Яндекс нашел вирус на сайте

netwind, сколько ни читаю ваших сообщений в теме - Вы по делу ровным счётом ни одного слова не написали. Сплошная каша, размазанная по тарелке. Поэтому лучше своё время поэкономьте.

Bener, разумеется, нужен некоторый минимальный уровень и владения терминологией и сообразительности. Не все сразу.

Ладно. Вот слова доступнее для обычного вебмастера : сколько заплатишь ?

Гарантии нет. Чуда тоже нет. Придется делать как я скажу : возможно переносить сайт на VPS, на котором можно побольше информации собрать. Или даже отказываться от некоторых функций сайта, если я посчитаю их подозрительными.

Не могу сказать что получилось на 100% побороть этот вирус (js swf), но прибить его активность и вытащить сайты из кандалов гугла удалось. Я забыл как он называется, но можно выкачать зараженный swf файл и просканировать его Касперским - он скажет его название (Trojan/Redirect как-то так).

Что нужно сделать:

1) Открываем логи сервера (Access Log) и ищем строки:

178.33.69.67 - - [16/Dec/2013:08:03:27 +0400] "POST /wp-admin/js/set-post-thumbnail.dev.php HTTP/1.0" 200 2 "-" "Mozilla/5.0

178.33.69.67 - - [16/Dec/2013:08:03:27 +0400] "POST /wp-admin/js/set-post-thumbnail.dev.php HTTP/1.0" 200 44 "-" "Mozilla/5.0

XX.X.199.200 - - [16/Dec/2013:08:03:28 +0400] "GET / HTTP/1.0" 200 41266 "-" "Mozilla/5.0

XX.X.199.200 - - [16/Dec/2013:08:03:28 +0400] "GET /wp-content/plugins/auto-highslide/highslide/highslide-with-html.packed.js HTTP/1.0" 200 32221 "-" "Mozilla/5.0

XX.X.199.200 - - [16/Dec/2013:08:03:28 +0400] "GET /wp-includes/images/crystal/jomama.swf HTTP/1.0" 200 39 "-" "Mozilla/5.0

178.33.69.67 - - [16/Dec/2013:08:03:27 +0400] "POST /wp-admin/js/set-post-thumbnail.dev.php HTTP/1.0" 200 281 "-" "Mozilla/5.0

XX.X.199.200 - - [16/Dec/2013:08:03:28 +0400] "GET /wp-includes/images/smilies/galata.js HTTP/1.0" 200 39 "-" "Mozilla/5.0

178.33.69.67 - - [16/Dec/2013:08:03:29 +0400] "POST /wp-admin/js/set-post-thumbnail.dev.php HTTP/1.0" 200 45 "-" "Mozilla/5.0

Внимание! Название файлов и директорий у каждого будет разная, в моем случае было так. Найти нужные логи можно с помощью Notepad++, искать можно по слову swf (я так делал).

2) Удаляем вредоносные файлы. Обязательно найти и удалить php, js, swf файлы, у меня это были:

set-post-thumbnail.dev.php

jomama.swf

galata.js

И удалить кусок вредоносного кода из одного из js файлов сайта, в моем случае это был файл highslide-with-html.packed.js и в нем был такой код:

3) Ставим права на папки 555

4) После проделанных процедур просматриваем логи (1-2 раза в сутки). Ищем по ключу swf, и будем видеть создаются ли опять вредоносные файлы.

Могу сказать что десктопные антивирусы детектят только файл swf как вирус и то не все. ESS у меня молчал, скачал Kaspersky - он ругнулся. Еще хочу обозначить внимание на php файле, его обязательно нужно найти и удалить. Возможно все это полумера, но мне помогло. Дальше будем видеть.

У ai-bolit нету ложных срабатываний.

Просто этим инструментом, как и любыми другими следует пользоваться с головой.

И если нету понимания что именно выполняет указанный код, то лучше обратиться к умным дядькам.

Так категорично даже автор скрипта не сможет сказать.

Везде есть ложные срабатывания.

Оканчивается на -MN

п.с.

Яндекс нашёл вирус Troj/JSRedir-MN.

/ru/forum/821973

поищите в файлах php следующий код

preg_replace($_POST['v1'], $_POST['v2'], $_POST['v3'])

а также все файлы с расширением php в папке upload

Еще не факт, что они будут именно в этой папке. Скорее наоборот, в куче с остальными php-файлами.

Если покачать сайт на комп, то через notepad++ можно выполнить поиск по всей папке сайта на содержание preg replace...

Я по SSH заходил и через MC искал в тексте файлов по всем своим сайтам. Ищет очень быстро.

Если качнуть сайт, то можно и тотал коммандером как вариант. Антивирус, кстати этот файл не находит.