[X] Помощник

[koninana Topic Starter]

Привет всем!

В блогах вордпресс яндекс нашел Mal/JSIfrLd-A

То появляется, то нет, ифрейм 1х1 еле заметный.

Поиск по коду внутир файлов на фтп ничего не дал. Ну нет нигде никаких фреймов и такого кода. Наверное вставляется как-то через пхп, но как - не знаю. Инфы в инете не нашел.
Помогите пожалуйста отловить. Какие у меня варианты?

Сообщение отредактировал koninana - 14.2.2012, 4:50

[Electric]

Писал в АСЬку - никакого ответа.

По недавно леченым сайтам - пока не проявлялось.

[DeKor]

Огромное спасибо Electric за зачистку сайта от Mal/JSIfrLd-A
Яндекс показал что на сайте и поддомене сидит этот вирус, в поиске стал показывать, что сайт угрожает безопасности, на сайте http://sitecheck.sucuri.net тоже показывало, что сайт с вредоносным кодом.
учитывая, что на хостинге файлов много, включая плагины и темы, то самостоятельно бы не нашел никогда этот код.
Обратился за помощью к Electric о зачистке, в течении дня сайт был вычищен, "левые" плагины снесены, пароли поменяны и теперь яндекс снимает со страниц сайта "угрозу".

пару лет назад потерял целый проект из-за вирусов, т.к. хостер удалил аккаунт из-за постоянных аттак, теперь есть человек, к которому могу обратиться.
еще раз спасибо!

P.s. не качайте плагины со сторонних сайтов, лучше отказаться от какого-то "прибамбаса", чем потом рвать волосы, рискуя потерять проект.

[Electric]

Ко мне обратился один клиент, у которого сайт завирусован. Ему написал регистратор (предварительно отключив домен):

Мы подозреваем, что в отношении вашего вебсайта ********.ru совершены мошеннические действия. В настоящее время ваш вебсайт предоставляет некоему лицу ресурсы для осуществления фишинга в отношении ХХХХХХХХХ.
Просим вас немедленно удалить все каталоги и файлы, являющиеся источником мошеннических действий, и предпринять меры для защиты своего вебсайта, безопасность которого в настоящее время находится под угрозой.

Похоже этот вирус начал очень опасную деятельность...

Вот бы руки поотрубывать этим вирусо писателям!!! :mudak: :mudak: :mudak:

[DeKor]

Вот именно подобного плана пару лет назад я получал письма от своего хостера!
Эта дрянь от имени сайта рассылала спам-письма клиентам какого-то зарубежного сайта с запросом на предоставление данных по карте.

Сообщение отредактировал DeKor - 20.2.2012, 10:13

[Барбариска]

А с какой периодичностью заходит Яндекс на сайт проверять?
У меня не был с ночи 16-го.

[Electric]

Возможно ответы найдете тут: http://help.yandex.ru/webmaster/?id=1059440

Вот что пишут:

Как часто происходят проверки?

Периодичность проверок может отличаться для разных сайтов. Невозможно гарантировать, что какой-то определенный сайт был или будет проверен в строго определенное время. Поэтому данные о появлении вредоносного кода на сайтах или его устранении могут обновляться с задержкой.

Если было выявлено, что сайт заражен, он обязательно будет в дальнейшем перепроверяться. С каждой новой проверкой интервалы между ними будут становиться больше. Поэтому чем раньше будет найден и устранен вредоносный код, тем оперативнее Яндекс об этом узнает и снимет пометку о потенциальной опасности сайта.

Почистил еще с полдюжены сайтов...
На одном из них был РНРмейлер что спамил... а на другом в одной из папок лежал ехе-шник...
Ранее чищенные сайты без изменений.

[DeKor]

Мы не одиноки во вселенной с этим геммором.
Нашел пост по Mal/JSIfrLd-A: http://kommersantik.com/safety/319.html
и вдобавок сам пробежался по сайту еще разик.
и тоже был замечен файл в папке cgi-bin под названием feed-atom.cgi - казалось бы обычный рабочий скриптик, погда открыл просмотр, то увидел что строчек на 10 идет непрерывный код из символов. Сомневаюсь, что он был для оптимизации сайта, снес его и папку тут же, на сайте изменений нет, но думаю что с действием не ошибся.
Также избавился от всех плагинов, которыми не особо пользовался и которые скачивал не с wordpress.org
Плагин TINY MCE снес и скачал опять же с wordpress.org - нашел на зарубежном сайте инфу, что вследствии бешенной популярности этого плагина его облюбовали "вирусологи" и выкладывают с учетом "дополнений" на различных сторонних сайтах.

