Есть давний сайт на InstantCMS v1.9
Видимо где-то внедрили вредоносный код на главной странице, открывается второе окно со ссылкой на левый сайт syndication.exdynsrv.com
Нужно найти вредоносный код и удалить.
Напрямую вредоносного кода не видно где он, а в Гугл Хроме по ссылке "просмотреть код", виден следующий код:
<body><script type="text/javascript" async="" src="//a.exdynsrv.com/popunder1000.js" id="popmagicldr" data-exo-idzone="1624818" data-exo-frequency_period="5" data-exo-frequency_count="1" data-exo-trigger_method="1" data-exo-trigger_class="" data-exo-popup_force="false" data-exo-popup_fallback="true" data-exo-new_tab="false" data-exo-cat="" data-exo-tags="" data-exo-el="" data-exo-sub="" data-exo-sub2="" data-exo-sub3=""></script>
по видимому этот скрипт подставляется после тега body.
Ищу кто в этом разбирается и поможет за оплату найти и удалить вредоносный код.
InstantCMS 1.X
#1
14 марта 2020 в 18:17
#2
14 марта 2020 в 18:41
classics,
Скачайте все файлы сайта себе на комп и пройдитесь антивирусом.
Если ничего не найдено — поищите в файлах сайта поиском по тексту такой текст: ob_start()
Скачайте все файлы сайта себе на комп и пройдитесь антивирусом.
Если ничего не найдено — поищите в файлах сайта поиском по тексту такой текст: ob_start()
classics, и это можно попробовать (хотя может и нормальные скрипты принять за вирусы)):
revisium.com/ai/
Конечно способ Ris, более надежный, но как вариант...
ЗЫ: Прежде всего, да, надо снять дамп с сайта и желательно поднять копию на локальном. И на ней уже делать поиск (имея в запасе не тронутый бекап), что бы случайно не удалить ничего лишнего…
revisium.com/ai/
Конечно способ Ris, более надежный, но как вариант...
ЗЫ: Прежде всего, да, надо снять дамп с сайта и желательно поднять копию на локальном. И на ней уже делать поиск (имея в запасе не тронутый бекап), что бы случайно не удалить ничего лишнего…
Сегодня в 07:30
Скачал все файлы сайта себе на комп и прошелся антивирусом, Касперский ничего не нашел.
В файлах сайта около 70 таких функций ob_start(), но ничего там не увидел сомнительного.
В файлах сайта около 70 таких функций ob_start(), но ничего там не увидел сомнительного.
#5
14 марта 2020 в 20:25
classics, попробуйте открыть базу в Notepad++ и поищите на exdynsrv (домен из вашей ссылки выше)
#6
14 марта 2020 в 20:34
Скачал все файлы сайта себе на комп и прошелся антивирусом, Касперский ничего не нашел.
В файлах сайта около 70 таких функций ob_start(), но ничего там не увидел сомнительного.
По всей видимости заражён не Ваш сайт, а ваш компьютер, почитайте тут пути решения. AdwCleaner вам в помощь.
#7
14 марта 2020 в 20:39
В дефолтном движке 1.10.7 39 файлов с текстом ob_start()В файлах сайта около 70 таких функций ob_start(), но ничего там не увидел сомнительного.
То есть 30 явно посторонние.
Для нас интерес представляют файлы, где после <?php ob_start();?> следуют нечитаемые крякозябры.
#8
14 марта 2020 в 21:05
По всей видимости заражён не Ваш сайт, а ваш компьютер
Хм… к слову...
Позавчера лечил свой роутер...
При открытии любых нормальных сайтов пропадал любой флэш и любая реклама (в том числе на yandex.ru)
А на некоторых наоборот реклама появлялась (порнуха)).
Причем происходило это на всех устройствах в доме (стационарник и два ноута).
Логически определился, что дело в роутере.
Пришлось сделать сброс на заводские настройки и ввести данные профилей заново...
Откуда там взялся вирус не понятно, антивирусы на всех устройствах хорошие… НО...
Как то так…
#9
14 марта 2020 в 21:08
Ris, 70 функций в файлах, а не 70 файлов и движок у меня 1,9 с плагинами, не увидел там нечитаемых крякозябров после этого кода, к сожалению.
Андрей, не думаю что дело в компьютере, окно всплывает именно на этом сайте, на других сайтах этого всплывающего окна нет.
Андрей, не думаю что дело в компьютере, окно всплывает именно на этом сайте, на других сайтах этого всплывающего окна нет.
#10
14 марта 2020 в 21:26
classics,
Тогда просто поищите в тексте файлов сайта popunder1000.js
И вообще, этот скрипт popunder1000.js где-то используется? Найдите этот файл и смените ему расширение с js на js_
И посмотрите, что перестанет работать.
Тогда просто поищите в тексте файлов сайта popunder1000.js
И вообще, этот скрипт popunder1000.js где-то используется? Найдите этот файл и смените ему расширение с js на js_
И посмотрите, что перестанет работать.
#11
14 марта 2020 в 22:30
classics,
Тогда просто поищите в тексте файлов сайта popunder1000.js
И вообще, этот скрипт popunder1000.js где-то используется? Найдите этот файл и смените ему расширение с js на js_
И посмотрите, что перестанет работать.
Этого файла у меня разумеется нет, он видимо где-то на левом сайте, на который ведет эта левая ссылка.
И в тексте в файлах сайта тоже текста "popunder1000" нет, видимо где-то зашифровано, но откуда ноги растут, увы, не знаю. Возможно в какие то скрипты засунули.
#12
14 марта 2020 в 22:41
Так ищите текст exdynsrv.comЭтого файла у меня разумеется нет, он видимо где-то на левом сайте, на который ведет эта левая ссылка.
#13
15 марта 2020 в 00:54
Андрей, не думаю что дело в компьютере, окно всплывает именно на этом сайте, на других сайтах этого всплывающего окна нет.
Вы прочитайте статью которую я вам скинул, Вы может ищите не там где надо искать.
Как правило вся дрянь прописывается в index.php сравнив с оригиналом. Если и там нет поищите поиском в базе данных.
по видимому этот скрипт подставляется после тега body.
#15
15 марта 2020 в 08:02
часто через "base64_decode" вставляют вредоносный код