Вредоносный код

Maksim84 · 10.02.2010, 15:49

От ЯндексВебмастера пришло письмо следующего содержания:

"На страницах вашего сайта www.ХХХХХХХ.ru обнаружен код, который может быть опасен для посетителей. Выполнение этого
кода при посещении сайта может привести к нежелательным для пользователя последствиям: заражению компьютера вредоносными
программами, несанкционированному использованию его ресурсов, порче или краже личных данных.
В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего
компьютера».
Яндекс никак не оценивает содержание сайта и предупреждает пользователей о том, что сайт мог быть заражен без ведома его
владельцев.
Пожалуйста, удалите вредоносный код. Если при новой проверке код не будет обнаружен, пометка в результатах поиска будет
снята. Для того чтобы снять пометку как можно быстрее, сразу после удаления кода вы можете запросить перепроверку сайта."

Проверил сайт несколькими антивирусами все чисто, что Яша имеет введу, может кто уже получал такие письма счастья. Никаких новых партнерок в последнее время не ставил.

zhegloff · 10.02.2010, 15:51

Цитата:

Сообщение от Maksim84

На страницах вашего сайта www.ХХХХХХХ.ru обнаружен код

Firefox не может найти сервер www.xn--u1aaaaaaa.ru.

Djeremy · 10.02.2010, 16:02

Цитата:

Сообщение от Maksim84

Никаких новых партнерок в последнее время не ставил.

"Партнерку" скорее всего поставили за тебя, ищи в файлах вирус... например так открываешь фтп клиент и смотришь у какого файла отличается дата... ну и думай каким образом шелл залили... CMS?

Alex_11 · 10.02.2010, 16:03

этот код вставляется вниз всех файлов index.* default.* и всех *.js
придется вручную почистить сайт.

код написан на яваскрипте и сразу узнаваем.
Да, и смените пароль на ftp

Djeremy · 10.02.2010, 16:06

имеется ввиду вирусный код...

Маленькая сосна · 10.02.2010, 16:16

А ЯВМ не пишет на каких конкретно страницах что ему не нравится? В Гугле я как-то смотрела, он вроде бы даже кусок этого самого "вредоносного кода" показывает.

Maksim84 · 10.02.2010, 16:18

просмотрел index.php вроде только мои партнерки, может кто нибудь код в личке глянет, а то я не очень силен в html

Djeremy · 10.02.2010, 16:25

у тебя какая CMS ? если джумла присылай мне свой шаблон, index.php

Maksim84 · 10.02.2010, 16:39

да у меня рукописный шаблон по include собирается

Добавлено через 7 минут
посмотришь?

abo · 10.02.2010, 17:23

Явно троян залетел.

Во-первых, смени пароль на ftp, на админку. Но мог вирус залететь и через "дыры" в php или sql коде.

Если есть инклюды, то троянский код может в любых файлах содержаться. Индексные файлы заражаются по самому простому алгоритму, как правило в самый конец страницы, даже ниже </html>.
Если ты на нормальном хостинге не на выделенном сервере - пусть ребята с хостинга проверят на вирусы весь сайт.
В последнее время имеют место заражения от вредоностных сайтов analizersyscom, barigi. В прошлом году - от mcount... Это тебе контекст для поиска, например. Но код может быть зашифрован и иметь примерно такой вид \x2E\x6E\x65\x74 ... или такой 'm'+'c'+'ou'+'nt'+'.'+'n ... - в общем в глаза должен броситься.

Алгоритм поиска такой: определить страницу, которая точно заражена, смотреть ее на сервере и если в ней ничего, то см. все инклюдные php файлы и js файлы. Можно посмотреть код страницы силами браузера - тогда, если в ней нет ничего подозрительного, то на 90% троян в подключаемом js файле, а не в php инклюде.

А вот проверка файла на наличие вируса несколькими десятками антивирусов: www.virustotal.com/ru/ Но некоторые новейшие коды не разумеет.