А теперь расскажу про историю которая случилась раньше:
где-то года 2 назад был проект один - сделал и сопровождал сайт для агентства по страхованию. В один из дней от хостера прилетело письмо "мы подозреваем, что в отношении вашего вебсайта ********.ru совершены мошеннические действия." и т.д. (похожий текст есть выше). У меня паника, какие нафиг мошеннические действия?! Я сразу писать в поддержку сайта. Мне стали скидывать ссылки по которым сидит код. Зараза прописалась в папках, файлы я успешно чистил, с сайта блокировку снимали, но буквально через 2-3 дня опять приходило письмо и сайт опять блокировали. Со службой поддержки сделали бэкап сайта, дня 3 проработал и опять рухнул. Потом с какого-то агентства по кибермошенничеству из США пришло письмо что с сайта идет рассылка писем клиентам какого-то Штатовского банка с просьбой предоставить данные по банковским картам. Агентство попросило предоставить архив с сайтом на анализ. Погуглил и убедился, что контора на самом деле серьезная и действительно занимается "вирусологией". Но, хостер тупо снес мой аккаунт и сайт и лишил доступа, сославшись на пункт "договора", что они вправе это сделать, в случае фишинга, деньги за пол года также они оставили себе.
Паника у меня была не передать какая, т.к. проект был работающий, делался под заказ. Пришлось за неделю на новом "нормальном" хостинге собирать ВСЕ С НУЛЯ!
уже 2 года сайт работает без сбоев, "технических работ на сервере" и подобной шляпы.

К чему рассказываю? Наличие данного вируса - это не просто "пичаль", а очень серьезный факт... на своем же примере прочувствовал что значит "потерять" проект и делать с нуля.
Сейчас по 10 раз на дню прогоняю другой сайт, на котором несколько дней назад был выявлен код и вычищен Electric(ом), захожу в Яндекс, "рецидивов" вроде нет, надеюсь "угрозу" Яндекс к концу недели снимет.

Что могу посоветовать вдобавок ко всему:
не пользуйтесь различного рода Filezilla и CuteFTP с кряками и кейгенами, взятыми с торрентов и различных сайтов. Сам "наелся" на этом, теперь только через cpanel хоста работаю.
Сделайте полную проверку антивирусом с учетом актуальных баз всех файлов на компе, поставьте файервол, поставьте запрет на модификацию svchost.
все плагины только с сайта wordpress.org, лучше ограничить себя в какой-то функции, чем потом через "дырку" в плагине полезет зараза на сервер. Даже плагин, написанный с нуля, под Ваш проект, не даст гарантии 100% безопасности, т.к. разработчик сам может не знать слабых мест.

[Konstant]

Мой сайт проходит сканирование http://sitecheck.sucuri.net/results/http://sdelai-saitik.ru/ нормально. Вирусняков ТИпо нет. Яша же пишет что там типо вирус сидит. Ток обнавляла последний раз 14 февраля (когда был вирус) она.

Также поясню, после отключения неких плагинов антивтрусный сайт (выше ссылка) перестал выдавать сообщение о вирусе.

[Rxp]

Мой сайт проходит сканирование http://sitecheck.sucuri.net/results/http://sdelai-saitik.ru/ нормально. Вирусняков ТИпо нет. Яша же пишет что там типо вирус сидит. Ток обнавляла последний раз 14 февраля (когда был вирус) она.

Также поясню, после отключения неких плагинов антивтрусный сайт (выше ссылка) перестал выдавать сообщение о вирусе.

Подобные сервичы - (http://sitecheck.sucuri.net) определяют не все вирусы, на них особо надеяться не стоит.

Стучите в асю (в профиле), найдем и удалим вирус, проверим сайт на все виды вируса и дадим рекомендации!

Сообщение отредактировал Rxp - 20.2.2012, 22:30

[Konstant]

Подобные сервичы - (http://sitecheck.sucuri.net) определяют не все вирусы, на них особо надеяться не стоит.

Стучите в асю (в профиле), найдем и удалим вирус, проверим сайт на все виды вируса и дадим рекомендации!

Жду в Асе.