Все зависит от того на каком движке сайт (в данном случае друпал), где именно находится вредоносный код, так же нужно выяснить как он туда попал На сайт не пускает даже опера - предупреждает о заражении, так что нужно вам как администратору проверить на каких же страницах засел вредоносный код, удалить его из них (естессно вручную) либо поднять более ранние бэкапы. Сайт проверялся как я понял по базам http://antivirus-alarm.ru/ 12 числа сего месяца и вирусов там не найдено, но это не значит что их там нет. Поскольку вирус найден именно яндексом я бы добавил сайт в панель вебмастера от яндекса и там уже администратор сайта может получить более подробную информацию о вирусе, на каких страницах найден и т.д. Поскольку сайт выполнен на друпале - в первую очередь проверить актуальность версии ядра и модулей, кстати очень часто сайты на друпал заражаются именно из за дыр в модулях, особенно тех, которые устарели или вообще не поддерживаются. Есть еще более углубленные программы и скрипты для анализа сайта но с ними удобно работать имея рут доступ к серверу, хотя можно и средствами PHP P.S. Особое внимание следует обратить на .js файлы, причем в первую очередь на те, которые находятся в модулях Удачи в лечении, доводилось мне уже не раз этим заниматься, иногда находил за несколько минут, а иногда не хватало и нескольких суток. P.P.S. http://www.revisium.com/ai/ - рекомендую к использованию, проанализировать придется не мало, но зато шансы найти максимальны
я бы добавил сайт в панель вебмастера от яндекса и там уже администратор сайта может получить более подробную информацию о вирусе, на каких страницах найден и т.д.
небольшое дополнение - тут как я понял вирус хитроопый, он может проявится а может и нет в зависимости от рефера (смотрит откуда пришел юзер), так что его нужно тщательно вылавливать. Знать на каких страницах он есть - часть дела. Страницы же формируются на отдачу из многих составляющих, теперь я бы начал проверку всех файлов этим инструментом http://www.revisium.com/ai/
по большому счету никак, только подняв у себя на локалке сервер и пройдя утилитой которой я рекомендовал выше. Но просто восстановление бэкапа - это временное решение проблемы, нужно найти дыру откуда он вообще взялся
Группа: Silver Member
Сообщений: 525
Регистрация: 03.03.10 Авторитет: 21
Вне форума
Предупреждения: (0%)
Цитата(KOC @ 17 Октября, 2013, 15:56)
а эту копию какпроверить на вирусы оффлайн?
обычным текстовым поиском в тотал командере например, но для этого в начале нужно было выявить тело вируса. Вообще устранить вирус это ерунда, гораздо важней определить, каким путем он туда попал. Нужно смотреть даты модификации файлов, инфицированные файлы будут иметь боле позднюю дату, чем остальные файлы движка. Далее по дате модификации файлов поднимаем логи вебсервера, и ищем подозрительную активность. Если дыру искали сканером, там наверняка будет шквал кривых запросов, с 404-ой ошибкой. Если ломали через дыры в скриптах, таким путем можно вычислить уязвимость. Так же нужно поднять логи фтп, возможно заход был оттуда. Ну и стандартные действия после взлома: 1 смена всех паролей, ко всему, фтп, панель хостинга, админка и т.п. 2 если используется фтп, обязательно задействовать фильтрацию по IP 3 сообщить хостеру, и узнать не были ли взломаны другие аккаунты, вполне возможно проблемы на его стороне. 4 проверить все компы с которых админится сайт, на наличие вирусов
Поскольку за последнюю неделю вирус очень активизировался то сделали по нем более подробный обзор.
проблема в том что вирус сложный и современный прописывается в файлах, а точнее в 3х. 1. - флеш файл .swf 2. - вызывающий его закодированный .js 3. - измененный файл движка / темы / стиля / пинчеванная картинка ... что была на сайте которая подтягивает вышеуказанный и максимально незаметна по изменениям (вес и дату стараются оставить как в изначальном)
Обзор подробный по этому вирусу тут - w2b.com.ua/audit/552-kak-udalit-virus-trojjsredir-mh-s-sajta.html
если сами не разберетесь, то обращайтесь в skype: w2b.kz или на почту - support@w2b.kz по цене порядка 25$ за лечение, срок гарантированного возврата в чистую выдачу серпа Яндекса - от 2 до 72 часов.
В Вашем конкретном случае (без фтп доступа сказать точно сложно что там еще заражено) но вроде как сам файл зловред - accsnab.com.ua/sites/default/files/589.swf это п.1 после выполнения 2 и 3 ну и всего что по инструкции прописано можете переподать. А насчет проверки есть вирус или нет то лучше всего virustotal.com юзать, вот Ваш сразу засветился: virustotal.com/ru/url/aa2ec7ba5e939197f5acac63585b3d358437ce0775897ee146e9f035729e1b7a/analysis/1382224925/
В любом случае выражаем признательность IVR за проявленную заботу, но "вынуждены" разочаровать, указанный код это не вирус, а лиш ссылка с картинкой пусть и по очень страшному адресу Разберем подробней весь код: <p class="rtecenter"><a target="_blank" href="http://accsnab.com.ua"> - открытие строи и ссылка причем на главную того же сайта </a></p> - закрытие ссылки и самого строки теперь самый "страшная" часть: <img width="162" height="162" border="0" title="QR код" alt="" src="http://qrcoder.ru/code/?BEGIN%3AVCARD%..." /> это код к показу картинки по с адреса qrcoder.ru/code/?BEGIN%3.... что бы удостоверица в том что там нет вируса а это просто GIF изображение достаточно проверить его отдельно, что подтверждает отсутствие в нем отсутствия зловредного кода - https://www.virustotal.com/ru/url/2ea527f7a...sis/1382462620/
Касаемо очистки сайта http://accsnab.com.ua/ от вируса Troj/JSRedir-MH то она была успешно проведена о чем свидетельствует удаление сайта из базы зараженных в Sophos антивирусе и соответственно сегодняшний его возврат к нормальному режиму поисковой выдачи без предупреждения об опасности заражения, подробный отчет по лечению сайта есть у его владельца, думаю если он захочет то поделится с Вами подробностями где был вирус и что с ним сделали. -- Хорошего Вам вечера и пусть Вас не кусают вирусы С уважением, W2B support center -------------------------------------------- e-mail: support@w2b.kz icq: 265909362 skype: w2b.kz web: www.W2B.kz