Заражён сайт

Статус
В этой теме нельзя размещать новые ответы.
VT показывает, что сайт чист.
не успели просто вендоры среагировать, сегодня уже Scan report for http://ontariocat.info/ at 2014-04-05 21:38:53 UTC - VirusTotal

Антивирусные сервисы и онлайн-сервисы, используемые для проверки, ругаются на баннерную рекламу и/или на ротатор баннеров (или ротатор ссылок), которые крутит не сам ваш сайт, а тот, что предоставил вам возможность создать свой сайт на своем сайт-конструкторе.
нету, там никого конструктора и никакой рекламы в ротации, а ссылки на китайкие сайты действительно были в шаблоне
Добавил сайт в исключения AIS.
в общем-то напрасно, так как на сайте действительно вирусня. Согласно ЛК Trojan-Downloader.JS.Iframe.cfw ;).
Так что правильно аваст делал, что ругался на сайт.
 
в общем-то напрасно, так как на сайте действительно вирусня.
Это сделано для того, чтобы ей можно было зайти на сайт.

Trojan-Downloader.JS.Iframe.cfw
Trojan-Downloader.JS.Iframe и JS:HideLink-A [Trj] - одна и та же хрень.

а ссылки на китайкие сайты действительно были в шаблоне
Я про это и говорил. Готовый шаблон - тот же конструктор.
А ссылки эти там и сейчас есть. Не пропали.

.webp

regist, надо предупреждать,что уже успел там покопаться.
Это хорошо, а то я был занят на работе. Но надо предупреждать.
Тем более про этот случай я изначально говорил.
Понаделают молодчики сайтов, скрипты туда навставляют, деньги возьмут, а потом владельцы мучаются.
Ёмлу я бы вообще вырезал как вид, и ворд-пресс заодно. Дыра на дыре.
Я для сайтов использую покупное лицензионное ПО и никаких проблем и рекламы.
Такое же д-мо с сайтами от Укоза. Одна хрень.
 
Последнее редактирование:
Просмотрел из админки все расширения - менеджеры плагинов, модулей и шаблона Онтарио, как их html, так и css - нигде нет Friendship links, как и предполагал.

1.webp - так в коде страницы

2.webp - так в коде редактора шаблона

Если это не дается администратору сайта для редактирования, то, значит, это ему не положено редактировать. Т.е. это добавляется владельцами сайт-конструктора, в данном случае Ёмлой.
По такой причине это или не будет ему доступно никогда или решение лежит где-то на поверхности.
В общем - убрал пока. Но не факт, что ёмлищики опять это включат.
Тогда надо уже обратиться в их ТП и сообщить, что на их Friendship links ругается чудо-антивирус avast. :Biggrin:

"Китайцев" в начинке больше не наблюдается. Пока.

4.webp

Новый результат с сайта http://sitecheck3.sucuri.net/results/ontariocat.info
3.webp 5.webp

А VT, как всегда еще не сумели перестроиться. :Punish:
Впрочем, я и не жду от них быстрой перестройки. Быстро от этого не отмоешься.
 
Последнее редактирование:
Но не факт, что ёмлищики опять это включат.
к joomla это не относится и ничего подобного она не добавляет, ещё раз повторюсь это в шаблоне было.
Полчаса назад еще было. Причем на всех страницах.
а сейчас?
 
Елена показала мне переписку, вы там кое-что убрали и многое ей объяснили.
Я прочитал мельком, чтобы не повторяться. Все правильно. Оставалось кое-что очистить и перевключить.
Главное - чтобы не появилось снова. :Biggrin:
к joomla это не относится и ничего подобного она не добавляет
Ну какой же вы наивный. Они все это добавляют,больше или меньше. Они этим френдом и живут.

Всё на скриншотах, начиная с 01.21 и кончая этим временем.Теперь надо авастину направить на него. Пусть успокоится. :DИ посоветовал ей сделать пароли посложнее. :Biggrin:
 
Последнее редактирование:
regist, там еще код mail.ru поправьте в страницах.

alt</imgтинг@Mail.ru"
на
alt="Рейтинг@Mail.ru"

Поэтому у неё счетчик mail.ru и не работает.
 
Возможно из-за этих ссылок хттп://zxtbeepollendietstore.com/ и хттп//beepollendietpills.org/
Эти ссылки оказались только верхушкой айсберга. Сайт был вломан ещё в апреле 2013 года, залили шелл. Кроме этих ссылок и JS вставок Trojan-Downloader.JS.Iframe (JS:Redirector-GQ [Trj], JS/Exploit-Blacole.l) ещё использовали хостинг для размещения своих сайтов. Нашёл там с десяток папок с китайскими сайтами, некоторые из них на wordpress
d5cb12d081e2edf2882168fae478c987.webp
подчёркнутые папки это папки с чужими сайтами. Часть папок уже удалил до того как заскринил. Вот пара сайтов которым соотвествали эти папки
хттп://fastdietcapsule.com/
хттп://beepollenbase.com
после удаления папок сайты работают, так что видно их использовали в 2013 году, а потом уже перенесли на другой заражённый сайт. А этот сайт уже стали использовать для рассылки спама (помимо прочей дряни и шелла там были скрипты и для спама).
 
Последнее редактирование:
Ребята,ОГРОМНОЕ вам спасибо! Даже не представляю,чтобы я без вас делала..
Отдельно спасибо вам regist и вам, SNS-amigo! :Girl In Love:
Я,конечно мало понимаю что там было напихано,но смысл,что дряни было много и вы её оттуда убрали -поняла. Вы вылечили мне сайт! :Girl Hospital:
Здорово,что ВЫ есть и помогаете таким как я :)
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу