День добрый,
обнаружил заражение сайта, а именно системы его управления
От Аваста кроме срабатывания защиты никаких пояснений не нашел…
Подскажите что за зверь? Как бороться?
С надеждой, Александр
День добрый,
обнаружил заражение сайта, а именно системы его управления
От Аваста кроме срабатывания защиты никаких пояснений не нашел…
Подскажите что за зверь? Как бороться?
С надеждой, Александр
пройдитесь по http://www.avast.com/ru-ru/contact-form.php?loadStyles
в графе предмет\тема выберите нужное
желательно писать на английском
выложите здесь ссылку только без www и http
например :
_www. avast.com или avast.com
бывает так , что у одного пользователя ругается , а у остальных нет, вывод проблема в пк пользователя
1)пройдитесь по https://www.virustotal.com/
2)в графе кликните на (выделенный красный цвет) You may prefer to scan a URL или search through the VirusTotal dataset
3)введите предполагаемую инфицированную ссылку
4) нажмите на scan it
Могли бы вы показать скрин, когда Аваст выдает что сайт заражен?
Судя по детекту запись была добавлена в базу вчера (это скрипт который перенаправляет на вредоносный сайт, ресурс…тд )
И как происходит оповещение? Когда вы заходите на какой то конкретный сайт? или?
VirusTotal показал все чисто, кроме TrendMicro Malicious site и усе
по скрину Dim@rik видно , что сайт добавлен в нежелательные -заражение троянчиком
лаборатория понаблюдает за сайтом , возможно его вернут в надежные после работы над ним
Укажите пожалуйста сайт или скрин, на что Аваст выдает этот детект - JS:Redirector-PB [Trj].
Ссылку сделайте вида hХХp://forum.avast.com/index.php, что бы нельзя было нажать и перейти.
А так это все гадание на кофейной гуще…скорее всего страница заражена (внедрен скрипт).
Зарегистрировался на форуме в надежде дать небольшую подсказку. Сам часто мучаюсь из-за безответственности офисных сотрудников, сливающих пароли раз за разом (уничтожьте Total Commander >:( ).
Сегодня Avast заругался на JS:Redirector-PB (иногда показывает URL:Mal, объект activatedreplacing.is-very-evil.org) на одном из наших сайтов.
Судя по всему, заражение произошло из-за “утечки” пароля. Удаленный сервер автоматически внедряет обфусцированный javascript во все файлы с расширением .js (2-3 строчки, содержание их варьируется из файла в файл).
Расшифровывать не умею и JS не знаю, поэтому действие этого кода остается для меня загадкой.
Если js-файлов у вас сотни (как в моем случае) и будете удалять автозаменой (perl/ced), то учитывайте, что строки варьируются, поэтому прежде лучше собрать все образцы.
Из-за нерабочего автобэкапа потерял половину дня! Делайте бэкапы, не создавайте себе лишнюю работу.
В обфусцированном javascript и происходит редирект на ( activatedreplacing.is-very-evil.org )
http://sitecheck.sucuri.net/results/activatedreplacing.is-very-evil.org
http://urlquery.net/report.php?id=25350 - Suspicious
Я понимаю, что перенаправляет туда, но любопытно что за этим следует. Дальше копать мне откровенно лень, поэтому время тратить не буду.
Для “чистки” сайта от JS:Redirector-PB есть три метода:
find ./ -name *.js