Вирус "поведенческий анализ"

[bodalev]

Добрый день.

Яндекс нашел на сайте вирус и убрал все страницы из поиска.

Пишет "Поведенческий анализ"

Подскажите как бороться с этим?

 

Ниже страницы на которые яндекс ссылается, что мол там вирус. Какие шаблоны надо редактировать, и что делать, сайт совсем в поиске упалю

Заранее спасибо.

http://truckru.ru/forum/index.php?/forum/87-mercedes/

http://truckru.ru/forum/index.php?/topic/199-diagnosticheskie-kody-neisparvnosti-dvigatelia/

http://truckru.ru/forum/index.php?/topic/200-diagnosticheskie-kody-neisparvnosti-dvigatelia/

http://truckru.ru/forum/index.php?/topic/210-zamena-shkvornei-kamazvideo-instruktciia/

[Axeland]

Ух, дружище. Щас сам с этим воюю (всю ночь). В общем, если кратко:

1) Вирус сидит в кэшах шаблона, может сидеть в IncludeJS, может в переменной skin_cache в БД.

2) Удалить можно перестраиванием кэша шаблона, удалением всех админов, кроме тебя самого, сменой паролей на админа, фтп и бд.

3) http://ipbskins.ru/forum/topic13571.html

На http://ipbskins.ru/forum/topic13571.html/page__st__75странице, кстати, ребята делятся своими успехами в войне с вирусом.

Еще ссылки по теме: http://searchengines.guru/showthread.php?t=828634

http://revisium.com/ru/blog/virus_in_ipb_vbulletin.html

 

У меня, кстати, кода зараженного вообще нигде не нашлось - значит он наверное мимикрирует. Я просто снёс кэш, заблочил всех админов, сменил пароли... поставил на перепроверку, буду ждать.

з.ы. Модераторам: прошу не пинать за ссылки на внешние ресурсы, проблема реальна и с ней может столкнуться любой.

[Respected]

5 часов назад, Axeland сказал:

з.ы. Модераторам: прошу не пинать за ссылки на внешние ресурсы, проблема реальна и с ней может столкнуться любой.

Хотите открою секрет как не попасть в такую ситуацию?

1) Сложный пароль админа

2) Не пользоваться FTP

3) Постоянно обновлять скрипт до актуальной версии. Актуальная для 3 линейки сейчас 3.4.9. Оставшись на 3.4.6 вы будете постоянно ловить "бонусы" подобного характера.

[Axeland]

54 минут назад, Respected сказал:

Хотите открою секрет как не попасть в такую ситуацию?

1) Сложный пароль админа

2) Не пользоваться FTP

3) Постоянно обновлять скрипт до актуальной версии. Актуальная для 3 линейки сейчас 3.4.9. Оставшись на 3.4.6 вы будете постоянно ловить "бонусы" подобного характера.

Согласен. Но это понимание обычно приходит уже после того, как заразился. Сейчас-то я конечно стёр все записи с фтп-шника и заблочил всё через .ftpaccess на свой ip.  

Кстати, я так и не нашел какую-либо зануленную версию 3.4.9 чтобы до неё обновиться.

...Дабл  пост, но после этого зашел в файлы и там есть такой релиз.  Клянусь, смотрел недавно - не было

[Sipsb]

 

17 минут назад, Axeland сказал:

...Дабл  пост, но после этого зашел в файлы и там есть такой релиз.  Клянусь, смотрел недавно - не было

Отлично. 

Изменено 15 марта, 2016 пользователем Sipsb

[Respected]

Пора уже обновляться на 4.1

[Axeland]

3 минуты назад, Respected сказал:

Пора уже обновляться на 4.1

В том-то и дело что обновился. А потом перенес форум на новый поддомен. И самое жуткое, что с нового поддомена 4.1 брал скрипты и яву со старого домена, таким образом, Яндекс зарубил и его - типа, пытается грузить ресы с зараженного форума. Уже пару дней бьюсь, чтобы привести всё в порядок.