сеть Вконтакте (http://welcome.socialtank.ru/?lrRef=ThC6r)
VS
На сайте с 23.03.2010
Offline
42
vB-SQuad
#7

Скачиваем файлы сайта.

Сравниваем файлы сайта с чистым дистрибутивом такой же версии DLE которая установлена на сайте.

Проверяем на шеллы (антивирусник и Aibolit в помощь).

C
На сайте с 21.06.2012
Offline
56
corman
#8

Давно он появился, никаких модулей, новых шаблонов, информеров и т.п перед этим не ставили?

Вызывается всегда в меню, перед биографией звезд, в шаблоне точно нет ничего подозрительного в этом месте?

Alex Klo
На сайте с 15.06.2006
Offline
304
Alex Klo
#9

попробуйте скрипты из подписи:

Проверка и мониторинг позиций сайта ( http://www.topvisor.ru/?inv=1520 ) Продвигаю сайты http://climat-nw.ru/conditioner-installation/ http://www.aircom-spb.ru/service/montaj/
netactor
На сайте с 28.03.2011
Offline
104
netactor
#10
Alex Klo:
попробуйте скрипты из подписи:

Спасибо, попробовал Айболита, но не совсем там понятно какая именно строка к примеру в том же htaccess подозрительная.

Благо сайт попал в баню к Яндексу, решили проще залить новый похожий, дальше буду разбираться с этой бякой.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий