Перейти к содержимому

Реферальная программа Мегаплана


Вирус iframe.B.Gen на сайте

#1 rubiroide

rubiroide
  • Пользователь
  • 22 сообщений
  • Репутация: 0
0

Отправлено 09 Сентябрь 2010 - 08:07

Помогите вылечить сайт. При заходе на сайт соединение обрывается. NOD говорит iframe.B.Gen вирус. Давно им не занимался, по старой памяти попросили убрать вирус. После перезаливки бэкапа вирус не пропал, видимо давно сел, хотя в последний раз все работало исправно.

 

 

  • 0

#2 admin

admin
  • Пользователь PRO
  • 5 272 сообщений
  • Репутация: 54

Отправлено 09 Сентябрь 2010 - 13:27

rubiroide, какой движок? Другие антивирусы тоже определяют вирус?
  • 0

Сколько лет прошло, а ссылки всё ещё лучше покупать тут



#3 rubiroide

rubiroide
    Topic Starter
  • Пользователь
  • 22 сообщений
  • Репутация: 0

Отправлено 09 Сентябрь 2010 - 20:20

Не пробовал, вроде определяют (мне сообщили о вирусе). Мозила еще до антивируса предупреждает. Движок самодельный (сделана простенькая админка с редактором записи атериалов в БД)
  • 0

#4 admin

admin
  • Пользователь PRO
  • 5 272 сообщений
  • Репутация: 54

Отправлено 09 Сентябрь 2010 - 20:31

1. Смените пароли и логины на FTP.
2. Ищите вручную во всех файлах на сайте iframe-код.
3. После удаления снова смените логины и пароли на FTP.


  • 0

Сколько лет прошло, а ссылки всё ещё лучше покупать тут



#5 rubiroide

rubiroide
    Topic Starter
  • Пользователь
  • 22 сообщений
  • Репутация: 0

Отправлено 09 Сентябрь 2010 - 20:45

Искал, но нашел только это:

FCKeditor.prototype.Create = function()
{
	if (isCompatible)
	{
		document.write( this._[b]GetIFrameHtml[/b]() );
		document.write('<INPUT type="hidden" name="' + this.InstanceName + '" value="' +  this._HTMLEncode( this.Value ) + '">');
	}
	else
	{
		var sWidth  = this.Width.toString().indexOf('%')  > 0 ? this.Width  : this.Width  + 'px';
		var sHeight = this.Height.toString().indexOf('%') > 0 ? this.Height : this.Height + 'px';
		document.write('<TEXTAREA name="' + this.InstanceName + '" rows="4" cols="40" style="WIDTH: ' + sWidth + '; HEIGHT: ' + sHeight + '" wrap="virtual">' + this._HTMLEncode( this.Value ) + '<\/TEXTAREA>');
	}
}



FCKeditor.prototype.ReplaceTextarea = function()
{
	if ( isCompatible )
	{
		var oTextarea = document.getElementsByName( this.InstanceName )[0];
		oTextarea.style.display = 'none';
		oTextarea.insertAdjacentHTML( 'afterEnd', this._[b]GetIFrameHtml[/b]() );
	}
}

FCKeditor.prototype._[b]GetIFrameHtml[/b] = function()
{
	var sLink = this.BasePath + 'fckeditor.html?FieldName=' + this.InstanceName;
	if (this.ToolbarSet) sLink += '&Toolbar=' + this.ToolbarSet;
	if (this.CanUpload != null) sLink += '&Upload=' + (this.CanUpload ? "true" : "false");
	if (this.CanBrowse != null) sLink += '&Browse=' + (this.CanBrowse ? "true" : "false");
		
	for ( o in this.Config )
		sLink += '&' + o + '=' + escape( this.Config[o] );

	return '<[b]IFRAME[/b] name="frame_' + this.InstanceName + '" src="' + sLink + '" width="' + this.Width + '" height="' + this.Height + '" frameborder="no" scrolling="no"></IFRAME>';
}


$strEditor .= "<[b]IFRAME[/b] src=\"$sLink\" width=\"$width\" height=\"$height\" frameborder=\"no\" scrolling=\"no\"></IFRAME>";

Мне кажется это не то, в БД тоже искал, пусто.
  • 0

#6 surfer

surfer
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71

Отправлено 09 Сентябрь 2010 - 21:06

он в индеск файлах прописывается ищи тег iframe в них и удаляй или после сменя пароля на фтп перезалей чистую версию сайта, БД здесь ни причем
  • 0

#7 rubiroide

rubiroide
    Topic Starter
  • Пользователь
  • 22 сообщений
  • Репутация: 0

Отправлено 09 Сентябрь 2010 - 21:20

В файле index нигде iframe не встречается. Зато при попытке открыть файл на просмотр через ftp на самом сервере NOD говорит, что в нем вирь. Значит зараза в index.php. Какой код еще может быть?


  • 0

#8 admin

admin
  • Пользователь PRO
  • 5 272 сообщений
  • Репутация: 54

Отправлено 09 Сентябрь 2010 - 21:25

Вопрос сложный. Много чего может быть. Если заражён этот именно этот файл, то лучше разобраться с каждой строкой кода и определить вредоносный участок. Кстате, если я не ошибаюсь, этот код может быть даже в файлах стилей. Так что советую проверить все файлы.


  • 0

Сколько лет прошло, а ссылки всё ещё лучше покупать тут



#9 rubiroide

rubiroide
    Topic Starter
  • Пользователь
  • 22 сообщений
  • Репутация: 0

Отправлено 09 Сентябрь 2010 - 21:27

Кажется оно:

function raise_404 () {
	global $menu,$webotdel;
	header("HTTP/1.0 404 Not Found");
	include(BASE_PATH.'t/05_error.html');
	exit();
}

На t/05_error.html тоже ругается
  • 0

#10 surfer

surfer
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71

Отправлено 09 Сентябрь 2010 - 21:29

ты читать умеешь или гадать будем на кофейной гуще? ссылку да раз сообразить не можешь
  • 0

robot

robot
  • Пользователь PRO
  • 2 652 сообщений
  • Репутация: 85


Оформление форума – IPBSkins.ru