Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте в этой теме

akok

Команда форума
Администратор
Сообщения
16,100
Симпатии
12,829
Баллы
2,203
#1
Нашим ресурсом оказываются услуги по проверке интернет ресурсов на наличие вредоносного кода.

Прошу учесть, что помощь оказывается добровольцами и поэтому не требуйте немедленной помощи. Вам обязательно окажут помощь.

Если вы хотите проверить сайт на вирусы, то выполните простые правила оформления запроса:
  1. Администрация имеет право отказать в проверке, в случае, если проверяемый ресурс нарушает законодательство или правила данного ресурса (варез, хакерская тематика, материалы порнографического характера).
  2. Никогда не публикуйте активных ссылок. (заменяйте http на хттп, например http://safezone.cc - нужно писать как хттп://safezone.cc)
  3. Не прикрепляйте файлы, которые предлагают вам скачать подозреваемые сайты. (Просто укажите имя файла, который пытается загрузится).
  4. Если Вы подозреваете, что после посещения подозрительного сайта Ваш компьютер подвергся заражению, то лучше выполнить правила оформления запроса.

*Мы не можем гарантировать 100% результат анализа. Слишком много факторов которых невозможно учесть.
 

akok

Команда форума
Администратор
Сообщения
16,100
Симпатии
12,829
Баллы
2,203
Это обилие букв после content.php - это может быть какая-нибудь вирусоопасная зашифровка?
Нет, это код сессии. Пока отправьте сайт на пересмотр в google
 

S10

Активный пользователь
Сообщения
23
Симпатии
3
Баллы
303
akok, гугл сайт разблокировал.
Но вот левые js на сайте продолжают появляться... Вот ещё один всплыл:
<script src="/images/style_generator/hitter.js"></script>

И в файле тот же самый код который был в удалённых мной js
Начало кода выглядит так:
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+(( ...
 

akok

Команда форума
Администратор
Сообщения
16,100
Симпатии
12,829
Баллы
2,203
Папку install удалили? Удалили. Попробуем поискать врезку: http://revisium.com/ai/

А вообще необходимо подходить комплексно к проблеме:
1. Сменить пароли на ftp и БД
2. Провести ревизию мод. состава и сменить пароли от учетных записей пользователей с повышенными привилегиями
3. Провести сверку файлов на хостинге с эталонными
4. Проверить шаблоны
 

S10

Активный пользователь
Сообщения
23
Симпатии
3
Баллы
303
akok, смена паролей не помогает, мод.состав не имеет доступа к сайту, доступ в админку сайта имею только я и только по айпи.
Видимо вирус был залит давным давно, раз продолжает спокойно действовать даже при закрытом доступе по ФТП.
Сверкой файлов сейчас занимаюсь + заливаю файлы сайта к себе на комп, буду проверять "айболитом"

Нашёл некоторую информацию про вирус http://sucuri.net/new-malware-evalfunctionpacked.html
Но вот как бороться не указано... Продолжу поиск информации о вирусе.

И да, папка install удалена, она была удалена сразу после обновления форума.
 
Последнее редактирование:

dimusik2014

Активный пользователь
Сообщения
1
Симпатии
0
Баллы
81
Добрый день! Вот нашел у меня на сайте diminex.ru DrWEB такую ссылку на вирус хтпп://dimusik2010.okoshechka.net/cxnOYg2199/?sid=116296 при переходе по разделам сайта. Как его убрать? Жду ответа с уважением
 

Indomito

Активный пользователь
Сообщения
51
Симпатии
32
Баллы
398
Внедрение методом подмены yandex на yambler.nen редиректом на img.sedoparking.com

Подмена стартовой страницы в браузере FireFox (Не оригинальная версия - модификатор от Yandex)

Дополнительная информация на форуме softboard.ru
Пост softboard.ru/topic/1375-mozilla-firefox/?p=607162 и ниже
 
Последнее редактирование модератором:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,321
Симпатии
5,902
Баллы
998
Indomito,
1) Постить активные вирусные ссылки запрещено. Перечитайте хотя бы шапку темы.
2) Не понятно, что вы хотели сказать своим постом #542.
Если у вас или у Gesha45 есть проблемы с вирусами, то создайте тему в разделе Лечение компьютерных вирусов выполнив правила раздела.
3) Если вы спрашиваете, вредоносен ли сайт yambler.nen то ответ да. Это вирусный сайт созданный злоумышленниками (не путать вирусный и заражённый).
сомнительные ссылки,это где
про это вам уже написали в посте #541
 

