Добрый день.
Столкнулся со следующей проблемой. Наш сайт virga-ltd.ru размещён на хостинге компании Reg.ru
С недавнего времени (2 недели), антивирус Kaspersky internet security начал блокировать доступ пользователей к сайту так как обнаруживает вирус: HEUR:Trojan.Script.Generic (тестировалось на более 10 компьютерах).
С компьютеров, где установлены другие антивирусы мы заходили на сайт без каких-либо сообщений о подозрениях на вирус.
В базе данных Kaspersky описания вируса не нашлось.
Я написал в Лабораторию Касперского вопрос, но пока нет ответа, а время идёт и проблемы с доступом на сайт не украшают нас перед посетителями.
Я связывался с тех поддержкой провайдера хостинга, они проверили своими инструментами и вирус не обнаружили.
Очень прошу совета, как действовать в такой ситуации? Может уже кто-нибудь решал аналогичную проблему.
Высокобюджетные способы решения проблемы, к сожалению, неприемлемы.
Заранее благодарю.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Добрый день!
Судя по всему, что я вижу, нет никакого вируса.
Остается только ждать, чтобы в Лаборатории Касперского исправили это. Правильно сделали, что написали им.
Хотя HEUR:Trojan.Script.Generic как бы намекает на срабытывания эвристики, а не четкой сигнатуры (иными словами есть подозрение, а не фактическое обнаружение), но не факт, что это ложное срабатывание.
Сайты заражаются хитро, вредоносный скрипт может возвращать разный код в зависимости от того, кто и откуда заходит на сайт. Это принципы продажи трафика на черном рынке. Поэтому если вы не видите вредоносного, то это не значит, что его там нет.
Пока дожидаетесь ответа от ЛК рекомендую вам самым тщательным образом проверить изменения сриптов на сайте. Чаще всего злоумышленники меняют index.php, шаблоны тем или какие-либо модули CMS. Если что-либо менялось, то это должно насторожить.
Также не лишним будет посмотреть есть ли алерты в интерфейсе веб-мастера к вашему сайту для поисковиков Google, Bing. Они по опыту очень быстро обнаруживают заразу и шлют алерты.
Писал представителю "Лаборатории Касперского" в СЗФО Евгению Питолину 5 августа 2014. Его контакт взял с сайта Касперского : Evgeny Pitolin <[email protected]>
Получил от него ответ 5 августа:
Добрый день!
я подумаю, куда лучше переслать Ваш вопрос, и сообщу Вам.
Евгений Питолин| Представительство в СЗФО| Лаборатория Касперского
Пока больше ничего от них нет.
Может есть другой, более правильный путь обращения в "Лабораторию Касперского"? Подскажите, пожалуйста, я на сайте не смог найти.
Данное срабатывание не является ложным. Сайт инфицирован.
Следующий код является вредоносным:
function dnnViewState()
...
...
Если Вы являетесь вебмастером данного сайта, рекомендуется удалить данный участок кода с вашей страницы. Настоятельно советуем Вам сменить логин/пароль для доступа к сайту, поскольку эти данные могут быть украдены злоумышленниками.
Спасибо.
Прогуглил проблему.
Сайт на джумле. Код находится в файле default.php в папке шаблонов modules/mod_AutsonSlideShow/tmpl/default.php
Помогите советами, как убрать код?
Я на форумах прочитал, что необходимо искать код function dnnViewState()
Но я такой строки в своём файле не вижу. Но это тот файл точно, т.к. при переносе его на мой компьютер, антивирус сразу его убивает.
Прикрепляю скриншоты кода файла два файла это один код
Заранее благодарю за помощь.
Код находится в файле default.php в папке шаблонов modules/mod_AutsonSlideShow/tmpl/default.php
заархивируйте его с паролем virus и пришлите мне в личку.
- - - Добавлено - - -
Странно, что не смогли найти. Удаляйте из файла строки с №562 по строку №578 включительно.
- - - Добавлено - - -
там внизу файла есть ещё ссылка $credit на производителя модуля. На неё тоже могут ругаться некоторые антивирусы https://www.virustotal.com/ru/url/a8...is/1407506390/
В таком случае удалить ещё три последние строчки.
заархивируйте его с паролем virus и пришлите мне в личку.
- - - Добавлено - - -
Странно, что не смогли найти. Удаляйте из файла строки с №562 по строку №578 включительно.
- - - Добавлено - - -
там внизу файла есть ещё ссылка $credit на производителя модуля. На неё тоже могут ругаться некоторые антивирусы https://www.virustotal.com/ru/url/a8...is/1407506390/
В таком случае удалить ещё три последние строчки.
Видимо, мне надо очки купить)
Удалил, теперь всё работает.
Спасибо за помощь!