Перейти к содержимому


Конкурс "Лучший отзовик"
× Быстрый вопрос
Пользователь месяца
Vmir Vmir 1-й за Апрель
Очков активности: 1 512 8 тем, 60 сообщений, 12 баллов репутации
ТОП самых активных за этот месяц
  • Фотография Андрей WPMasterKZ
    #1

    Андрей WPMasterKZ (wpmaster.kz)
    Очков активности: 300 3 темы, 31 сообщение, 5 баллов репутации

  • Фотография dos1k
    #2

    dos1k (dos1k.ru)
    Очков активности: 234 4 темы, 40 сообщений, 3 балла репутации

  • Фотография Vmir
    #3

    Vmir
    Очков активности: 135 Вне конкурса за определение пользователя месяца

  • Фотография BLIK
    #4

    BLIK
    Очков активности: 105 Вне конкурса за определение пользователя месяца

  • Фотография Роман Зеленков
    #5

    Роман Зеленков
    Очков активности: 105 9 тем, 43 сообщения, 1 балл репутации

  • Фотография agrx
    #6

    agrx (key-assort.ru)
    Очков активности: 60 0 тем, 20 сообщений, 2 балла репутации

  • Фотография Megoydagi
    #7

    Megoydagi (24ho.ru)
    Очков активности: 57 2 темы, 13 сообщений, 2 балла репутации

  • Фотография r0mZet
    #8

    r0mZet (rz-style.ru)
    Очков активности: 54 1 тема, 9 сообщений, 3 балла репутации

  • Фотография kolver
    #9

    kolver
    Очков активности: 39 4 темы, 14 сообщений, 1 балл репутации

  • Фотография OlgaGetman
    #10

    OlgaGetman
    Очков активности: 33 Вне конкурса за определение пользователя месяца

  • Показать весь ТОП 10
Поддержите форум! =)
Апдейты
  • Яндекс ИКС: 24.05.2019
  • Яндекс выдача: 20.05.2019
Топ 5 участников по репутации


Вирус iframe.B.Gen на сайте

#1 rubiroide

rubiroide
  • Неактивные
  • 22 сообщений
  • Репутация: 0
0

Отправлено 09 Сентябрь 2010 - 08:07

Помогите вылечить сайт. При заходе на сайт соединение обрывается. NOD говорит iframe.B.Gen вирус. Давно им не занимался, по старой памяти попросили убрать вирус. После перезаливки бэкапа вирус не пропал, видимо давно сел, хотя в последний раз все работало исправно.

 

 

  • 0

#2 admin

admin
  • Пользователь PRO
  • 5 275 сообщений
  • Репутация: 56

Отправлено 09 Сентябрь 2010 - 13:27

rubiroide, какой движок? Другие антивирусы тоже определяют вирус?
  • 0

#3 rubiroide

rubiroide
    Topic Starter
  • Неактивные
  • 22 сообщений
  • Репутация: 0

Отправлено 09 Сентябрь 2010 - 20:20

Не пробовал, вроде определяют (мне сообщили о вирусе). Мозила еще до антивируса предупреждает. Движок самодельный (сделана простенькая админка с редактором записи атериалов в БД)
  • 0

#4 admin

admin
  • Пользователь PRO
  • 5 275 сообщений
  • Репутация: 56

Отправлено 09 Сентябрь 2010 - 20:31

1. Смените пароли и логины на FTP.
2. Ищите вручную во всех файлах на сайте iframe-код.
3. После удаления снова смените логины и пароли на FTP.


  • 0

#5 rubiroide

rubiroide
    Topic Starter
  • Неактивные
  • 22 сообщений
  • Репутация: 0

Отправлено 09 Сентябрь 2010 - 20:45

Искал, но нашел только это:

FCKeditor.prototype.Create = function()
{
	if (isCompatible)
	{
		document.write( this._[b]GetIFrameHtml[/b]() );
		document.write('<INPUT type="hidden" name="' + this.InstanceName + '" value="' +  this._HTMLEncode( this.Value ) + '">');
	}
	else
	{
		var sWidth  = this.Width.toString().indexOf('%')  > 0 ? this.Width  : this.Width  + 'px';
		var sHeight = this.Height.toString().indexOf('%') > 0 ? this.Height : this.Height + 'px';
		document.write('<TEXTAREA name="' + this.InstanceName + '" rows="4" cols="40" style="WIDTH: ' + sWidth + '; HEIGHT: ' + sHeight + '" wrap="virtual">' + this._HTMLEncode( this.Value ) + '<\/TEXTAREA>');
	}
}
FCKeditor.prototype.ReplaceTextarea = function()
{
	if ( isCompatible )
	{
		var oTextarea = document.getElementsByName( this.InstanceName )[0];
		oTextarea.style.display = 'none';
		oTextarea.insertAdjacentHTML( 'afterEnd', this._[b]GetIFrameHtml[/b]() );
	}
}
FCKeditor.prototype._[b]GetIFrameHtml[/b] = function()
{
	var sLink = this.BasePath + 'fckeditor.html?FieldName=' + this.InstanceName;
	if (this.ToolbarSet) sLink += '&Toolbar=' + this.ToolbarSet;
	if (this.CanUpload != null) sLink += '&Upload=' + (this.CanUpload ? "true" : "false");
	if (this.CanBrowse != null) sLink += '&Browse=' + (this.CanBrowse ? "true" : "false");
	for ( o in this.Config )
		sLink += '&' + o + '=' + escape( this.Config[o] );
	return '<[b]IFRAME[/b] name="frame_' + this.InstanceName + '" src="' + sLink + '" width="' + this.Width + '" height="' + this.Height + '" frameborder="no" scrolling="no"></IFRAME>';
}
$strEditor .= "<[b]IFRAME[/b] src=\"$sLink\" width=\"$width\" height=\"$height\" frameborder=\"no\" scrolling=\"no\"></IFRAME>";