Indomito

Активный пользователь
Сообщения
51
Симпатии
32
Баллы
398
regist,
1) Цитирую
Никогда не публикуйте активных ссылок. (заменяйте http на хттп, например http://safezone.cc - нужно писать как хттп://safezone.cc)
в моём посте нет ни одной активной ссылки.
2) Попросил проверки, т.е. доп.проверки
3) Это я и спрашивал, т.е. не знаю прочёт ли Gesha45 мой пост тут, т.е. ответ был дан, ну а у кого проблемы это ясно из ссылки на форум softboard.ru

Спасибо за ответ по ресурсу (см пост №546 пункт 3)
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,321
Симпатии
5,902
Баллы
998
1) Уже нету, так как я ваш пост отредактировал
Последнее редактирование модератором: 42 мин. назад
 

Indomito

Активный пользователь
Сообщения
51
Симпатии
32
Баллы
398
regist, и Sandor, да, я был не прав. Визуальный редактор внедряет ссылки без их явного определения.

Приношу свои извинения за свою ошибку.
 

garagok777

Активный пользователь
Сообщения
1
Симпатии
0
Баллы
81
Добрый день! Помогите пожалуйста, не могу зайти на свой сайт. Опыта практически нет в програмировании и решения подобных проблем: хттп://world-discount.ru/
 
Последнее редактирование модератором:

akok

Команда форума
Администратор
Сообщения
16,100
Симпатии
12,829
Баллы
2,203
garagok777, сайт сейчас работает. Доступ появился?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,321
Симпатии
5,902
Баллы
998
Последнее редактирование:

vista

Активный пользователь
Сообщения
51
Симпатии
4
Баллы
178
Сайт хттп:/ /forctry.ru)
Вирусы на нем не обнаруживаются, но ломанули его точно. Через соломоно показывает огромное количество исходящих ссылок картинок, которых ни на сайте ни в коде не видно. Заметны они только в кеше яндекса. Вот скрин. Как убрать эти ссылки, куда копать?. Даже не один сервис не показывает эти исходящие ссылки.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Симпатии
8,476
Баллы
793
vista, Зайти по FTP в корневую директорию сайта и проверить на наличие посторонних папок.
Если у вас есть оригинальные файлы и папки, которые загружали на сайт самостоятельно, то можно просто инициировать полную замену содержимого.
Заменить пароли на более сложные. Например, такие Fh64#jYa7c#8h4с8
 
Последнее редактирование:

vista

Активный пользователь
Сообщения
51
Симпатии
4
Баллы
178
vista, Зайти по FTP в корневую директорию сайта и проверить на наличие посторонних папок.
Если у вас есть оригинальные файлы и папки, которые загружали на сайт самостоятельно, то можно просто инициировать полную замену содержимого.
Заменить пароли на более сложные. Например, такие Fh64#jYa7c#8h4с8
Спасибо, вы мне очень помогли :)
 

menserj

Новый пользователь
Сообщения
3
Симпатии
0
Баллы
1
Здравствуйте. Не могу удалить вирус PHP/Agent.NFT с сайта.
После удаления заражённых файлов вирус появляется через несколько дней снова. Помогите его удалить!

Сайт хттп:/ /mypsichology.ru
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
16,100
Симпатии
12,829
Баллы
2,203
Бодрого времени суток.
1. Как/чем определили детект?
2. Насколько я понимаю заражение проявляется загрузкой нового файла на FTP, верно?
3. Скрипт обновлен до актуальной версии?
4. Какие плагины используются?
5. Как проявляет себя заражение?

И общие рекомендации по лечению:
1. Необходимо проверить файлы на ftp, для этого используем скрипт для сайтов, не перепутайте AI-Bolit - антивирус для сайта, сканер вирусов на хостинге и сайте или сравнить с эталонными (заведомо чистый бекап или файлы скрипта)
2. Сменить все пароли связанные с сайтом (администратора, FTP, SSH и т.д.)
И мне кажется, что в такой вариации работать не должно все правильно:
JavaScript:
document.write('<a href="http://http://tweetmeme.com/i/scripts/button.js/" target="_blank" title=
 
Сверху Снизу