Перейти к содержимому


× Быстрый вопрос
Пользователь месяца
Андрей WPM Андрей WPM 1-й за Июль
Очков активности: 2 142 4 темы, 90 сообщений, 14 баллов репутации
Сайт: wpmaster.kz
ТОП самых активных за этот месяц
  • Фотография Rodiola
    #1

    Rodiola (rukodelkovo.ru)
    Очков активности: 660 1 тема, 85 сообщений, 5 баллов репутации

  • Фотография maxnik
    #2

    maxnik (konovalovpavel.ru)
    Очков активности: 277.5 0 тем, 37 сообщений, 5 баллов репутации

  • Фотография IxMaster
    #3

    IxMaster (site.ru)
    Очков активности: 130.5 3 темы, 20 сообщений, 3 балла репутации

  • Фотография Андрей WPM
    #4

    Андрей WPM (wpmaster.kz)
    Очков активности: 103.5 Вне конкурса за определение пользователя месяца

  • Фотография Megoydagi
    #5

    Megoydagi (24ho.ru)
    Очков активности: 93 5 тем, 16 сообщений, 2 балла репутации

  • Фотография annabum
    #6

    annabum
    Очков активности: 75 2 темы, 19 сообщений, 2 балла репутации

  • Фотография Vmir
    #7

    Vmir
    Очков активности: 57 Вне конкурса за определение пользователя месяца

  • Фотография FIvYUr
    #8

    FIvYUr (moy-evroopt.ru)
    Очков активности: 36 0 тем, 8 сообщений, 3 балла репутации

  • Фотография lena220678
    #9

    lena220678
    Очков активности: 36 2 темы, 18 сообщений, 1 балл репутации

  • Фотография Constantine
    #10

    Constantine
    Очков активности: 27 3 темы, 9 сообщений, 1 балл репутации

  • Показать весь ТОП 10
Поддержите форум! =)
Апдейты
  • Яндекс ИКС: 30.07.2019
  • Яндекс выдача: 19.08.2019
Топ 5 участников по репутации


Внедрен вредоносный скрипт, в каком файле его искать?

#1 Zevss

Zevss
  • Пользователь
  • 492 сообщений
  • Репутация: 13
0

Отправлено 23 Апрель 2013 - 10:43

Собственно вот от сам:
Изображение
Сидит в самом верху исходного кода сайтега. Двиг WP в каком файле искать заразу?
Более того, Google выдает:
Изображение
файл с расширением go.php? я вообще целиком удалил с корня сайта, в исходном коде этой хрени не наблюдается.
Спасибо!

 

 

  • 0

#2 html-ka

html-ka
  • Неактивные
  • 455 сообщений
  • Репутация: 82

Отправлено 23 Апрель 2013 - 10:56

скорее всего в header.php шаблона, но скорее всего он будет зашифрован или в function.phpх
  • 0

#3 fedornabilkin

fedornabilkin
  • Модератор
  • 1 176 сообщений
  • Репутация: 201

Отправлено 23 Апрель 2013 - 12:07

Скачай файлы на комп и сделай поиск eval или base64
Пару раз у меня такое тоже было
  • 0

Надо обсудить предложение. А тут знакосчиталка считает знаки. Про Yii2 написано.



#4 Zevss

Zevss
    Topic Starter
  • Пользователь
  • 492 сообщений
  • Репутация: 13

Отправлено 23 Апрель 2013 - 13:20

Почистил. Осталось только это:
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<meta http-equiv="X-UA-Compatible" content="IE=EmulateIE7" />
не пойму, вредное оно, или нет.
Доктор веб пишет, что на сайте вирусов нет.
НО!
http://antivirus-ala...arble.com.ua/
1. http://www.marble.com.ua/, тип файла: html
• зараженный сайт по версии гугла: www.marble.com.ua
2. http://www.marble.co...theme/script.js, тип файла: javascript
• зараженный сайт по версии гугла: www.marble.com.ua
Странно то, что:
1. В корне сайта есть только два файла html - это верификация Я и Г в которых кроме проверочных кодов поисковиков ничего нет.
2. По указанному во втором пункте меню адресу файла script.js также нет.
  • 0

