wmmail.ru – cервис почтовых рассылок на главную
написать письмо
карта сайта

С чего начать?РекламодательПравилаFAQСтатистикаБиржа статейTOP100ФоткиКонтакты
Логин:
Пароль: 
Регистрация   Забыли пароль?
WMLogin
Пользователей всего:

542601

Пользователей сегодня:

91

Пользователей online:

119

Выплачено ($): 7`602`664,17
Выплат: 8`111`862
Писем прочитано: 1`024`932`912

 
 
Online 0
Все ответы
 
 

Вопрос #51580

Внимание! В разделе вопрос-ответ запрещается:

  • Мат, оскорбления, флуд, реклама
  • Сообщения, не являющиеся вопросами/ответами
  • Нарушение законодательства РФ
  • Попрошайничество в любой форме

Выделите текст и нажмите для цитирования  #  
+1   [22.01.2013 12:25] mstislav14 Рейтинг 2724.06     Стена пользователя mstislav14 +36

Закрытый вопрос от пользователя mstislav14 Заражен сайт

в своё время были взломаны четыре сайта размещенные на одном хостинге. яндекс пометил их как опасные для пользователей. своими силами вроде бы как вычистил зловредный код, и даже яндекс снял своё предупреждение. но посещаемость как упала тогда так и не восстановилась до прошлого объёма. начал разбираться, в итоге оказалось, что при заходе с мобильных телефонов со всех сайтов идёт редирект на сайт update-bruser точка ru, где пишется, что требуется обновление браузера мобильного устройства. Так же на открытие сайтов ругается касперский. Помогите вычистить сайты или подскажите к кому можно обратиться по этому поводу, естественно за вознаграждение.
Раздел: Дизайн, Верстка, последний комментарий: 24.01.2013 04:03
Вопрос закрыт пользователем aleksachka25
Проголосовали: Siriak, akarat, sergeyasg

Ответы
Ответов всего: 14  вопрос закрыт 
Выделите текст и нажмите для цитирования  #  
0   [22.01.2013 12:29] #1061892   Все ответы пользователя

Такая же была байда на моем сайте,сам её не смог найти была сильно зашифрована!А движок у тебя dle?
Выделите текст и нажмите для цитирования  #  
0   [22.01.2013 12:30] R1mlin Рейтинг 0.00     Стена пользователя R1mlin +165  Все ответы пользователя R1mlin

Какой движок, что за зловред?

Установи Я.Вебмастер, он помечает зараженные страницы.
Выделите текст и нажмите для цитирования  #  
0   [22.01.2013 12:34] mstislav14 Рейтинг 2724.06     Стена пользователя mstislav14 +36  Все ответы пользователя mstislav14

движок вордпресс. вебмастер яндекса снял предупреждение о заражении.

Добавлено спустя 35 секунд
fisherman есть координаты того кто тебе помог?
Выделите текст и нажмите для цитирования  #  
0   [22.01.2013 12:38] R1mlin Рейтинг 0.00     Стена пользователя R1mlin +165  Все ответы пользователя R1mlin

mstislav14 пишет движок вордпресс. вебмастер яндекса снял предупреждение о заражении.

Хм посмотри на хосте какие файлы изменялись недавно.
Я таким образом вычислил. Бекапы не сохранял?
Выделите текст и нажмите для цитирования  #  
0   [22.01.2013 12:44] #1061892   Все ответы пользователя

mstislav14 пишет fisherman есть координаты того кто тебе помог?

Да есть!Он у себя нашел эту гадость и у моего тоже нашел и удалил!Вот он!
http://www.wmmail.ru/index.php?cf=wall-viewuser&uid=711848
R1mlin пишет Какой движок, что за зловред?

Установи Я.Вебмастер, он помечает зараженные страницы.


Какой на хрен вебмастер,он на это не реагирует!Там стоит редирикт,когда заходишь с телефона на сайт!
Выделите текст и нажмите для цитирования  #  
0   [22.01.2013 12:53] mstislav14 Рейтинг 2724.06     Стена пользователя mstislav14 +36  Все ответы пользователя mstislav14

#1061892 пишет Да есть!Он у себя нашел эту гадость и у моего тоже нашел и удалил!Вот он!
http://www.wmmail.ru/index.php?cf=wall-viewuser&uid=711848

спасибо, отписался ему. может поможет.

Добавлено спустя 01 минуту 21 секунду
R1mlin пишет Хм посмотри на хосте какие файлы изменялись недавно.

