 |
|
21/03/2012
Здравствуйте.
Вчера Яндекс радостно сообщил мне, что на моем сайте найден вредоносный код и благополучно забанил его. Теперь он предупреждает что сайт опасен, а фаерфокс вообще блокирует.
Очень не приятно накануне открытия сайта, остается только радоваться, что все-таки ДО открытия и запуска рекламной компании.
Сайт на Wordpress, шаблон, несколько плагинов с официального сайта вордпресс. Хостинг у majordomo.
Кто нибудь сталкивался с этим? Как бороться? Сайт снести и поставить из бекапа не проблема.. Но блокировка Яндекса не снимается так быстро... И где гарантия что вирус не подсунули на сайт до бекапа.
Вчера Яндекс радостно сообщил мне, что на моем сайте найден вредоносный код и благополучно забанил его. Теперь он предупреждает что сайт опасен, а фаерфокс вообще блокирует.
Очень не приятно накануне открытия сайта, остается только радоваться, что все-таки ДО открытия и запуска рекламной компании.
Сайт на Wordpress, шаблон, несколько плагинов с официального сайта вордпресс. Хостинг у majordomo.
Кто нибудь сталкивался с этим? Как бороться? Сайт снести и поставить из бекапа не проблема.. Но блокировка Яндекса не снимается так быстро... И где гарантия что вирус не подсунули на сайт до бекапа.
 |
|
21/03/2012
Выяснить, что за вирус, прочитать про него (куда и как пишется). После удалить/залить из бэкапа.
У нас была похожая ситуация, чем оперативнее, тем быстрее будут сняты санкции. Было все это до появления соответствующего раздела в вебмастере. Особо не отразилось ни на чем, но и сняли за 1-2 часа. Файрфоксовская блокировка только долго висела, но мы постоянно посылали запросы оттуда, что все в порядке.
У нас была похожая ситуация, чем оперативнее, тем быстрее будут сняты санкции. Было все это до появления соответствующего раздела в вебмастере. Особо не отразилось ни на чем, но и сняли за 1-2 часа. Файрфоксовская блокировка только долго висела, но мы постоянно посылали запросы оттуда, что все в порядке.
 |
|
21/03/2012
Яндекс задолбал.
На двое суток навесили на два наших сайта ярлыки - "Сайт может угрожать безопасности вашего компьютера".
Вердикт - "поведенческий анализ", что это значит знают наверное только сами Платоны.
Через какое-то время отвалилось само, но
ни тебе извините, ни простите.
Делают че хотят.
Нервы, клиенты, время по херу.
На двое суток навесили на два наших сайта ярлыки - "Сайт может угрожать безопасности вашего компьютера".
Вердикт - "поведенческий анализ", что это значит знают наверное только сами Платоны.
Через какое-то время отвалилось само, но
ни тебе извините, ни простите.
Делают че хотят.
Нервы, клиенты, время по херу.
 |
|
21/03/2012
Та же ерунда, причем сразу на обоих сайтиках вордпресс. Сайты - один текст, ничего сложного, и пара официальных плагинов. Пыталась смотреть хтмл код "зараженной" страницы, ничего лишнего не вижу. Пишу программисту чтобы посмотрел..
|
|
|
21/03/2012
На моем акаунте у хостера несколько сайтов. Все на вордпресс и все заражены.
Один, самый важный, я сразу же снес, чтобы яндекс скорее снял блок. А второй оставил для препарирования. Если интересно ссылка вот comtel.bz
ОСТОРОЖНО! ТАМ ВИРУС!
У меня на компе винда 7, браузер Опера
Наблюдения такие- при заходе на сайт- в трее появляется значок Java- Очевидно запускается ява-машина. Потом появляется несколько окошек с ошибками от VBS - Visual Basic Script, скрипты находятся в AppData/Local/Temp. Потом начинает орать касперский, находит вирус Exploit.Java.CVE-2011-3544 уже на моем компе.
Информация по данному вирусу http://www.securelist.com/ru/blog/40915/rss/blog
Вобщем на сайте какой-то вирус, использующий дыру в ява-машине, через которую он проникает на комп. Вопрос только в том, как он попал на сайт. Хостеру я писал об этой проблеме, кидал ссылку на статью яндекса о том, что это у хостеров вирусы. На что хостер поржал, сказал что у них UNIX и там не бывает вирусов и что они не оказывают услуг по удалению вирусов с сайтов клиентов, после чего послал меня куда подальше.
Один, самый важный, я сразу же снес, чтобы яндекс скорее снял блок. А второй оставил для препарирования. Если интересно ссылка вот comtel.bz
ОСТОРОЖНО! ТАМ ВИРУС!
