[X] Помощник

[sosnovskij Topic Starter]

Проверяю сайт на https://rescan.pro/ (к сожалению, не могу показать URL). Сервис показывает вставки с опасных сайтов:



Домен pngme.ru. По всем найденным страницам отдается 403 ошибка.

По домену adservice.google.de скачивается txt-файл (f.txt) с содержанием

processGoogleToken({"newToken":"NT","validLifetimeSecs":300,"freshLifetimeSecs":300,"1p_jar":"","pucrd":""});

Не думаю, что с гугла какая-то "бяка" может быть. А вот с первого вполне возможна.

Я искал эти домены в БД через phpmyadmin - результатов 0. Искал в файлах через Total Commander. Тоже безуспешно. Краулеры (ScreamingFrogSEOSpider) не находят такие ссылки.

Как вариант код находится в зашифрованном виде. Как тогда его найти? :)

[TimurR]

Пробовал в base64 искать эти строки? Я так как то вытравил кусок кода, который выводил ссылки. При чем хитро выводил, там ссылка не шифровалась целиком, она разбивалась отдельно на domen потом .ru и средствами php дешифровывалась и выводилась целиком. Вот декодер максимально простой http://base64.ru/
Была еще трабла подобного рода из-за нулленых платных плагинов, они подтягивали все это дело, собственном самих этих ссылок в коде не было, было зашифрованное гомно. Если не ошибаюсь проблему решал тем, что просто снес весь взломанный мусор и юзал бесплатные плагины с официального репозитория вп. 

[Yuliya1982]

Как вариант код находится в зашифрованном виде. Как тогда его найти?

У хостера попросить помощи, может они найдут. 

[Artos_mw]

А если попробовать сканер вирусов и вредоносных скриптов AI-Bolit?

[fedornabilkin]

Попробуй поискать в файлах функции, которые кодируют/декодируют. Например что-то типа того:

1. base64_encode(


2. base64_decode(


3. mcrypt_encrypt(


4. mcrypt_decrypt(


5. openssl_encrypt(


6. openssl_decrypt(


7. mcrypt_module_open(


8. и всякие функция с префиксом mcrypt_ (там и generic, и create, и много чего есть)

Или константы MCRYPT_RIJNDAEL_256, MCRYPT_DES, AES-256-CBC, aes-128-gcm, OPENSSL_RAW_DATA, MCRYPT_MODE_ECB (вместо жирного еще можно подставить cbc, cfb, ofb, nofb, stream)

Обычно кусок текста кодируют, чтобы в глаза не бросался, а потом декодируют. Текст часто с другого хоста тащат, поэтому чаще встречаются функции на декодирование. 

[sosnovskij Topic Starter]

Всем спасибо! Буду искать :)

[618245]

Всем спасибо! Буду искать

Здравствуйте. Вы нашли где эта зараза находится?  

[r0mZet]

Я искал эти домены в БД через phpmyadmin - результатов 0. Искал в файлах через Total Commander. Тоже безуспешно. Краулеры (ScreamingFrogSEOSpider) не находят такие ссылки.

Кусок кода может быть зашифрован в base64 и поделен на несколько php файлов. Скачай себе ай-болит и проскань у себя сайт локально (на компе) в режиме параноя.

[sosnovskij Topic Starter]

618245, еще нет. У вас та же проблема?
r0mZet, раньше ай-болит был сложноват. Попробую как сейчас (вроде готовый архив для windows появился).

[618245]

Sosnovskij,Да, никак не могу найти этот скрипт.