хитрый вирус на сайтах...
на одном из своих сайтов заметил вирус(перенаправляет на "zarabotai-vseti.ga"), но антивирусные сервисы показывают все чисто...
как вычислить куда залит /прописан вирус?
#1
11 июля 2016 в 03:28
#2
11 июля 2016 в 04:39
Дружище, а код вируса сюда можно? Будет код, решим, как вычислить.
lezginka.ru, у меня на версии 1.10.6 было такое, что в консоли куча перенаправлений отображалось, причём каждые 5-7 секунд новое перенаправление, но блокировалось адблоком. Я копал в файлах, но поиск не давал решительно ничего, тогда я стал смотреть откуда идёт перенаправление. Оказалось что такой эффект на странице одного юзера. У него на стене были залиты какие-то фотографии, ролики с ютуба и статьи. Я не стал вникать что именно является генератором исходящего спама, я просто поудалял все записи со стены. Проблема исчезла.
Сегодня в 17:25
#4
11 июля 2016 в 08:52
Странник, а как посмотреть код, где?
Дружище, а код вируса сюда можно? Будет код, решим, как вычислить.
#5
11 июля 2016 в 08:52
Raiden, тут чистая страница, только текст
lezginka.ru, у меня на версии 1.10.6 было такое, что в консоли куча перенаправлений отображалось, причём каждые 5-7 секунд новое перенаправление, но блокировалось адблоком. Я копал в файлах, но поиск не давал решительно ничего, тогда я стал смотреть откуда идёт перенаправление. Оказалось что такой эффект на странице одного юзера. У него на стене были залиты какие-то фотографии, ролики с ютуба и статьи. Я не стал вникать что именно является генератором исходящего спама, я просто поудалял все записи со стены. Проблема исчезла.
#6
11 июля 2016 в 08:56
Пришлите страницу и сам тексттолько текст
#7
11 июля 2016 в 10:00
lezginka.ru, поиском. Ищите стринг 'zarabotai-vseti.ga' в коде и в базе.
#8
11 июля 2016 в 18:36
Не думаю что это можно найти, скорее всего это находится в зашифрованном виде.Ищите стринг 'zarabotai-vseti.ga' в коде и в базе.
#9
11 июля 2016 в 19:56
lezginka.ru, поиском. Ищите стринг 'zarabotai-vseti.ga' в коде и в базе.
а как искать… скачать архив сайта и сканировать Dr.web-ом?
#10
11 июля 2016 в 20:44
Нэт))) Если вы уже скачали архив сайта, удобнее пользоваться Total Comander:
1. На одной из панелей открываете место, где у вас лежит распакованная копия сайта.
2. На панели инструментов ТС нажимаете "поиск файлов" (иконка увеличительное стекло или бинокль) и далее по скриншоту. Я для примера велел ТС искать стринг "docs.instantcms.ru":
Второй способ — тоже можно воспользоваться ТС, если на одной из панелей установить фтп-соединение с сайтом и запустив удаленныый поиск. Но я этим способом искать не советую — он работает гораздо дольше первого (первый ищет десятки секунд, второй может искать десятки минут — час и больше.
Это что касается файлов. Но вполне может быть, что один из юзеров загнал ссылку на стену или на форум… То есть ссылка хранится в базе. В этом случае удобнее воспользоваться phpmyadmin хостинга:
Если уже скачали дамп, можно искать стринг в дампе великим и ужасным Notepad++.
1. На одной из панелей открываете место, где у вас лежит распакованная копия сайта.
2. На панели инструментов ТС нажимаете "поиск файлов" (иконка увеличительное стекло или бинокль) и далее по скриншоту. Я для примера велел ТС искать стринг "docs.instantcms.ru":
Второй способ — тоже можно воспользоваться ТС, если на одной из панелей установить фтп-соединение с сайтом и запустив удаленныый поиск. Но я этим способом искать не советую — он работает гораздо дольше первого (первый ищет десятки секунд, второй может искать десятки минут — час и больше.
Это что касается файлов. Но вполне может быть, что один из юзеров загнал ссылку на стену или на форум… То есть ссылка хранится в базе. В этом случае удобнее воспользоваться phpmyadmin хостинга:
Если уже скачали дамп, можно искать стринг в дампе великим и ужасным Notepad++.
lezginka.ru, поиском. Ищите стринг 'zarabotai-vseti.ga' в коде и в базе.
а как искать… скачать архив сайта и сканировать Dr.web-ом?
Доктор веб html и js файлы смотреть не будет. Это не вирус, если у Вас js делает перенаправление. На каждом втором сайте такое.
Да и никто не оставит просто zarabotai-vseti.ga. Самое простое 'zarabo'.'tai-vseti.ga' — и уже не найдете.
А как спрятать, это очень интересная история.
Надо конкретно пациентом разбираться.
Находим код, открываем файл отвечающий за вывод этого кода. Ищем там… Если не нашли, открываем файлы выполняющиеся при генерации страницы, ищем дальше…
нигде ничего не найдено с текстом 'zarabotai-vseti'
а вот что показало сканирование, скаченного архива сайта
skrinshoter.ru/s/110716/s1Uwz4
а вот что показало сканирование, скаченного архива сайта
skrinshoter.ru/s/110716/s1Uwz4
Нэт))) Если вы уже скачали архив сайта, удобнее пользоваться Total Comander:
Если уже скачали дамп, можно искать стринг в дампе великим и ужасным Notepad++.
нигде ничего не найдено с текстом 'zarabotai-vseti'
#14
11 июля 2016 в 21:18
Это означает, что его либо нет, либо версия QBASICа похожа на правду. Попробуйте поискать стринги "zarab", "arab", "arabо" и другие куски из ссылки тем же способом.нигде не найден
И файлы instant.xjpg стоит посмотреть. Во первых, посмотреть их cmod. Возможно, они запускаются, хотя надо поставить только чтение. Попробовать их переименовать и посмотреть — не прекратились ли перенаправления с сайта.
#15
11 июля 2016 в 21:57
Это означает, что его либо нет, либо версия QBASICа похожа на правду. Попробуйте поискать стринги "zarab", "arab", "arabо" и другие куски из ссылки тем же способом.нигде не найден
И файлы instant.xjpg стоит посмотреть. Во первых, посмотреть их cmod. Возможно, они запускаются, хотя надо поставить только чтение. Попробовать их переименовать и посмотреть — не прекратились ли перенаправления с сайта.
а ведь в в дефолте таких ( instant.xjpg)нет, этого недостаточно?