Перейти к содержимому


Пользователь месяца
WGN WGN 1-й за Июль
Очков активности: 850 2 темы, 75 сообщений, 7 баллов репутации
Сайт: worldgamenews.com
ТОП самых активных за этот месяц
  • Фотография TimurR
    #1

    TimurR
    Очков активности: 273 3 темы, 17 сообщений, 7 баллов репутации

  • Фотография WGN
    #2

    WGN (worldgamenews.com)
    Очков активности: 66 Вне конкурса за определение пользователя месяца

  • Фотография ShowPrint
    #3

    ShowPrint (ShowPrint.ru)
    Очков активности: 52.5 0 тем, 7 сообщений, 5 баллов репутации

  • Фотография BlackLion
    #4

    BlackLion
    Очков активности: 36 0 тем, 24 сообщения, 1 балл репутации

  • Фотография Vmir
    #5

    Vmir
    Очков активности: 25.5 Вне конкурса за определение пользователя месяца

  • Фотография Napoleon-007
    #6

    Napoleon-007
    Очков активности: 21 0 тем, 14 сообщений, 1 балл репутации

  • Фотография Ixman
    #7

    Ixman (o5cat.ru)
    Очков активности: 21 0 тем, 7 сообщений, 2 балла репутации

  • Фотография alekswebart
    #8

    alekswebart
    Очков активности: 19.5 1 тема, 10 сообщений, 1 балл репутации

  • Фотография r0mZet
    #9

    r0mZet (rz-style.ru)
    Очков активности: 18 2 темы, 6 сообщений, 1 балл репутации

  • Фотография profi
    #10

    profi (1informer.com)
    Очков активности: 12 0 тем, 8 сообщений, 1 балл репутации

  • Показать весь ТОП 10

Kwork.ru - услуги фрилансеров от 500 руб.

Поддержите форум! =)
Апдейты
  • Яндекс тИЦ: 19.11.2017
  • Яндекс выдача: 17.08.2018
Топ 5 участников по репутации


Вирус iframe.B.Gen на сайте

#1 rubiroide

rubiroide
  • Неактивные
  • 22 сообщений
  • Репутация: 0
0

Отправлено 09 September 2010 - 08:07

Помогите вылечить сайт. При заходе на сайт соединение обрывается. NOD говорит iframe.B.Gen вирус. Давно им не занимался, по старой памяти попросили убрать вирус. После перезаливки бэкапа вирус не пропал, видимо давно сел, хотя в последний раз все работало исправно.

 

 

  • 0

robot

robot
  • Пользователь PRO
  • 2652 сообщений
  • Репутация: 85
Советую обратить внимание на следующее:
  1. С сайта поперли вирусы
  2. На сайте обнаружены iframe-вставки
  3. Проверка сайта на вирусы. Как найти и удалить вирусы на сайте
  4. Для владельцев Wordpress - на сайте обнаружены iframe-вставки?
  5. На что влияет iframe

#2 admin

admin
  • Пользователь PRO
  • 5275 сообщений
  • Репутация: 55

Отправлено 09 September 2010 - 13:27

rubiroide, какой движок? Другие антивирусы тоже определяют вирус?
  • 0

#3 rubiroide

rubiroide
    Topic Starter
  • Неактивные
  • 22 сообщений
  • Репутация: 0

Отправлено 09 September 2010 - 20:20

Не пробовал, вроде определяют (мне сообщили о вирусе). Мозила еще до антивируса предупреждает. Движок самодельный (сделана простенькая админка с редактором записи атериалов в БД)
  • 0

#4 admin

admin
  • Пользователь PRO
  • 5275 сообщений
  • Репутация: 55

Отправлено 09 September 2010 - 20:31

1. Смените пароли и логины на FTP.
2. Ищите вручную во всех файлах на сайте iframe-код.
3. После удаления снова смените логины и пароли на FTP.


