Спрашивайте и помогайте

Присоединяйтесь к сообществу профессиональных веб-мастеров PR-CY, отвечайте на вопросы коллег и задавайте свои.

Q&A SEO

Вирус на сайте

umedmoderator umedmoderator  
126
  18.10.2012 23:43       800     Помощь  
Привет - народ. На одном из моих ресурсов Касперский выдает вирус: HEUR:Trojan.Script.Generic

При этом есть интересный момент, каспер видит вирус только на главной, на статичных страницах, постах и рубриках - касперский спокоен, хоть и выдает предупреждение перед открытием - что мол сайт может быть опасен.  Сайт на wordpress-е, и я проверил все файлы шаблона - ничего нет. Движок тоже пере-залил.

Как вы думаете, в чем может быть проблема ?

Ответы на пост (32) Написать ответ
orange-tvv orange-tvv
127
19.10.2012 00:03
"Движок тоже пере-залил."
с одной стороны зря.
смотри в темах.
инфо поищите здесь.
поиском не умеете пользоваться.
ищите его в js скриптах. htaccess, index.php и проверить на залиты ли левые файлы.
партнерки стоят?
0
umedmoderator umedmoderator
126
19.10.2012 18:15
Партнерок нет, js скрипты не пользуются (кроме движка), .htaccess практически пустой.
0
orange-tvv orange-tvv
127
20.10.2012 00:00
js в самом движке.
движок перезалил, а плагины?
0
umedmoderator umedmoderator
126
20.10.2012 08:58
Плагины тоже.
0
miri miri
0
19.10.2012 01:18
так напишите в службу поддержки касперского, они отправят вам ссылки на файлы, и укажут какой код , служба работает шустро
0
umedmoderator umedmoderator
126
19.10.2012 08:23
Написал на почту: Info@kaspersky.com - ответили: За разрешением этого вопроса обратитесь, пожалуйста, в нашу вирусную лабораторию: newvirus@kaspersky.com
Отправил по второму адресу - от туда пришел ответ что к письму не прикреплен вирусный файл.
Куда писать непонятно.
0
miri miri
0
24.10.2012 02:09
разобрались с вирусом или нет, если нет я вам написал в аську ответьте
0
umedmoderator umedmoderator
126
24.10.2012 19:56
К сожалению не получилось избавится.По асе ничего не получал.
0
Heliax Heliax
79
19.10.2012 08:43
Лучше сам найди и ликвидируй это дерьмо. И опыт бесценный получишь, и о слабых местах своего сайта будешь знать побольше (ведь если зараза один раз уже проникла, значит проникнет и еще раз - нужно закрыть дыру, а не просто вылечить сайт).
0
umedmoderator umedmoderator
126
19.10.2012 13:27
Спасибо за совет, но опыт уже есть. Как то зашел с незащищенного компа и загрузил трояндовнлоадер. Тогда были заражены файлы index.php во всех папках. Тут что то новое.
0
Denismbox Denismbox
168
19.10.2012 10:40
Да вам писать никуда не нужно, не вирус на вашем сайте, а червяк. Он переправляет пользователя на ссылку, которая и ведёт на сайт с трояном.

Вам нужно проверить ваш компьютер на предмет гадости, изменить пароль на FTP, почистить файлы сайта от вредоносного кода и поменять после этого пароль на FTP ещё раз.
Кстати, если только на главной, то скорее всего зараза или в .htaccess или в партнёрке.
0
umedmoderator umedmoderator
126
19.10.2012 13:29
FTP не использую, на хостинге доступ по нему закрыт.
Клмпютер чист, стоит АВК. .htaccess - пустой, никаких команд не содержит.
0
Denismbox Denismbox
168
19.10.2012 13:43
ну есть вариант, что зараза попала со стороны хостера, но это весьма призрачно, тогда скорее всего партнёрка
0
Denismbox Denismbox
168
19.10.2012 13:44
как вы файлы на хост выгружаете?
0
umedmoderator umedmoderator
126
19.10.2012 18:13
Там установлена cms - wordpress, и выгружать файлы через FTP или хостинг-панель нет необходимости. Контент можно загружать через административную панель.
0
Rewersive Rewersive
220
19.10.2012 12:05
Дешевый хостинг = дорогой путь к поисковым позициям. Хостер виноват.
0
umedmoderator umedmoderator
126
19.10.2012 13:30
СпейсВэб - не самый дешевый хостинг.
0
Heliax Heliax
79
19.10.2012 14:02
А можно ссыль на сайт? Хочу глянуть на результат работы этого безобразия.
0
umedmoderator umedmoderator
126
19.10.2012 18:10
отправил в личку
0
pervayaeva pervayaeva
15
19.10.2012 21:06
Касперский, когда верещит о вирусе, указывает где и какой вирус находиться. У меня как то появился вирус после обновления плагина соц. кнопок. Отключил плагин (затем удалил) и все, тишина.
0
umedmoderator umedmoderator
126
19.10.2012 22:56
Вот что появляется на моем экране: http://rghost.ru/41037136/image.png
0
pervayaeva pervayaeva
15
19.10.2012 23:11
http://antivirus-alarm.ru/proverka/?url=http%3A%2F%2Fmetallobazy.ru

Показывает, что все чисто
0
orange-tvv orange-tvv
127
20.10.2012 15:32
umedmoderator, ссылку то же сбросьте
0
orange-tvv orange-tvv
127
20.10.2012 15:34
может не в сайте дело, а в компе.
0
umedmoderator umedmoderator
126
20.10.2012 18:10
отправил url в личку.
0
orange-tvv orange-tvv
127
20.10.2012 19:22
umedmoderator, полазил по сайту то же никто не пикнул из антивирусов.
так и думал вирус на компе у вас.
в папке application, вот этот самый файл browser.exe и есть вирус. нужно удалить его.
папка скрытая, чтобы увидеть ее нужно права админа.
0
umedmoderator umedmoderator
126
20.10.2012 21:51
Спасибо за отклик, но это немного другое. На снимке показано какой файл может загрузить вирус, и это браузер яндекс-хром. К примеру если зайти через мазилу - то показывается совсем другая папка, а через ie - третья.
0
orange-tvv orange-tvv
127
20.10.2012 22:36
выложи скрин что показывает при заходе через мозилу.
0
orange-tvv orange-tvv
127
20.10.2012 22:44
Если файл browser.exe находится не в каталоге по умолчанию, это может указывать на заражение вирусами. Проверьте компьютер антивирусом.
0
umedmoderator umedmoderator
126
21.10.2012 09:53
Вот скрин с мазилы:
http://rghost.ru/41061157.view
Папки, которые хочет атаковать вирус, абсолютно разные.
0
umedmoderator umedmoderator
126
21.10.2012 09:53
То есть, вот: http://rghost.ru/41061157/image.png
0
orange-tvv orange-tvv
127
22.10.2012 00:35
проверь все файлы сайта на содержание такого текста eval или eval(base64_decode .....

если не перезалил бы было легче.
входишь по фтп, смотришь дату изменения файлов(ты ведь знаешь когда заливал на хостинг wp и всякие модули). при прописке вируса в файл, изменяется дата на хостинге этого файла. и тот файл который имеет позднюю дату сравниваешь с оригиналом(на компе должен быть у тебя) смотришь на размер(размер больше чем у оригинального) перезаливаешь.
если нет таких файлов - смотришь(сравниваешь с оригиналом) и ищешь посторонние файлы.

таким способом в начале года очистил 10 сайтов с вирусом за час
можешь почитать еще
http://anokalintik.ru/lechit-sajty-na-wordpress-ot-virusov.html
0