Яндекс считает форум подозрительным

[Вячеслав Русаков]

Здравствуйте.
 
В результате поиска в Яндексе вот что я вижу
 
По данным Яндекса, на сайте могут быть нежелательные программы
 
Соответственно сейчас трафик на форум с поиска яндекса не идёт вообще, точнее есть где то 1% тех, кто решился прорваться не смотря на предупреждение. 
 
На форуме нет никаких программ, только обсуждения и ссылки вот и всё. Непонятно почему он считает форум подозрительным. Написал в поддержку хостинга, проверили антивирусом - там были пару подозрительных документов но при проверке вручную ничего не обнаружили. Короче всё чисто. Вот написал в поддержку яндекс, жду ответа, а его нет со вчерашнего вечера. 
 
Может кто сталкивался с такой проблемой? или может подскажите где копать? а то вроде пруха пошла, посещаемость взлетела и тут бах и яндекс вышел из игры(
 

[Silence]

С чего начать?

В первую очередь проанализируйте все возможные способы заражения:

•  

  Злоумышленник может получить пароли доступа к администраторским панелям CMS, FTP или SSH аккаунтам. Обычно пароли подбирают или крадут с помощью троянских программ, заразивших компьютер веб-мастера.

•  

  Уязвимости веб-приложения могут позволять посторонним размещать на сайте произвольный код.

•  

  Из-за заражения внешнего ресурса (партнерской программы, баннерной системы, счётчика) предоставленный вам код может стать опасным для пользователей.

Найдите браузерный вредоносный код

Проанализируйте информацию о заражении в Яндекс.Вебмастере, на вкладке Безопасность. Информация о заражении включает перечень зараженных страниц, даты проверок и вынесенные антивирусом вердикты. Перейдя по ссылке в названии вердикта, вы увидите его описание и примерный вид соответствующего вердикту кода (кода, который непосредственно появляется на страницах сайта).

Вы также можете самостоятельно воспроизвести проблему с помощью виртуальной машины.

Найдите серверный вредоносный код

1. В первую очередь остановите веб-сервер, чтобы оградить посетителей сайта от потенциальной опасности. Затем проверьте антивирусом файлы веб-сервера и все рабочие станции, с которых администрируют сервер (можно использовать бесплатные антивирусные утилиты) и смените все пароли: root, FTP, SSH, от административных панелей хостинга и CMS.

2. Если есть возможность, восстановите сайт из резервной копии, сделанной до заражения. Обновите до последних версий все используемые сайтом программы и поищите описания исправленных уязвимостей. Возможно, это поможет понять, каким образом сайт был заражен.

3. Удалите лишних пользователей с расширенными полномочиями и тщательно проверьте сервер на наличие веб-шелла, с помощью которого злоумышленник может изменять код сайта в обход авторизации.

4. Проверьте наличие вредоносного кода:

   •  

     во всех серверных скриптах, шаблонах CMS, базах данных;

   •  

     в конфигурационных файлах веб-сервера или интерпретатора серверных скриптов;

   •  

     если вы используете shared-хостинг, проверьте другие сайты, расположенные на том же сервере – возможно заражен весь сервер.

На что обратить внимание при поиске кода:

•  

  Код посторонний или незнакомый, не соответсвует резервной копии или системе контроля версий.

•  

  Обфусцированный (нечитаемый, неструктурированный) код.

•  

  Дата модификации файлов совпадает с временем заражения или более поздняя. (Этот параметр ненадежен, так как дата модификации файлов может быть изменена вирусом.)

•  

  Использование характерных для вредоносного кода функций. Примеры таких функций для языка PHP:

  • динамическое исполнение кода (eval, assert, create_function);

  • обфускация (base64_decode, gzuncompress, gzinflate, str_rot13, preg_replace);

  • загрузка удаленных ресурсов (file_get_contents, curl_exec).

Вредоносный код удален, что дальше?

Пометка об опасности сайта в результатах поиска будет снята, если при очередной проверке робот Яндекса не обнаружит заражения. Чтобы ускорить перепроверку, отправьте запрос через Яндекс.Вебмастер: нажмите кнопку Перепроверить в разделе Безопасность.

В течение нескольких недель после заражения следует регулярно перепроверять файлы и код сайта на тот случай если использованная уязвимость не была устранена, или злоумышленники по прежнему имеют доступ к сайту.

[Вячеслав Русаков]

Это я читал всё. Я в яндексе есть только кнопка "Я всё исправил"

А вот нет такого, чтобы показали где именно нашли этот код.. Если бы они показали хоть примерно местонахождение то проблем бы не было, удалил бы и отправил на проверку.

[Silence]

https://2ip.ru/site-virus-scaner/

[Вячеслав Русаков]

13 минут назад, Silence сказал:

https://2ip.ru/site-virus-scaner/

Там показывает что вирусов нет..

[Silence]

Ваш форум чист - пишит Yandex команда 

 

[Вячеслав Русаков]

Ну а толку с этих кривых сервисов, если сам яндекс считает иначе ( что в поиске, что в вебмастере ) вируса может и нет, но код лишний какой то подозрительный есть

[Respected]

.htaccess смотрел?

[ram108]

4 часа назад, Вячеслав Русаков сказал:

 

Это я читал всё. Я в яндексе есть только кнопка "Я всё исправил"

 

Не все вирусы обнаруживаются через сканеры. Специализированные вирусы обнаружить очень сложно. Нужно сравнивать ваш дистрибутив с оригиналом, находить различия. Загрузите в одну папку чистый дистрибутив, в другой откройте ваш форум. С помощью командной строки сравните две директории со всеми вложениями. Ограничьте сравнение только файлами php html js. Подробнее о сравнении двух папок ищите в гугле.

Если вы используете на форуме рекламные сети, отключите их все. Часто левые сети могут ночью делать редирект на сторонние ресурсы. Яндекс такое не любит. Плюс Яндексу может не нравится ссылки, ведущие на сайты с вирусами и другой плохой контент. Наличие подобных ссылок Яндекс расценивает как взлом. Проверяйте все исходящие ссылки.

[Вячеслав Русаков]

1 час назад, Respected сказал:

.htaccess смотрел?

 

Я уже получил от яндекса сообщение. Оказывается им не понравилась тема пользователя со ссылкой на программу..