Заражён сайт

[regist]

VT показывает, что сайт чист.

не успели просто вендоры среагировать, сегодня уже Scan report for http://ontariocat.info/ at 2014-04-05 21:38:53 UTC - VirusTotal

Антивирусные сервисы и онлайн-сервисы, используемые для проверки, ругаются на баннерную рекламу и/или на ротатор баннеров (или ротатор ссылок), которые крутит не сам ваш сайт, а тот, что предоставил вам возможность создать свой сайт на своем сайт-конструкторе.

нету, там никого конструктора и никакой рекламы в ротации, а ссылки на китайкие сайты действительно были в шаблоне

Добавил сайт в исключения AIS.

в общем-то напрасно, так как на сайте действительно вирусня. Согласно ЛК Trojan-Downloader.JS.Iframe.cfw .
Так что правильно аваст делал, что ругался на сайт.

 

[SNS-amigo]

в общем-то напрасно, так как на сайте действительно вирусня.

Это сделано для того, чтобы ей можно было зайти на сайт.

Trojan-Downloader.JS.Iframe.cfw

Trojan-Downloader.JS.Iframe и JS:HideLink-A [Trj] - одна и та же хрень.

а ссылки на китайкие сайты действительно были в шаблоне

Я про это и говорил. Готовый шаблон - тот же конструктор.
А ссылки эти там и сейчас есть. Не пропали.



regist, надо предупреждать,что уже успел там покопаться.
Это хорошо, а то я был занят на работе. Но надо предупреждать.
Тем более про этот случай я изначально говорил.
Понаделают молодчики сайтов, скрипты туда навставляют, деньги возьмут, а потом владельцы мучаются.
Ёмлу я бы вообще вырезал как вид, и ворд-пресс заодно. Дыра на дыре.
Я для сайтов использую покупное лицензионное ПО и никаких проблем и рекламы.
Такое же д-мо с сайтами от Укоза. Одна хрень.

 

[SNS-amigo]

Просмотрел из админки все расширения - менеджеры плагинов, модулей и шаблона Онтарио, как их html, так и css - нигде нет Friendship links, как и предполагал.

- так в коде страницы

- так в коде редактора шаблона

Если это не дается администратору сайта для редактирования, то, значит, это ему не положено редактировать. Т.е. это добавляется владельцами сайт-конструктора, в данном случае Ёмлой.
По такой причине это или не будет ему доступно никогда или решение лежит где-то на поверхности.
В общем - убрал пока. Но не факт, что ёмлищики опять это включат.
Тогда надо уже обратиться в их ТП и сообщить, что на их Friendship links ругается чудо-антивирус avast.

"Китайцев" в начинке больше не наблюдается. Пока.



Новый результат с сайта http://sitecheck3.sucuri.net/results/ontariocat.info


А VT, как всегда еще не сумели перестроиться.
Впрочем, я и не жду от них быстрой перестройки. Быстро от этого не отмоешься.

 

[regist]

Если это не дается администратору сайта для редактирования, то, значит, это ему не положено редактировать.

либо просто этого уже нет на сайте

 

[SNS-amigo]

либо просто этого уже нет на сайте

Полчаса назад еще было. Причем на всех страницах. Даже на 404-й.

 

[regist]

Но не факт, что ёмлищики опять это включат.

к joomla это не относится и ничего подобного она не добавляет, ещё раз повторюсь это в шаблоне было.

Полчаса назад еще было. Причем на всех страницах.

а сейчас?

 

[SNS-amigo]

Елена показала мне переписку, вы там кое-что убрали и многое ей объяснили.
Я прочитал мельком, чтобы не повторяться. Все правильно. Оставалось кое-что очистить и перевключить.
Главное - чтобы не появилось снова.

к joomla это не относится и ничего подобного она не добавляет

Ну какой же вы наивный. Они все это добавляют,больше или меньше. Они этим френдом и живут.

Всё на скриншотах, начиная с 01.21 и кончая этим временем.Теперь надо авастину направить на него. Пусть успокоится. И посоветовал ей сделать пароли посложнее.

 

[SNS-amigo]

regist, там еще код mail.ru поправьте в страницах.

alt</imgтинг@Mail.ru"
на
alt="Рейтинг@Mail.ru"

Поэтому у неё счетчик mail.ru и не работает.

 

[regist]

Возможно из-за этих ссылок хттп://zxtbeepollendietstore.com/ и хттп//beepollendietpills.org/

Эти ссылки оказались только верхушкой айсберга. Сайт был вломан ещё в апреле 2013 года, залили шелл. Кроме этих ссылок и JS вставок Trojan-Downloader.JS.Iframe (JS:Redirector-GQ [Trj], JS/Exploit-Blacole.l) ещё использовали хостинг для размещения своих сайтов. Нашёл там с десяток папок с китайскими сайтами, некоторые из них на wordpress

подчёркнутые папки это папки с чужими сайтами. Часть папок уже удалил до того как заскринил. Вот пара сайтов которым соотвествали эти папки
хттп://fastdietcapsule.com/
хттп://beepollenbase.com
после удаления папок сайты работают, так что видно их использовали в 2013 году, а потом уже перенесли на другой заражённый сайт. А этот сайт уже стали использовать для рассылки спама (помимо прочей дряни и шелла там были скрипты и для спама).

 

[SNS-amigo]

regist, Вот ведь гады, что наделали!

 

[fentezicat]

Ребята,ОГРОМНОЕ вам спасибо! Даже не представляю,чтобы я без вас делала..
Отдельно спасибо вам regist и вам, SNS-amigo!
Я,конечно мало понимаю что там было напихано,но смысл,что дряни было много и вы её оттуда убрали -поняла. Вы вылечили мне сайт!
Здорово,что ВЫ есть и помогаете таким как я