Как удалить втрус с сайта

biv13 · 15.10.2008, 19:37

На сайте обнаружен вирус и он не прошел модерацию. Посоветуйте, как можно вирус удалить?

Sega · 15.10.2008, 19:39

проверить исх. коды

Massacre · 15.10.2008, 19:42

проще всего - поискать в коде сайта по ключевому слову iframe (как правило ближе к концу главной страницы) и удалить такую строку. затем надо озаботиться сменой паролей и проверкой домашней/рабочей машины на вирусы

Ethan · 16.10.2008, 12:42

Цитата:

Сообщение от Massacre

проще всего - поискать в коде сайта по ключевому слову iframe (как правило ближе к концу главной страницы) и удалить такую строку. затем надо озаботиться сменой паролей и проверкой домашней/рабочей машины на вирусы

все верно, также поищите JS код

Кстати, а что за движок?

biv13 · 16.10.2008, 17:22

Цитата:

Сообщение от Ethan

все верно, также поищите JS код

Кстати, а что за движок?

Wordpress. А может быть вирус в тегах <script></script>?

zhegloff · 16.10.2008, 17:27

Цитата:

Сообщение от biv13

Wordpress. А может быть вирус в тегах <script></script>?

Запросто.

biv13 · 16.10.2008, 21:20

Удалил из файла index.php JS, а на сервисе http://www.taghosting.ru/online_services/antivirus/ все равно показывается, что сайт заражен. Какие еще файлы стоит проверить?

MS555 · 16.10.2008, 22:55

biv13, скачай себе файлы с сервера и упорядочь по дате изменения-создания) и проверяй каждый.. если сложно понять из какого вирус подгружается.

shr · 16.10.2008, 23:43

Есть ряд шагов, которые нужно сделать. Все описывать лениво. Для начала удалите пароль из вашего фтп-клиента, если вы его сохраняли. Просканьте скрипты на наличие изменений, например вот этим (автор неизвестен, я чуть подправил, добавив возможность скана по дате):

PHP код:


			
<?php

$event_date="20081010";

$event_timestamp=strtotime($event_date);



function main($s){

global $event_timestamp;

$file_list = glob($s."*", GLOB_NOSORT);

for ($i=0;$i<count($file_list);$i++)

    if (is_dir($file_list[$i]."/")) main($file_list[$i]."/");

    else if (filesize($file_list[$i])<400000 && $file_list[$i]!="f4.php"

    && (filemtime($file_list[$i])>$event_timestamp || filectime($file_list[$i])>$event_timestamp))

        if($_GET['str']){

            $fp=fopen($file_list[$i], "r");

            $b = 0;

            while (!feof($fp)){

                $s = fgets($fp);

                if (strpos($s, $_GET['str'])) $b = 1;

            }

            fclose($fp);

            if ($b) echo $file_list[$i]." - ".date("H:i:s d M",filemtime($file_list[$i]))."<br>";

        }

        else echo $file_list[$i]." - ".date("H:i:s d M",filemtime($file_list[$i]))."<br>";

}



main("");

echo "finish";

?>

Правите в нем дату на свою и он показывает все файлы, измененные или созданные с этого момента. Если вызвать с параметром str: f4.php?str=iframe ,скрипт покажет только файлы которые еще и строку содержат заданную.

Находите гадость, скорее всего где-то будет залит шелл. Удаляете. После этого сканите комп авнтивирусами и ставите новый пароль.

Вкратце. Если нужно, могу помочь, но за деньги. Опыт есть, при желании могу дать ссылку на портфель и такие работы по удалению нечисти с сайтов.

nikonoff · 17.10.2008, 01:13

Для начала проверьте все страницы, которые начинаться с index.php или index.html (htm) на наличие вредоносного кода. Если вас палтнул гугл, то отпишите в поддержку, что все исправили, за сутки поправят.

15.10.2008, 19:37	#1
biv13 Новичок Регистрация: 15.10.2008 Сообщений: 3 Вес репутации: 0	Как удалить втрус с сайта На сайте обнаружен вирус и он не прошел модерацию. Посоветуйте, как можно вирус удалить?