У меня на компе винда 7, браузер Опера
Наблюдения такие- при заходе на сайт- в трее появляется значок Java- Очевидно запускается ява-машина. Потом появляется несколько окошек с ошибками от VBS - Visual Basic Script, скрипты находятся в AppData/Local/Temp. Потом начинает орать касперский, находит вирус Exploit.Java.CVE-2011-3544 уже на моем компе.
Информация по данному вирусу http://www.securelist.com/ru/blog/40915/rss/blog
Вобщем на сайте какой-то вирус, использующий дыру в ява-машине, через которую он проникает на комп. Вопрос только в том, как он попал на сайт. Хостеру я писал об этой проблеме, кидал ссылку на статью яндекса о том, что это у хостеров вирусы. На что хостер поржал, сказал что у них UNIX и там не бывает вирусов и что они не оказывают услуг по удалению вирусов с сайтов клиентов, после чего послал меня куда подальше.
|
|
|
21/03/2012
Еще я заметил, что в HTML коде сайта появилась строка подгрузки JS скрипта c bip-count.info/style.js
Что это я тоже не знаю. Видимо тоже имеет отношение к делу
Что это я тоже не знаю. Видимо тоже имеет отношение к делу
 |
|
21/03/2012
Skaf:
На что хостер поржал, сказал что у них UNIX и там не бывает вирусов
На что хостер поржал, сказал что у них UNIX и там не бывает вирусов
Как всегда гениально. Вопрос только в том что сайт который хостится на их UNIXе завирусован.
|
|
|
21/03/2012
У меня касперский на сайте распознал - Trojan.VBS.Agent.nk
Да, последняя строка в html - классика заражения:) Во внутри документа правильно вставить ссылку на вирус сложно. Поэтому тупо дописывают в начало/конец файла.
Самая частая причина заражения: вирус на компе+настроенный популярный ftp клиент, к пример. Настроенный - это где не надо пароль вводить, он запомнен по умолчанию. По сути заразится все и сразу, до чего есть доступ через этот фтп клиент.
Более редкое, через ПО хостера, так обычно весь сервак заражают разом. Но там доказать что-то сложно.
Да, последняя строка в html - классика заражения:) Во внутри документа правильно вставить ссылку на вирус сложно. Поэтому тупо дописывают в начало/конец файла.
Самая частая причина заражения: вирус на компе+настроенный популярный ftp клиент, к пример. Настроенный - это где не надо пароль вводить, он запомнен по умолчанию. По сути заразится все и сразу, до чего есть доступ через этот фтп клиент.
Более редкое, через ПО хостера, так обычно весь сервак заражают разом. Но там доказать что-то сложно.
|
|
|
21/03/2012
если что, найден такой подозрительный код в шаблоне активной темы (аж в нескольких файлах):
iframe width="1" height="1" frameborder="0" scrolling="no" src="http://hotlog.***.com/vse" iframe
удалили, будем смотреть, поможет или нет
iframe width="1" height="1" frameborder="0" scrolling="no" src="http://hotlog.***.com/vse" iframe
удалили, будем смотреть, поможет или нет
|
|
|
21/03/2012
kuzmin, вирус ещё считывает пароли от ftp в кэше браузера.
|
|
|
21/03/2012
Вобщем я был прав. bip-count.info/style.js и есть вирус. Я добрался таки до исходников. Если интересно могу показать. Они правда зашифрованы.
|
|
|
21/03/2012
Их суть в том, что они подгружают Java-аплет. Ну и пошло поехало.
|
|
|
21/03/2012
Да, у меня пароль от FTP был сохранен в Total Commander'е
У меня кстати лицензионный касперский.
Срочно все пароли меняю, весь сервер очищаю, все переустанавливаю и к своим серверам, к клиент-банку и т.д. с винды больше ни ногой, благо рядом ноут с линуксом. Чего и вам советую.
У меня кстати лицензионный касперский.
Срочно все пароли меняю, весь сервер очищаю, все переустанавливаю и к своим серверам, к клиент-банку и т.д. с винды больше ни ногой, благо рядом ноут с линуксом. Чего и вам советую.
|
|
|
21/03/2012
qualified:
вирус ещё считывает пароли от ftp в кэше браузера
вирус ещё считывает пароли от ftp в кэше браузера
? не совсем понял. Через браузер мало кто по фтп ходит.
Можно еще проще поступить:) Просто ждать ftp соединения и просто считать пароль. Он же там в открытом виде идет. По этому надо начинать с своего компьютера и чистить в первую очередь его.
Ответить
