Zawirusowana strona w Google?

[phone4u]

Witam!

Mam pytanie.

Na stronie mojego klienta - https://numizmatykajaslo.pl/ pokazywał się "wirus" w postaci iframe, usunąłem go. Strona działa, ale jak wpisuje w google'ach numizmatyka jasło i wchodzę w pierwszą pozycję tzn tą stronę to przenosi na jakieś zawirusowane strony, w czym może być problem??

[eclipse]

prosta sprawa - otwórz plik .htaccess, pewnie będzie pusty, ALE uwaga uwaga - niespodzianka, da się scrollować bo ktoś zrobił na wstępie 150 "pustych enterów", tak żeby nie było widać treści pliku. zgadłem?

[phone4u]

Owszem nie zgadłeś..

Nic dalej.

[Darwin]

Tak z ciekawości sobie wszedłem i obejrzałem w Firebug przekierowania. Wygląda na to, że najpierw idzie 302 na goodmorning.25u.com, na którą, co ciekawe, nie można wejść bezpośrednio. Ona z kolei przekierowuje na iandi.dns04.c...88ec4e4ea3b00d8 - serwer z Ukrainy. Nie wiem jaki miało to mieć cel, ale u mnie raczej nie działa jak powinno - znaczy się nie szkodzi ani nie chce pobierać żadnego syfu.

Szkoda, że nie mam czasu za dużo, chętnie bym przeanalizował co naprawdę ten zakodowany JS na stronie robi.

W każdym razie, albo w .htaccess albo gdzieś w kodzie strony pewnie ciągle coś siedzi. Jeżeli .htaccess jest czysty to przejrzyj pliki z kodami php.

[m.michalski]

Oprócz wyczyszczenia plików .html z <iframe> wyczyść też .js ze skryptów które generują te iframy

Posprawdzaj daty modyfikacji skryptów.

Ponadto, jeżeli google trafiło na zainfekowaną witrynę, i jako taką ją odznaczyło, po oczyszczeniu należy się do nich zgłosić.

Tutaj masz też kilka informacji które mogą podsunąć Ci rozwiązanie

https://www.webhostingtalk.pl/topic/36246-jak-znalezc-zlosliwy-skrypt-na-stronie/

[phone4u]

M.Michalski!

Jesteś super!

eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcow0KaWYgKC1YWcsIk1TSUUgNy4wIikg="));

I dłuższe to jeszcze..

Sprawdźcie teraz, czy działa??

[m.michalski]

M.Michalski!

Jesteś super!

eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcow0KaWYgKC1YWcsIk1TSUUgNy4wIikg="));

I dłuższe to jeszcze..

Sprawdźcie teraz, czy działa??

u mnie to miało inną, o wiele dłuższą postać.

Pamiętaj, że pominięcie jednego takiego .jsa powoduje ponowne nadpisanie innych .jsów oraz ponownie .html

Usuwaj więc zatem skrupulatnie, pliczek po pliczku i pamiętaj o każdym nawet najmniejszym.

Sprawdzaj codziennie czy nie zmieniają Ci się na ftp daty nadpisania pliku, a jak zrobisz porządek, to na wszelki wypadek po zrobieniu tego porządku zgraj na FTP

Ponadto, sprawdź, czy strony innych Twoich klientów oraz Twoje nie zostały zainfekowane. Bierz pod uwagę, że jak masz coś na ftp np kilka stron, to mogą Ci polecieć wszystkie.

Aha

No i oczywiście nie zapamiętuj hasła w total commanderze...

[m.michalski]

M.Michalski!

Jesteś super!

eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcow0KaWYgKC1YWcsIk1TSUUgNy4wIikg="));

I dłuższe to jeszcze..

Sprawdźcie teraz, czy działa??

u mnie to miało inną, o wiele dłuższą postać.

Pamiętaj, że pominięcie jednego takiego .jsa powoduje ponowne nadpisanie innych .jsów oraz ponownie .html

Usuwaj więc zatem skrupulatnie, pliczek po pliczku i pamiętaj o każdym nawet najmniejszym.

Sprawdzaj codziennie czy nie zmieniają Ci się na ftp daty nadpisania pliku, a jak zrobisz porządek, to na wszelki wypadek po zrobieniu tego porządku zgraj na FTP

Ponadto, sprawdź, czy strony innych Twoich klientów oraz Twoje nie zostały zainfekowane. Bierz pod uwagę, że jak masz coś na ftp np kilka stron, to mogą Ci polecieć wszystkie.

Aha

No i oczywiście nie zapamiętuj hasła w total commanderze...