На сайте обнаружен потенциально опасный код

Xtrance Xtrance   18.04.2012 22:29   736  
Добрый день! Сегодня на всех сайтах (7 шт) в яндекс вебмастере отмечено, что Сайт содержит код, который может быть опасен для посетителей. У меня 2 сервера, и на обоих каким то образом появился вредоносный код. Может быть такое, что это просто очередной глюк яндекса?



5 дней назад на 2-х сайтах пропали все страницы за один день, из-за проблем DNS: 15.04.2012 DNS-сервер не вернул нашему роботу IP-адрес Вашего сайта, поэтому сайт не был проиндексирован и в поиске не участвует. Пожалуйста, воспользуйтесь формой проверки. Если сервер отдает HTTP-код 200, то сайт начнет индексироваться в течение 2 недель, после чего сообщение обновится. Если установить соединение с сервером не удается, то по вопросу устранения проблемы Вам нужно обратиться к Вашему провайдеру или хостеру.



Домены зарегистрированы через 2domains.ru, и используют DNS регистратора reg.ru, все сайты которые используют эти DNS отмечены как опасные. Несколько сайтов используют свои DNS, но они находятся на хостинге у знакомого (с ними проблем нет), в моей панеле вебмастера этих сайтов нет. Может быть, что этот код появился через DNS регистратора? И возможно, что 2 сервера взломали? Один сервер обычный, а другой абузоустойчивый.



В логах хостинга все нормально, последний вход на сервер был почти месяц назад.

Ответы на вопрос (19) Написать ответ
mav123 mav123   18.04.2012 22:38
Хостер что говорит?
> Может быть, что этот код появился через DNS регистратора?
- reg.ru пихает код через DNS?! О_о
> И возможно, что 2 сервера взломали?
- здесь всё возможно. Почему нет?
0
Решение
Xtrance Xtrance   18.04.2012 22:41
Хостеру не писал. Просто странно, что легле сайты, которые идут через DNS регистратора, 1 только жив, который через DNS сервера, но он нулевой.
0
mav123 mav123   18.04.2012 22:51
А где связь вредоносного кода и DNS?
Был косяк с DNS, Яша выкинул из поиска. Вредоносный код - это уже вторая история. Если сам ничего не добавлял сомнительного, значит добавил злоумышленник. Вопрос к безопасности хостера, а не к DNS. А взломали один серв, оба, или десять сразу - вопрос к методике взлома.

"Пожалуйста, воспользуйтесь формой проверки". Что за форму дали? О чём сообщила проверка?
0
Xtrance Xtrance   18.04.2012 23:03
http://webmaster.yandex.ua/server-response.xml?url=site.ru&useragent=robot . Статус 200 ОК,
0
mav123 mav123   18.04.2012 23:25
Ну с этим всё ок значит. А про взлом, теперь стандартная процедура. Чистим вирусы на машине, меняем пароли от всего, удаляем код, держим движки без левых расширений и регулярно обновляем.
0
Xtrance Xtrance   18.04.2012 23:39
Не получается найти код, файлы изменялись последний раз 10.04.
0
Xtrance Xtrance   18.04.2012 22:43
А может быть, что просто яша глучит? Просто не реально как то все сайты сразу.
0
Xtrance Xtrance   18.04.2012 22:44
В вебмастеру гугл кода не обнаружено.
0
mav123 mav123   18.04.2012 22:52
Код-то нашёл? Что хоть вставили-то?
0
Xtrance Xtrance   18.04.2012 23:04
Кода еще не нашел, перерыл кучу файлов, но безполезно(
0
Denismbox Denismbox   19.04.2012 14:41
>Кода еще не нашел, перерыл кучу файлов, но безполезно(
В .htaccess загляните, может стоять редирект.
0
revizor201 revizor201   18.04.2012 23:13
У меня сервер на reg.ru. Тоже взломали месяца два назад. На 4 сайтах яндекс показал потенциально опасный код. Скорее всего залит шелл, через дырки движка, либо троянец на компе был, который ворует FTP пароли. Когда начал лопатить файлы по дате изменений, то во всех файлах с расширенеим .html .htm были добавлены в конце страницы по два вредоносных скрипта. При обходе яндекс сразу реагировал на эти страницы и помечал сайты как вредные. Плюс проверь файлы js шаблона и движка, у меня они также были изменены, пришлось заливать оригинальные
0
Xtrance Xtrance   18.04.2012 23:20
У меня стоит Wordpress, Joomla и DLE 9.5, на первых 2 реально залить шелл? на дле 9.5 дырки вроде уже нет, как бы исправили. А на счет трояна, может быть, вчера попал в компьютер троян, но удалить антивирус его не смог.
0
revizor201 revizor201   19.04.2012 00:04
у меня все на DLE ломанули
0
Xtrance Xtrance   19.04.2012 00:11
какая версия? знаю на до 9.0 дырка есть.
0
revizor201 revizor201   19.04.2012 00:34
9.2
0
krava11111 krava11111   19.04.2012 08:55
Товарищи! счас идет масовыый брут админок, ставьте нормальные пароли и прячте Ваши админки, и никто Вас не взломает,
у меня ведутся логи файлов какие запрашиваются + пишется айпишник, пока не забаниш IP так и будут брутить фейковый admin.php
0
Xtrance Xtrance   19.04.2012 13:37
У меня админки на DLE переименованы, и все равно взломали как то. Также joomla, worpress.
0
Denismbox Denismbox   20.04.2012 13:11
да не через админку заливают, видимо в скрипте дыру нашли, смотрите гадость в JS файлах
0

Войдите, чтобы написать ответ
Вход Регистрация


Продвигаете Адалт, Казино, Фарм? Для вас есть трастовые площадки под ВЕЧНЫЕ ССЫЛКИ!