Как найти и удалить с сайта чужой скрипт?

Question

[kugno]

Добрый день
Приехал с отпуска- зашел посмотреть свой сайт
НЕОЖИДАННО!! всплыл какойто баннер
написал хостеру- хостер говорит- нет, все в норме
проверил сайт- и получил такой вот ответ
https://rescan.pro/result.php?196b1a70f4b385f7aabc...
Подскажите пожалуйста- куда ставяться эти скрипты? как их удалить?
Спасибо

Comments

[Юрий Чудновский]

Надо было этот баннер изучить.

Answer 1

[Adamos]

Первое - ищете файлы с самыми свежими датами. Когда вы последний раз что-то меняли на сайте - вам виднее.
Ищутся такие файлы в Linux простейшим find.
По ним уже разбираете - заражены они или вовсе не ваши и подлежат удалению.
Главная задача у вас - не удалить то, что вам навалили через бэкдор (все эти скрипты и баннеры), а найти сам бэкдор и обезвредить. Иначе завтра же вся эта хрень снова будет на сайте. В идеале - найти, как этот бэкдор появился на сайте вообще. И устранить эту возможность.

Comments

[kugno]

Мы юристы, не программисты

[Adamos]

kugno: ну, вирусам и дырам это как-то безразлично ;)
Джумлу не так давно заражали в жутких масштабах - две волны массовой эксплуатации уязвимостей были, как минимум. Так что сейчас найти специалиста, который ее полечит - совсем не проблема.

Answer 2

[tablum]

Для того чтобы обнаружить проблему, нужно
1. просканировать файлы сайта на хостинге на наличие хакерских шеллов и бэкдоров
2. проверить сайт через веб-сканер (вы это уже сделали)

Возьмите AI-BOLIT под Windows (тут можно скачать https://revisium.com/ai/) и прогоните бэкап сайта в нем. Если обнаружит какие-то бэкдоры или шеллы, то сначала удалите их. А затем уже рекламный код.

Сам баннерный код у вас вставлен вверху страницы:

< script type="text/javascript" >var leadia_custom_param = {"webmaster":{"subaccount":"","product":"lawyer"},"widgetStyle":{"position":"right","horizontalMargin":"0"},"presetStyle":"blue"};

Comments

[kugno]

Уже написал вам, цена устроит, но сначала хотим наказать всех причастных. Тех кому принадлежит код, тех, в пользу кого установлен. Неделю займет. Потом будем лечиться))

Answer 3

[Станислав Макаров]

Скрипты лучше "удалять" перезаливкой сайта (и даже базы, если у вас CMS) из бэкапа. Если вас поломали, то пока вы не прошерстите руками весь код, никто вам не скажет на 100%, в каких местах у вас бэкдоры стоят.

Сайт-то самописный или цмс-ка?

Comments

[kugno]

Джумла, это же видно в коде

Answer 4

[dev400]

Поищите текст из вставок с неизвестных сайтов в файлах проекта

Comments

[kugno]

он СПРЯТАН , разумееться

[dev400]

поиск такой строки в файлах проекта что нибудь дал? api.cloudleadia.com/wnew.js?wc=leadia/de

Answer 5

[Karmashkin]

Сейчас просто восстановить из бекапа. В будущем использовать систему контроля версий и смотреть дифы.

Comments

[kugno]

в бекапе . разумееться, будут те же дыры что и сейчас есть.

Answer 6

[CityCat4]

Код может быть обфусцирован и его визуально фиг найдешь. Найти конечно можно, но времени на это уйдет... Залить бэкап будет значительно проще и в разы быстрее.

Comments

[kugno]

Аналогично верхнему

[Станислав Макаров]

kugno Чтобы в бэкапе не было того же, что и на сайте, бэкапов надо хранить много, несколько, и за некоторый значительный промежуток времени.

Answer 7

[kugno]

Уже написал вам, цена устроит, но сначала хотим наказать всех причастных. Тех кому принадлежит код, тех, в пользу кого установлен. Неделю займет. Потом будем лечиться))