хитрый вирус на сайтах...

#1 11 июля 2016 в 03:28
хитрый вирус на сайтах...
на одном из своих сайтов заметил вирус(перенаправляет на "zarabotai-vseti.ga"), но антивирусные сервисы показывают все чисто...
как вычислить куда залит /прописан вирус?
#2 11 июля 2016 в 04:39
Дружище, а код вируса сюда можно? Будет код, решим, как вычислить.
#3 11 июля 2016 в 07:51
lezginka.ru, у меня на версии 1.10.6 было такое, что в консоли куча перенаправлений отображалось, причём каждые 5-7 секунд новое перенаправление, но блокировалось адблоком. Я копал в файлах, но поиск не давал решительно ничего, тогда я стал смотреть откуда идёт перенаправление. Оказалось что такой эффект на странице одного юзера. У него на стене были залиты какие-то фотографии, ролики с ютуба и статьи. Я не стал вникать что именно является генератором исходящего спама, я просто поудалял все записи со стены. Проблема исчезла.
#4 11 июля 2016 в 08:52


Дружище, а код вируса сюда можно? Будет код, решим, как вычислить.

Странник
Странник, а как посмотреть код, где?
#5 11 июля 2016 в 08:52


lezginka.ru, у меня на версии 1.10.6 было такое, что в консоли куча перенаправлений отображалось, причём каждые 5-7 секунд новое перенаправление, но блокировалось адблоком. Я копал в файлах, но поиск не давал решительно ничего, тогда я стал смотреть откуда идёт перенаправление. Оказалось что такой эффект на странице одного юзера. У него на стене были залиты какие-то фотографии, ролики с ютуба и статьи. Я не стал вникать что именно является генератором исходящего спама, я просто поудалял все записи со стены. Проблема исчезла.

Raiden
Raiden, тут чистая страница, только текст
#6 11 июля 2016 в 08:56

только текст

lezginka.ru
Пришлите страницу и сам текст
#7 11 июля 2016 в 10:00
lezginka.ru, поиском. Ищите стринг 'zarabotai-vseti.ga' в коде и в базе.
#8 11 июля 2016 в 18:36

Ищите стринг 'zarabotai-vseti.ga' в коде и в базе.

Странник
Не думаю что это можно найти, скорее всего это находится в зашифрованном виде.
#9 11 июля 2016 в 19:56


lezginka.ru, поиском. Ищите стринг 'zarabotai-vseti.ga' в коде и в базе.

Странник

а как искать… скачать архив сайта и сканировать Dr.web-ом?
#10 11 июля 2016 в 20:44
Нэт))) Если вы уже скачали архив сайта, удобнее пользоваться Total Comander:
1. На одной из панелей открываете место, где у вас лежит распакованная копия сайта.
2. На панели инструментов ТС нажимаете "поиск файлов" (иконка увеличительное стекло или бинокль) и далее по скриншоту. Я для примера велел ТС искать стринг "docs.instantcms.ru":


Второй способ — тоже можно воспользоваться ТС, если на одной из панелей установить фтп-соединение с сайтом и запустив удаленныый поиск. Но я этим способом искать не советую — он работает гораздо дольше первого (первый ищет десятки секунд, второй может искать десятки минут — час и больше.

Это что касается файлов. Но вполне может быть, что один из юзеров загнал ссылку на стену или на форум… То есть ссылка хранится в базе. В этом случае удобнее воспользоваться phpmyadmin хостинга:


Если уже скачали дамп, можно искать стринг в дампе великим и ужасным Notepad++.
#11 11 июля 2016 в 20:44



lezginka.ru, поиском. Ищите стринг 'zarabotai-vseti.ga' в коде и в базе.

Странник

а как искать… скачать архив сайта и сканировать Dr.web-ом?

lezginka.ru

Доктор веб html и js файлы смотреть не будет. Это не вирус, если у Вас js делает перенаправление. На каждом втором сайте такое.

Да и никто не оставит просто zarabotai-vseti.ga. Самое простое 'zarabo'.'tai-vseti.ga' — и уже не найдете.

А как спрятать, это очень интересная история. smile

Надо конкретно пациентом разбираться.

Находим код, открываем файл отвечающий за вывод этого кода. Ищем там… Если не нашли, открываем файлы выполняющиеся при генерации страницы, ищем дальше…
#12 11 июля 2016 в 20:45
нигде ничего не найдено с текстом 'zarabotai-vseti'
а вот что показало сканирование, скаченного архива сайта
skrinshoter.ru/s/110716/s1Uwz4
#13 11 июля 2016 в 21:08


Нэт))) Если вы уже скачали архив сайта, удобнее пользоваться Total Comander:


Если уже скачали дамп, можно искать стринг в дампе великим и ужасным Notepad++.

Странник

нигде ничего не найдено с текстом 'zarabotai-vseti'
#14 11 июля 2016 в 21:18

нигде не найден

lezginka.ru
Это означает, что его либо нет, либо версия QBASICа похожа на правду. Попробуйте поискать стринги "zarab", "arab", "arabо" и другие куски из ссылки тем же способом.

И файлы instant.xjpg стоит посмотреть. Во первых, посмотреть их cmod. Возможно, они запускаются, хотя надо поставить только чтение. Попробовать их переименовать и посмотреть — не прекратились ли перенаправления с сайта.
#15 11 июля 2016 в 21:57


нигде не найден

lezginka.ru
Это означает, что его либо нет, либо версия QBASICа похожа на правду. Попробуйте поискать стринги "zarab", "arab", "arabо" и другие куски из ссылки тем же способом.

И файлы instant.xjpg стоит посмотреть. Во первых, посмотреть их cmod. Возможно, они запускаются, хотя надо поставить только чтение. Попробовать их переименовать и посмотреть — не прекратились ли перенаправления с сайта.

Странник

а ведь в в дефолте таких ( instant.xjpg)нет, этого недостаточно?
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.