15.10.2008, 19:42	#3
Massacre Эксперт Регистрация: 04.05.2007 Адрес: Kiev, UA Сообщений: 3,649 Вес репутации: 313	проще всего - поискать в коде сайта по ключевому слову iframe (как правило ближе к концу главной страницы) и удалить такую строку. затем надо озаботиться сменой паролей и проверкой домашней/рабочей машины на вирусы __________________ NEON2 NCC системный интегратор. Установка кода SAPE (от $10), бесплатные консультации клиентам (рефералам). Аттестат продавца.

16.10.2008, 23:43	#9
shr Специалист Регистрация: 25.09.2007 Сообщений: 361 Вес репутации: 212	Есть ряд шагов, которые нужно сделать. Все описывать лениво. Для начала удалите пароль из вашего фтп-клиента, если вы его сохраняли. Просканьте скрипты на наличие изменений, например вот этим (автор неизвестен, я чуть подправил, добавив возможность скана по дате): PHP код: <?php $event_date="20081010"; $event_timestamp=strtotime($event_date); function main($s){ global $event_timestamp; $file_list = glob($s."*", GLOB_NOSORT); for ($i=0;$i<count($file_list);$i++) if (is_dir($file_list[$i]."/")) main($file_list[$i]."/"); else if (filesize($file_list[$i])<400000 && $file_list[$i]!="f4.php" && (filemtime($file_list[$i])>$event_timestamp \|\| filectime($file_list[$i])>$event_timestamp)) if($_GET['str']){ $fp=fopen($file_list[$i], "r"); $b = 0; while (!feof($fp)){ $s = fgets($fp); if (strpos($s, $_GET['str'])) $b = 1; } fclose($fp); if ($b) echo $file_list[$i]." - ".date("H:i:s d M",filemtime($file_list[$i]))."<br>"; } else echo $file_list[$i]." - ".date("H:i:s d M",filemtime($file_list[$i]))."<br>"; } main(""); echo "finish"; ?> Правите в нем дату на свою и он показывает все файлы, измененные или созданные с этого момента. Если вызвать с параметром str: f4.php?str=iframe ,скрипт покажет только файлы которые еще и строку содержат заданную. Находите гадость, скорее всего где-то будет залит шелл. Удаляете. После этого сканите комп авнтивирусами и ставите новый пароль. Вкратце. Если нужно, могу помочь, но за деньги. Опыт есть, при желании могу дать ссылку на портфель и такие работы по удалению нечисти с сайтов.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Как удалить склейку?	Warchild	Курилка	10	15.07.2010 21:00
удалить - добавить	Infinity-x	Вопросы от новичков	0	17.04.2008 00:01

15.10.2008, 19:39	#2
Sega Мастер Регистрация: 15.03.2008 Адрес: Cayman Islands Сообщений: 807 Вес репутации: 243	проверить исх. коды

16.10.2008, 21:20	#7
biv13 Новичок Регистрация: 15.10.2008 Сообщений: 3 Вес репутации: 0	Удалил из файла index.php JS, а на сервисе http://www.taghosting.ru/online_services/antivirus/ все равно показывается, что сайт заражен. Какие еще файлы стоит проверить?

16.10.2008, 22:55	#8
MS555 Эксперт Регистрация: 02.09.2008 Адрес: РФ Сообщений: 1,007 Вес репутации: 225	biv13, скачай себе файлы с сервера и упорядочь по дате изменения-создания) и проверяй каждый.. если сложно понять из какого вирус подгружается.

17.10.2008, 01:13	#10
nikonoff Мастер Регистрация: 29.11.2007 Адрес: Milwall Сообщений: 512 Вес репутации: 217	Для начала проверьте все страницы, которые начинаться с index.php или index.html (htm) на наличие вредоносного кода. Если вас палтнул гугл, то отпишите в поддержку, что все исправили, за сутки поправят.