Как найти и удалить с сайта чужой скрипт?

Добрый день
Приехал с отпуска- зашел посмотреть свой сайт
НЕОЖИДАННО!! всплыл какойто баннер
написал хостеру- хостер говорит- нет, все в норме
проверил сайт- и получил такой вот ответ
https://rescan.pro/result.php?196b1a70f4b385f7aabc...
Подскажите пожалуйста- куда ставяться эти скрипты? как их удалить?
Спасибо
  • Вопрос задан
  • 2250 просмотров
Пригласить эксперта
Ответы на вопрос 7
Adamos
@Adamos
Первое - ищете файлы с самыми свежими датами. Когда вы последний раз что-то меняли на сайте - вам виднее.
Ищутся такие файлы в Linux простейшим find.
По ним уже разбираете - заражены они или вовсе не ваши и подлежат удалению.
Главная задача у вас - не удалить то, что вам навалили через бэкдор (все эти скрипты и баннеры), а найти сам бэкдор и обезвредить. Иначе завтра же вся эта хрень снова будет на сайте. В идеале - найти, как этот бэкдор появился на сайте вообще. И устранить эту возможность.
Ответ написан
@tablum
Для того чтобы обнаружить проблему, нужно
1. просканировать файлы сайта на хостинге на наличие хакерских шеллов и бэкдоров
2. проверить сайт через веб-сканер (вы это уже сделали)

Возьмите AI-BOLIT под Windows (тут можно скачать https://revisium.com/ai/) и прогоните бэкап сайта в нем. Если обнаружит какие-то бэкдоры или шеллы, то сначала удалите их. А затем уже рекламный код.

Сам баннерный код у вас вставлен вверху страницы:

< script type="text/javascript" >var leadia_custom_param = {"webmaster":{"subaccount":"","product":"lawyer"},"widgetStyle":{"position":"right","horizontalMargin":"0"},"presetStyle":"blue"};
Ответ написан
Скрипты лучше "удалять" перезаливкой сайта (и даже базы, если у вас CMS) из бэкапа. Если вас поломали, то пока вы не прошерстите руками весь код, никто вам не скажет на 100%, в каких местах у вас бэкдоры стоят.

Сайт-то самописный или цмс-ка?
Ответ написан
@dev400
Поищите текст из вставок с неизвестных сайтов в файлах проекта
Ответ написан
@Karmashkin
Сейчас просто восстановить из бекапа. В будущем использовать систему контроля версий и смотреть дифы.
Ответ написан
CityCat4
@CityCat4 Куратор тега Информационная безопасность
//COPY01 EXEC PGM=IEBGENER
Код может быть обфусцирован и его визуально фиг найдешь. Найти конечно можно, но времени на это уйдет... Залить бэкап будет значительно проще и в разы быстрее.
Ответ написан
@kugno Автор вопроса
Уже написал вам, цена устроит, но сначала хотим наказать всех причастных. Тех кому принадлежит код, тех, в пользу кого установлен. Неделю займет. Потом будем лечиться))
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы