На сайте обнаружены iframe-вставки, ссылающиеся на сомнитель

SSL, TLS, Web protect, etc.

Модераторы: Art.i, vasya

На сайте обнаружены iframe-вставки, ссылающиеся на сомнитель

Сообщение Ксения » Вс окт 13, 2013 11:00 pm

Доброго времени суток.
Прошу помощи в решении такой проблемы:
Вообщем у сайта упала статистика в два раза, если раньше на наш сайт в основном заходили из яндекса, то теперь яндекс исключил наш сайт из поиска.
Написала яндексу, они прислали ответ:
"Поиск Яндекса создан и развивается в соответствии с нашим представлением о том, какая информация является ценной для пользователя. Поэтому мы стараемся исключать или понижать в результатах поиска сайты, использующие обманные техники для автоматического перенаправления пользователей на страницы других доменов.

Ранее в коде части страниц Вашего сайта наши алгоритмы обнаружили код скрипта, меняющего окно результатов поиска на страницу другого сайта при переходе с поисковых машин. По этой причине мы были вынуждены временно исключить Ваш сайт из поиска. Подробнее об этом написано в нашем блоге – http://webmaster.ya.ru/replies.xml?item_no=1891 . В настоящий момент подобного перенаправления не наблюдается, и со временем Ваш сайт должен вернуться в поиск."

Это что же получается? Что еще за код такой? Это вирус?
Как его найти? и что собственно искать?

Еще в последние несколько дней я заметила, что раз в сутки, при первом посещении нажимаешь на любую кнопку на сайте и в соседнем окне открывается еще какой-то сайт. Не порно, просто какая-то ерунда.
--------------
есть такой бесплатный сайт, который проверяет сайты на вирус: http://2ip.ru/site-virus-scaner/
вот что пишет:
Подозрение на вирус!
На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.

Google.com относит данный сайт к безопасным
Yandex.ru относит данный сайт к безопасным

Как избавиться от этого кода? Как его найти и где?
просмотрела файл template.php - ничего подозрительного нет, никаких ссылок, а вот баннер на сайте раз в сутки вылазиет...
Ксения
 
Сообщений: 2
Зарегистрирован: Вс окт 13, 2013 10:55 pm

Re: На сайте обнаружены iframe-вставки, ссылающиеся на сомни

Сообщение Ксения » Вс окт 13, 2013 11:04 pm

прочитала тут вот что:

Поиск скриптов, рассылающих спам и файлов ботнета Zeus, Exploit Kit Redirect
Команда, которая не удалит ничего лишнего:
grep -Rils --include=\*.php -e ' n7b0ecdff' -e 'CmlmKGlzc2V0KCRfUE9TVFsiY29k' ./* | xargs rm
Эта команда найдет возможные спам-скрипты и сохранит их список в файл spam_scripts в директории, где вы сейчас находитесь:
grep -Rils --include=\*.php -e '\@\$emaillist\=\$_POST' -e '\$emaillist=' -e '\$smtp_username=' -e '\$smtp_password=' -e 'Sender Anonym Email' ./* > spam_scripts
Эта команда найдет различные ботнетовские редиректы, и сохранит их список в файл redirects в директории, где вы сейчас находитесь:
grep -Rils --include=\*.{php,htm,html} -e 'if(md5(md5(\$' -e 'h1\>Loading...' -e 'b\>Please wait a moment ...\ You will be forwarded. \<' -e '... Please wait...\<\/h3' -e 'You are here because one of your friends has invited you...\<br\>Redirecting...' -e 'bankofamerica' -e 'http:\/\/hellosomeguys' -e 'rldailynews.com' -e 'http\:\/\/.*doctor.*\.com' -e '\-\-81a338\-\-' -e '\; it.src = ' ./* > redirects
В результате выполнения этих команд, вы получите два списка файлов, которые необходимо вручную проверить: если среди них нет нужных файлов, то вы можете удалить все файлы из списка.


а где эти команды вставлять?
Ксения
 
Сообщений: 2
Зарегистрирован: Вс окт 13, 2013 10:55 pm

Re: На сайте обнаружены iframe-вставки, ссылающиеся на сомни

Сообщение Art.i » Вс окт 13, 2013 11:10 pm

Для чистки можете использовать следующую команду:
find ./ -type f -name \*.php -exec sed -i 's/^.*apartment-mall.*$//g' {} \;

Как работает:
— выполнять в каталоге сайта;
— *.php менять на расширение зараженных файлов;
— подстрока apartment-mall это часть домена «вражеского» сервера.
Не забывайте оценивать качество работы технической поддержки.
Art.i
Support team
 
Сообщений: 719
Зарегистрирован: Ср сен 25, 2013 2:07 pm

Re: На сайте обнаружены iframe-вставки, ссылающиеся на сомни

Сообщение swg » Пн окт 14, 2013 12:16 pm

Искать надо причину, обычно - утечка паролей FTP, дырявые скрипты (устаревшая cms). Просто так удалять файлы сайта нельзя, обычно "вирус" вносит в них изменения. Совет Art.i тоже может не привести к результату (даже с -exec sed), но всё же лучше, чем ничего.
swg
флудит форум
 
Сообщений: 2386
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: На сайте обнаружены iframe-вставки, ссылающиеся на сомни

Сообщение imperio » Пн окт 14, 2013 2:21 pm

swg, а вы какой совет можете дать, кроме как изменить пароли везде что и так очевидно?
От того что поменяются пароли, код вируса с сайта не исчезнет, к тому же в скрипте сайта может быть дыра. Также могли залить шелл на сайт, да что угодно...

Если вы видите каждое утро всплывающее окно и вы не знаете что это за окно, то понятно что на сайте посторонний код.
Обычно вирусы прячут в файл главной страницы шаблона или же в index.php
Хотелось бы ещё спросить какой у вас движок сайта.
Ещё хочу заметить что вирусы как правило начинаются с <iframe или <script
imperio
 
Сообщений: 179
Зарегистрирован: Чт ноя 29, 2012 8:12 pm

Re: На сайте обнаружены iframe-вставки, ссылающиеся на сомни

Сообщение swg » Пн окт 14, 2013 2:54 pm

Для вас очевидно, для ТС - совсем нет, так же как и причина утечки этих паролей.
Не всегда это посторонний код - например, вы можете использовать сторонний скрипт обратной связи для связи с клиентами, а его поломали.
Может, ТС догадается, что своими силами она проблему не решит и дистанционная помощь здесь вряд ли уместна.
swg
флудит форум
 
Сообщений: 2386
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: На сайте обнаружены iframe-вставки, ссылающиеся на сомни

Сообщение imperio » Пн окт 14, 2013 3:09 pm

Согласен с вами по поводу обратной связи и других компонентов сайта поэтому и сказал что что угодно.
Ну хотя бы примерно подсказали :)
imperio
 
Сообщений: 179
Зарегистрирован: Чт ноя 29, 2012 8:12 pm


Вернуться в Безопасность

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2