заражение произошло с одного сайта на все. заразились почти все папки. вроде все вычистил но где то видно закодированный остался.
Выделите текст и нажмите для цитирования  #  
0   [22.01.2013 13:38] Siriak Рейтинг 0.00     Стена пользователя Siriak +172  Все ответы пользователя Siriak

в вп


Внимание! Модератор Leningrad00 заблокировал пользователю Siriak доступ к данному разделу до 25.01.2013 16:08 по причине: нарушение правил раздела Рейтинг пользователя уменьшен на 3
Выделите текст и нажмите для цитирования  #  
0   [22.01.2013 18:13] reliable-adver Рейтинг 0.00     Стена пользователя reliable-adver +1  Все ответы пользователя reliable-adver

mstislav14 пишет Помогите вычистить сайты или подскажите к кому можно обратиться по этому поводу, естественно за вознаграждение.

Опс. Видимо отписываться так нельзя. Ну я могу посоветовать человека, в общем.
Выделите текст и нажмите для цитирования  #  
+2   [22.01.2013 20:51] #791897   Все ответы пользователя

Стоит обычный код смс партнерки для мобильных стройств.
Скачай файлы сайта на комп и запусти программу для поиска текста по файлам avesearch и иши все что начинается с http и base64 Если попадется base64 то запусти дешифратор и смотри исходный текст. Так же ищи коды с раширением .js и javascript и noframe
Проголосовали: #1462261, #1238294
Выделите текст и нажмите для цитирования  #  
0   [22.01.2013 21:42] akarat Рейтинг 3525.27     Стена пользователя akarat +813  Все ответы пользователя akarat

Было наподобие вашего. Просто сделал восстановление, из резервных копий.
Выделите текст и нажмите для цитирования  #  
0   [23.01.2013 10:26] mstislav14 Рейтинг 2724.06     Стена пользователя mstislav14 +36  Все ответы пользователя mstislav14

в общем с редиректом разобрался. спасибо кто откликнулся. но касперский всё равно у людей ругается. вопросик возник по поводу base64. как его убрать? некоторые похоже вшиты в шаблон и при удалении кода слетает шаблон.
Выделите текст и нажмите для цитирования  #  
0   [23.01.2013 12:46] #791897   Все ответы пользователя

mstislav14 пишет но касперский всё равно у людей ругается

Он и будет ругатья даже после чистки сайта, до тех пор пока не обновятся базы сигнатур.
Можно написать в службу поддержки по вопросу ложного распознования.
mstislav14 пишет вопросик возник по поводу base64. как его убрать?


#791897 пишет Если попадется base64 то запусти дешифратор и смотри исходный текст

Например этот http://www.base64.ru/

Расшифровать нужно все что идет после base64 и (" и до ")
затем либо перешифровать убрав весь ненужный код, либо вставить расшифрованный код без всего лишнего.

Добавлено спустя 08 минут 26 секунд
mstislav14 пишет некоторые похоже вшиты в шаблон и при удалении кода слетает шаблон.


Думаю что у вас вордпресс, да?

Часто именно в вордпресс разработчики шаблонов кодируют свои ссылки в base64 и завязывают код в шаблон.

Есть стандартные процедуры. Ищите в поиске типа "как удалить копирайт в вордпресс".
Выделите текст и нажмите для цитирования  #  
0   [23.01.2013 14:36] sergeyasg Рейтинг 2090.17     Стена пользователя sergeyasg +25  Все ответы пользователя sergeyasg

на джумле произошло похожее на 10 сайтах.заражение прошло через FTP.точнее не заражение а редирект на поисковиках,т.к. прямые ссылки работали.лечил сливом сайта на лок.комп и руками(заменой в far) убирал ссылки inoframe (они в конце файлов,смотреть-глазами :))потом обратно залил.запрет сняли и индекс пошел.
Выделите текст и нажмите для цитирования  #  
0   [24.01.2013 04:03] #1238294   Все ответы пользователя

#791897 пишет Стоит обычный код смс партнерки для мобильных стройств.
Скачай файлы сайта на комп и запусти программу для поиска текста по файлам avesearch и иши все что начинается с http и base64 Если попадется base64 то запусти дешифратор и смотри исходный текст. Так же ищи коды с раширением .js и javascript и nonoframe

хороший совет

Видеоурок

Вопрос-ответ

НОВОСТИ
21.02.2024QIWI
подробнее>>
31.12.2023С Новым 2024 Годом!
подробнее>>

© 2004-2024 «WMMAIL» Пользовательское соглашение