10.02.2010, 15:49	#1
Maksim84 Новичок Регистрация: 21.10.2008 Сообщений: 59 Вес репутации: 191	Вредоносный код От ЯндексВебмастера пришло письмо следующего содержания: "На страницах вашего сайта www.ХХХХХХХ.ru обнаружен код, который может быть опасен для посетителей. Выполнение этого кода при посещении сайта может привести к нежелательным для пользователя последствиям: заражению компьютера вредоносными программами, несанкционированному использованию его ресурсов, порче или краже личных данных. В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера». Яндекс никак не оценивает содержание сайта и предупреждает пользователей о том, что сайт мог быть заражен без ведома его владельцев. Пожалуйста, удалите вредоносный код. Если при новой проверке код не будет обнаружен, пометка в результатах поиска будет снята. Для того чтобы снять пометку как можно быстрее, сразу после удаления кода вы можете запросить перепроверку сайта." Проверил сайт несколькими антивирусами все чисто, что Яша имеет введу, может кто уже получал такие письма счастья. Никаких новых партнерок в последнее время не ставил.

10.02.2010, 16:16	#6
Маленькая сосна дендромутант-антропоморф Регистрация: 21.11.2007 Адрес: РФ Сообщений: 1,826 Вес репутации: 272	А ЯВМ не пишет на каких конкретно страницах что ему не нравится? В Гугле я как-то смотрела, он вроде бы даже кусок этого самого "вредоносного кода" показывает. __________________ Дерево-блондинко

10.02.2010, 16:39	#9
Maksim84 Новичок Регистрация: 21.10.2008 Сообщений: 59 Вес репутации: 191	да у меня рукописный шаблон по include собирается Добавлено через 7 минут посмотришь? Последний раз редактировалось Maksim84; 10.02.2010 в 16:39. Причина: Добавлено сообщение

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Яндекс вредоносный сайт.	i298	Курилка	0	22.04.2009 13:58

10.02.2010, 16:03	#4
Alex_11 Новичок Регистрация: 08.10.2007 Сообщений: 35 Вес репутации: 203	этот код вставляется вниз всех файлов index.* default.* и всех *.js придется вручную почистить сайт. код написан на яваскрипте и сразу узнаваем. Да, и смените пароль на ftp

10.02.2010, 16:06	#5
Djeremy Мастер Регистрация: 27.09.2008 Адрес: Уфа Сообщений: 594 Вес репутации: 209	имеется ввиду вирусный код...

10.02.2010, 16:18	#7
Maksim84 Новичок Регистрация: 21.10.2008 Сообщений: 59 Вес репутации: 191	просмотрел index.php вроде только мои партнерки, может кто нибудь код в личке глянет, а то я не очень силен в html

10.02.2010, 16:25	#8
Djeremy Мастер Регистрация: 27.09.2008 Адрес: Уфа Сообщений: 594 Вес репутации: 209	у тебя какая CMS ? если джумла присылай мне свой шаблон, index.php

10.02.2010, 17:23	#10
abo Специалист Регистрация: 13.10.2007 Сообщений: 226 Вес репутации: 207	Явно троян залетел. Во-первых, смени пароль на ftp, на админку. Но мог вирус залететь и через "дыры" в php или sql коде. Если есть инклюды, то троянский код может в любых файлах содержаться. Индексные файлы заражаются по самому простому алгоритму, как правило в самый конец страницы, даже ниже </html>. Если ты на нормальном хостинге не на выделенном сервере - пусть ребята с хостинга проверят на вирусы весь сайт. В последнее время имеют место заражения от вредоностных сайтов analizersyscom, barigi. В прошлом году - от mcount... Это тебе контекст для поиска, например. Но код может быть зашифрован и иметь примерно такой вид \x2E\x6E\x65\x74 ... или такой 'm'+'c'+'ou'+'nt'+'.'+'n ... - в общем в глаза должен броситься. Алгоритм поиска такой: определить страницу, которая точно заражена, смотреть ее на сервере и если в ней ничего, то см. все инклюдные php файлы и js файлы. Можно посмотреть код страницы силами браузера - тогда, если в ней нет ничего подозрительного, то на 90% троян в подключаемом js файле, а не в php инклюде. А вот проверка файла на наличие вируса несколькими десятками антивирусов: www.virustotal.com/ru/ Но некоторые новейшие коды не разумеет.