#5 html-ka

html-ka
  • Неактивные
  • 455 сообщений
  • Репутация: 82

Отправлено 23 Апрель 2013 - 14:09

ну так напиши в гугл, чтоб сняли пометку, если ты вы чистил сайт, значит он у берет ее
  • 0

#6 Zevss

Zevss
    Topic Starter
  • Пользователь
  • 492 сообщений
  • Репутация: 13

Отправлено 23 Апрель 2013 - 15:42

Скачай файлы на комп и сделай поиск eval или base64
Пару раз у меня такое тоже было

если Вы имеете ввиду полностью с хостинга скачать сайт и сделать поиск по папке, то такое действие ничего не дало.
  • 0

#7 html-ka

html-ka
  • Неактивные
  • 455 сообщений
  • Репутация: 82

Отправлено 23 Апрель 2013 - 15:43

ой!
  • 0

#8 Zevss

Zevss
    Topic Starter
  • Пользователь
  • 492 сообщений
  • Репутация: 13

Отправлено 23 Апрель 2013 - 19:58

ой!

это ой отправляет в подозрение даже установленные мною коды бирж...
  • 0

#9 LadyRi

LadyRi
  • Неактивные
  • 15 сообщений
  • Репутация: 0

Отправлено 24 Апрель 2013 - 06:32

У меня тоже вирус залез на сайт. Всё что смогла почистила, яндекс и гугл больше не ругаются. Но остался редирект при захоже с сайта с мобильных устройств. Единственный сайт, который находит этот вирус - http://sitecheck.sucuri.net/scanner/. Выдает такую ошибку - "Known javascript malware.
Details: http://sucuri.net/ma...mwblacklisted35
<script>window.location="http://mobile-mobi.i...o/?2"</script". Но я нигде не могу найти этот скрипт. Ни по базу sql ни по тексту. искала через base64, тоже не помогает. как его вытащить??
  • 0

#10 fedornabilkin

fedornabilkin
  • Модератор
  • 1 176 сообщений
  • Репутация: 201

Отправлено 24 Апрель 2013 - 09:35

Может стоит посмотреть в файле .htaccess
Кто работает с мобильным трафом, редиректят через этот файл.
  • 0

Надо обсудить предложение. А тут знакосчиталка считает знаки. Про Yii2 написано.



#11 LadyRi

LadyRi
  • Неактивные
  • 15 сообщений
  • Репутация: 0

Отправлено 24 Апрель 2013 - 09:44

подсказали, что искать в файлах, которые подгружаются с индексной страницы. htaccess чистый
  • 0

#12 html-ka

html-ka
  • Неактивные
  • 455 сообщений
  • Репутация: 82

Отправлено 24 Апрель 2013 - 09:49

ну так может ссылку покажешь или будем по яйцам гадать? :)
  • 0

#13 Zevss

Zevss
    Topic Starter
  • Пользователь
  • 492 сообщений
  • Репутация: 13

Отправлено 24 Апрель 2013 - 16:24

проблема еще где-то есть:
http://antivirus-ala...m.ua/ &again=1
но где, уже нифига не пойму.
Плюс в гуглевских инструментах:
Предупреждение
Google обнаружил вредоносный код на вашем сайте . Теперь пользователи, переходящие на эти страницы по ссылкам в результатах поиска Google, будут видеть предупреждение.
Рекомендуем как можно быстрее очистить ваш сайт.
Статус последней проверки на наличие вредоносного ПО для данного сайта: Проверка этого сайта завершена. Результаты показали, что сайт по-прежнему представляет опасность для пользователей. Еще раз изучите свой сайт. Когда вы будете уверены, что сайт должным образом изменен и безопасен для пользователей, отправьте запрос на его повторное рассмотрение.
Вероятно, в исходный код вашего сайта были внедрены вредоносные фрагменты.
  • 0

robot

robot
  • Пользователь PRO
  • 2 652 сообщений
  • Репутация: 85

Оформление форума – IPBSkins.ru