Мне кажется это не то, в БД тоже искал, пусто.
  • 0

#6 surfer

surfer
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71

Отправлено 09 Сентябрь 2010 - 21:06

он в индеск файлах прописывается ищи тег iframe в них и удаляй или после сменя пароля на фтп перезалей чистую версию сайта, БД здесь ни причем
  • 0

#7 rubiroide

rubiroide
    Topic Starter
  • Неактивные
  • 22 сообщений
  • Репутация: 0

Отправлено 09 Сентябрь 2010 - 21:20

В файле index нигде iframe не встречается. Зато при попытке открыть файл на просмотр через ftp на самом сервере NOD говорит, что в нем вирь. Значит зараза в index.php. Какой код еще может быть?


  • 0

#8 admin

admin
  • Пользователь PRO
  • 5 275 сообщений
  • Репутация: 56

Отправлено 09 Сентябрь 2010 - 21:25

Вопрос сложный. Много чего может быть. Если заражён этот именно этот файл, то лучше разобраться с каждой строкой кода и определить вредоносный участок. Кстате, если я не ошибаюсь, этот код может быть даже в файлах стилей. Так что советую проверить все файлы.


  • 0

#9 rubiroide

rubiroide
    Topic Starter
  • Неактивные
  • 22 сообщений
  • Репутация: 0

Отправлено 09 Сентябрь 2010 - 21:27

Кажется оно:

function raise_404 () {
	global $menu,$webotdel;
	header("HTTP/1.0 404 Not Found");
	include(BASE_PATH.'t/05_error.html');
	exit();
}

На t/05_error.html тоже ругается
  • 0

#10 surfer

surfer
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71

Отправлено 09 Сентябрь 2010 - 21:29

ты читать умеешь или гадать будем на кофейной гуще? ссылку да раз сообразить не можешь
  • 0

#11 admin

admin
  • Пользователь PRO
  • 5 275 сообщений
  • Репутация: 56

Отправлено 09 Сентябрь 2010 - 21:29

На t/05_error.html тоже ругается

Возможно ифрейм-код в этом файле, и подгружается инклудом в index.php
Смотрите этот файл, возможно нужно его удалить или отредактировать, убрав iframe.
  • 0

#12 rubiroide

rubiroide
    Topic Starter
  • Неактивные
  • 22 сообщений
  • Репутация: 0

Отправлено 09 Сентябрь 2010 - 21:40

t/05_error.html в нем гад сидел в самом конце файла. Но видимо это не все. Перезалил файлик, все равно ругается на вирус. Буду искать дальше...
  • 0

#13 rubiroide

rubiroide
    Topic Starter
  • Неактивные
  • 22 сообщений
  • Репутация: 0

Отправлено 09 Сентябрь 2010 - 21:58

ты читать умеешь или гадать будем на кофейной гуще? ссылку да раз сообразить не можешь


Помогите разобраться, чет никак сообразить не могу http://www.eurowest.ru/. Больше нигде нет.
  • 0

#14 ZiTosS

ZiTosS
  • Неактивные
  • 5 148 сообщений
  • Репутация: 8

Отправлено 09 Сентябрь 2010 - 22:10

rubiroide, сейчас кто ругается - браузер или антивирус?
Если браузер, то тут надо писать в тп mozilla или того браузера который у вас стоит, у них ещё долго в базе будет висеть ваш сайт как опасный.
  • 0

#15 rubiroide

rubiroide
    Topic Starter
  • Неактивные
  • 22 сообщений
  • Репутация: 0

Отправлено 09 Сентябрь 2010 - 22:15

NOD ругается, в том то и дело...


  • 0

#16 ZiTosS

ZiTosS
  • Неактивные
  • 5 148 сообщений
  • Репутация: 8

Отправлено 09 Сентябрь 2010 - 22:35

rubiroide, скопируйте файлы на компьютер, если нод разрешит и дальше сделайте поиск по всем файлам на iframe.
Всё на тот же вирус ругается? Если да, то где-то ещё должен быть iframe в файлах.
  • 0

#17 rubiroide

rubiroide
    Topic Starter
  • Неактивные
  • 22 сообщений
  • Репутация: 0

Отправлено 09 Сентябрь 2010 - 22:47

Искал уже в Тотал Коммандере по тексту. Ничего не нашел. Сейчас создал в Дримвьюере локальный сайт, поиск по всему сайту ничего не дал, только код, который я писал выше.

Не мог ли NOD занести URL в блэклист?
  • 0

#18 ZiTosS

ZiTosS
  • Неактивные
  • 5 148 сообщений
  • Репутация: 8

Отправлено 10 Сентябрь 2010 - 19:00

rubiroide, не встречал подобного... А вы поиск делали чисто по "iframe"?
Как поставлю обновления баз для Nod'а своего, так обязательно проверю, скиньте мне пожалуйста ссылку в ЛС
  • 0

#19 rubiroide

rubiroide
    Topic Starter
  • Неактивные
  • 22 сообщений
  • Репутация: 0

Отправлено 13 Сентябрь 2010 - 00:12

По iframe и просто frame. Пусто...
  • 0

robot

robot
  • Пользователь PRO
  • 2 652 сообщений
  • Репутация: 85


Похожие темы

  Название темы Автор Статистика Последнее сообщение

Оформление форума – IPBSkins.ru