  • 0

#5 rubiroide

rubiroide
    Topic Starter
  • Неактивные
  • 22 сообщений
  • Репутация: 0

Отправлено 09 September 2010 - 20:45

Искал, но нашел только это:

FCKeditor.prototype.Create = function()
{
	if (isCompatible)
	{
		document.write( this._[b]GetIFrameHtml[/b]() );
		document.write('<INPUT type="hidden" name="' + this.InstanceName + '" value="' +  this._HTMLEncode( this.Value ) + '">');
	}
	else
	{
		var sWidth  = this.Width.toString().indexOf('%')  > 0 ? this.Width  : this.Width  + 'px';
		var sHeight = this.Height.toString().indexOf('%') > 0 ? this.Height : this.Height + 'px';
		document.write('<TEXTAREA name="' + this.InstanceName + '" rows="4" cols="40" style="WIDTH: ' + sWidth + '; HEIGHT: ' + sHeight + '" wrap="virtual">' + this._HTMLEncode( this.Value ) + '<\/TEXTAREA>');
	}
}
FCKeditor.prototype.ReplaceTextarea = function()
{
	if ( isCompatible )
	{
		var oTextarea = document.getElementsByName( this.InstanceName )[0];
		oTextarea.style.display = 'none';
		oTextarea.insertAdjacentHTML( 'afterEnd', this._[b]GetIFrameHtml[/b]() );
	}
}
FCKeditor.prototype._[b]GetIFrameHtml[/b] = function()
{
	var sLink = this.BasePath + 'fckeditor.html?FieldName=' + this.InstanceName;
	if (this.ToolbarSet) sLink += '&Toolbar=' + this.ToolbarSet;
	if (this.CanUpload != null) sLink += '&Upload=' + (this.CanUpload ? "true" : "false");
	if (this.CanBrowse != null) sLink += '&Browse=' + (this.CanBrowse ? "true" : "false");
	for ( o in this.Config )
		sLink += '&' + o + '=' + escape( this.Config[o] );
	return '<[b]IFRAME[/b] name="frame_' + this.InstanceName + '" src="' + sLink + '" width="' + this.Width + '" height="' + this.Height + '" frameborder="no" scrolling="no"></IFRAME>';
}
$strEditor .= "<[b]IFRAME[/b] src=\"$sLink\" width=\"$width\" height=\"$height\" frameborder=\"no\" scrolling=\"no\"></IFRAME>";

Мне кажется это не то, в БД тоже искал, пусто.
  • 0

#6 surfer

surfer
  • Заблокированные
  • 1956 сообщений
  • Репутация: 71

Отправлено 09 September 2010 - 21:06

он в индеск файлах прописывается ищи тег iframe в них и удаляй или после сменя пароля на фтп перезалей чистую версию сайта, БД здесь ни причем
  • 0

#7 rubiroide

rubiroide
    Topic Starter
  • Неактивные
  • 22 сообщений
  • Репутация: 0

Отправлено 09 September 2010 - 21:20

В файле index нигде iframe не встречается. Зато при попытке открыть файл на просмотр через ftp на самом сервере NOD говорит, что в нем вирь. Значит зараза в index.php. Какой код еще может быть?


  • 0

#8 admin

admin
  • Пользователь PRO
  • 5275 сообщений
  • Репутация: 55

Отправлено 09 September 2010 - 21:25

Вопрос сложный. Много чего может быть. Если заражён этот именно этот файл, то лучше разобраться с каждой строкой кода и определить вредоносный участок. Кстате, если я не ошибаюсь, этот код может быть даже в файлах стилей. Так что советую проверить все файлы.


  • 0

#9 rubiroide

rubiroide
    Topic Starter
  • Неактивные
  • 22 сообщений
  • Репутация: 0

Отправлено 09 September 2010 - 21:27

Кажется оно:

function raise_404 () {
	global $menu,$webotdel;
	header("HTTP/1.0 404 Not Found");
	include(BASE_PATH.'t/05_error.html');
	exit();
}

На t/05_error.html тоже ругается
  • 0

#10 surfer

surfer
  • Заблокированные
  • 1956 сообщений
  • Репутация: 71

Отправлено 09 September 2010 - 21:29

ты читать умеешь или гадать будем на кофейной гуще? ссылку да раз сообразить не можешь
  • 0

robot

robot
  • Пользователь PRO
  • 2652 сообщений
  • Репутация: 85


Похожие темы

  Название темы Автор Статистика Последнее сообщение

Оформление форума – IPBSkins.ru