Вирус

[Fred]

На андроиде только с форума часто переадресует сюда http://webonlines.net/ что за хрень?

[Тони]

Цитата:

Сообщение от Fred

На андроиде только с форума часто переадресует сюда http://webonlines.net/ что за хрень?

+1, уже несколько дней.

[Fred]

Цитата:

Сообщение от Fred

На андроиде только с форума часто переадресует сюда http://webonlines.net/ что за хрень?

Проблема не решена, почему администрация никак не реагирует?

[Don]

А у меня в пятницу во время просмотра сайта на рабочем компьютере выскочила хрень, что за нарушение закона о детской порнографии и т.п. мне нужно заплатить штраф 1 т.р. На такой то номер телефона. Все бы ничего, но с тех пор Касперский рубит сайт, как содержаний вредоносную программу. Так что могу заходить на форум только с яблочных девайсов.

[denis.gan]

Цитата:

Сообщение от Don

А у меня в пятницу во время просмотра сайта на рабочем компьютере выскочила хрень, что за нарушение закона о детской порнографии и т.п. мне нужно заплатить штраф 1 т.р. На такой то номер телефона. Все бы ничего, но с тех пор Касперский рубит сайт, как содержаний вредоносную программу. Так что могу заходить на форум только с яблочных девайсов.

Ну так заплатил бы тыщу и спал спокойно.

На самом деле какая-то очередная напасть. Пока форум поддерживается за копейки, будем постоянно сталкиваться с подобным.

[Maximus]

Цитата:

Сообщение от denis.gan

Ну так заплатил бы тыщу и спал спокойно.

На самом деле какая-то очередная напасть. Пока форум поддерживается за копейки, будем постоянно сталкиваться с подобным.

Денис, дело не в копейках. Уже писали и я и Дима что нужно хоститься в нормальных локациях, а не в России.
Ща объясню. С точки зрения всяких блеклистов сайт со скриптом отдающим вирус - это зло, не важно умышленно или в силу взлома. Сайт попадает в блеклист, затем IP, затем подсеть и тд. Для хостера с подсетью в блеке спамхауса или касперыча - это очень большие проблемы, вплоть до потери бизнеса (в случае мелких площадок). Русским просто похер.

Когда ты хостишся на любой европейской площадке, штатный админ сделает все возможное что бы исправить ситуацию + не допустить впредь. В крайнем случае за это возьмут 10-15 долларов.

То что выскакивает тут, элементрано как два пальца и может находиться (судя потому что сливают только андроид трафик) только в двух местах.
1) js код в шаблоне
2) .htaccess файл

Поскольку, не я, не Дима, в теле сайта не нашли исполняемого js кода, вариант сужается до одного - .htaccess файл.

90% что уводят ftp кейлогером из виндового клиента
Ищите шелл вообщем.Это реально технический уровень детского сада. Я не понимаю почему админ не может это починить.

[denis.gan]

Цитата:

Сообщение от Maximus

Я не понимаю почему админ не может это починить.

Потому, что ты ошибаешься.

[Maximus]

Цитата:

Сообщение от denis.gan

Потому, что ты ошибаешься.

В чем? В дислокации кода вируса?

[Lolo De Bordo]

Из за моментов конф-ти, я не смогу описать полностью принцип и структуру работы:

собираем логи, что бы найти дырку, в общем все просто, по факту чистим заливаемый вирус каждый раз, они ищутся тривиально, грепом, но проблема в том, что в каком то из обычных скриптов есть "дырка", дальше хуже, веб сервер работает с те же правами, что и фтп пользователь, залив один раз, через первичную дырку эксплоит уже через него можно все менять. найти ее не получается, пока что, доступы всегда с разных IP и по ним ослеживаются до уже ранее залитых шеллов и то не всегда, в общем мониторим файловую активность, пишем в логи, сравнивая, как и что, очень ресурсоемкая работа, два человека работает уже, причем можно случайно что то сломать, типа аплоуда картинок, шаблоны, все решаемо, вопрос времени, рано или поздно найдем, что и делаем. (иголка в стоге сена)