Внедрили вредоносный код на главной странице, надо найти и удалить

InstantCMS 1.X
#1 14 марта 2020 в 18:17
Есть давний сайт на InstantCMS v1.9
Видимо где-то внедрили вредоносный код на главной странице, открывается второе окно со ссылкой на левый сайт syndication.exdynsrv.com
Нужно найти вредоносный код и удалить.

Напрямую вредоносного кода не видно где он, а в Гугл Хроме по ссылке "просмотреть код", виден следующий код:
<body><script type="text/javascript" async="" src="//a.exdynsrv.com/popunder1000.js" id="popmagicldr" data-exo-idzone="1624818" data-exo-frequency_period="5" data-exo-frequency_count="1" data-exo-trigger_method="1" data-exo-trigger_class="" data-exo-popup_force="false" data-exo-popup_fallback="true" data-exo-new_tab="false" data-exo-cat="" data-exo-tags="" data-exo-el="" data-exo-sub="" data-exo-sub2="" data-exo-sub3=""></script>

по видимому этот скрипт подставляется после тега body.

Ищу кто в этом разбирается и поможет за оплату найти и удалить вредоносный код.
#2 14 марта 2020 в 18:41
classics,
Скачайте все файлы сайта себе на комп и пройдитесь антивирусом.
Если ничего не найдено — поищите в файлах сайта поиском по тексту такой текст: ob_start()
#3 14 марта 2020 в 18:59
classics, и это можно попробовать (хотя может и нормальные скрипты принять за вирусы)):
revisium.com/ai/

Конечно способ Ris, более надежный, но как вариант...

ЗЫ: Прежде всего, да, надо снять дамп с сайта и желательно поднять копию на локальном. И на ней уже делать поиск (имея в запасе не тронутый бекап), что бы случайно не удалить ничего лишнего…
#4 14 марта 2020 в 20:13
Скачал все файлы сайта себе на комп и прошелся антивирусом, Касперский ничего не нашел.
В файлах сайта около 70 таких функций ob_start(), но ничего там не увидел сомнительного.
#5 14 марта 2020 в 20:25
classics, попробуйте открыть базу в Notepad++ и поищите на exdynsrv (домен из вашей ссылки выше)
#6 14 марта 2020 в 20:34

Скачал все файлы сайта себе на комп и прошелся антивирусом, Касперский ничего не нашел.
В файлах сайта около 70 таких функций ob_start(), но ничего там не увидел сомнительного.

classics

По всей видимости заражён не Ваш сайт, а ваш компьютер, почитайте тут пути решения. AdwCleaner вам в помощь.
#7 14 марта 2020 в 20:39

В файлах сайта около 70 таких функций ob_start(), но ничего там не увидел сомнительного.

classics
В дефолтном движке 1.10.7 39 файлов с текстом ob_start()
То есть 30 явно посторонние.
Для нас интерес представляют файлы, где после <?php ob_start();?> следуют нечитаемые крякозябры.
#8 14 марта 2020 в 21:05

По всей видимости заражён не Ваш сайт, а ваш компьютер

Андрей

Хм… к слову...

Позавчера лечил свой роутер...
При открытии любых нормальных сайтов пропадал любой флэш и любая реклама (в том числе на yandex.ru)

А на некоторых наоборот реклама появлялась (порнуха)).
Причем происходило это на всех устройствах в доме (стационарник и два ноута).

Логически определился, что дело в роутере.
Пришлось сделать сброс на заводские настройки и ввести данные профилей заново...

Откуда там взялся вирус не понятно, антивирусы на всех устройствах хорошие… НО...
Как то так…
#9 14 марта 2020 в 21:08
Ris, 70 функций в файлах, а не 70 файлов и движок у меня 1,9 с плагинами, не увидел там нечитаемых крякозябров после этого кода, к сожалению.

Андрей, не думаю что дело в компьютере, окно всплывает именно на этом сайте, на других сайтах этого всплывающего окна нет.
#10 14 марта 2020 в 21:26
classics,
Тогда просто поищите в тексте файлов сайта popunder1000.js
И вообще, этот скрипт popunder1000.js где-то используется? Найдите этот файл и смените ему расширение с js на js_
И посмотрите, что перестанет работать.
#11 14 марта 2020 в 22:30


classics,
Тогда просто поищите в тексте файлов сайта popunder1000.js
И вообще, этот скрипт popunder1000.js где-то используется? Найдите этот файл и смените ему расширение с js на js_
И посмотрите, что перестанет работать.

Ris

Этого файла у меня разумеется нет, он видимо где-то на левом сайте, на который ведет эта левая ссылка.
И в тексте в файлах сайта тоже текста "popunder1000" нет, видимо где-то зашифровано, но откуда ноги растут, увы, не знаю. Возможно в какие то скрипты засунули.
#12 14 марта 2020 в 22:41

Этого файла у меня разумеется нет, он видимо где-то на левом сайте, на который ведет эта левая ссылка.

classics
Так ищите текст exdynsrv.com
#13 15 марта 2020 в 00:54

Андрей, не думаю что дело в компьютере, окно всплывает именно на этом сайте, на других сайтах этого всплывающего окна нет.

classics

Вы прочитайте статью которую я вам скинул, Вы может ищите не там где надо искать.
#14 15 марта 2020 в 01:01


по видимому этот скрипт подставляется после тега body.

classics
Как правило вся дрянь прописывается в index.php сравнив с оригиналом. Если и там нет поищите поиском в базе данных.
#15 15 марта 2020 в 08:02
часто через "base64_decode" вставляют вредоносный код
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.