Методы лечения зараженных сайтов

Цитата Dark Side @ 19.08.11, 17:55

это обычно grep -R на что-нибудь.

Знать бы еще, "на что именно"...

Цитата Dark Side @ 19.08.11, 17:55

Для начала - имена сайтов, куда идёт перенаправление, потом все возможные команды перенаправления.

Никаких имён сайтов или перенаправлений в явном виде нет.
Все инъекции закодированы в Base64.

Цитата Dark Side @ 19.08.11, 17:55

JS можно посмотреть и руками - гадости обычно дописывают себя в конце файлов либо полностью переписывая их

Ни одного подобного не найдено.

Цитата Dark Side @ 19.08.11, 17:55

можно почитать все имеющееся index.* файлы - обычно заражение только ими и ограничивается.

Увы, это не так. По крайней мере в данном случае...
Заражены HTML, JS, PHP, CFG, TPL файлы.
Метод инъекции - в основном внедрение закодированного яваскрипта или пхп-кода прямо внутри тела файла, причем по многу раз. Рекорд инфицирования одного файла = 152 инъекции!
Внедрение очень аккуратное, не нарушающее ни хтмл-разметку, ни яваскрипты, ни пхп-код. Причем в инъекциях используются несколько разных методов, что затрудняет идентификацию...

Цитата Dark Side @ 19.08.11, 17:55

А если подумать? Заражение наверняка происходило не руками, так-что модифицировались далеко не все файлы и можно просто поискать отклонения.

Отклонения от ЧЕГО?
Если ты впервые видишь файлы проекта, с чем ты их сравнивать будешь?

Цитата Dark Side @ 19.08.11, 17:55

И ничего в гугле не светится.

Дык люди ж не только по форумам ошиваются

Цитата vot @ 19.08.11, 18:13

Все инъекции закодированы в Base64.

А эти коды не ищутся?

Цитата vot @ 19.08.11, 18:13

Дык люди ж не только по форумам ошиваются

Да. Но гугл обычно ставит предупреждение об опасности посещения сайта, и снимает его не сразу и отнюдь не за красивые глаза.

Цитата vot @ 19.08.11, 18:13

Отклонения от ЧЕГО?
Если ты впервые видишь файлы проекта, с чем ты их сравнивать будешь?

От нормы. Это-же продакшн, причем законченный. Т.е. всё заливалось довольно давно. А значит изменения вирусом (если он конечно сам не менял время модификации) - есть самые последние изменения.

Цитата vot @ 19.08.11, 18:13

Заражены HTML, JS, PHP, CFG, TPL файлы.
Метод инъекции - в основном внедрение закодированного яваскрипта или пхп-кода прямо внутри тела файла, причем по многу раз. Рекорд инфицирования одного файла = 152 инъекции!
Внедрение очень аккуратное, не нарушающее ни хтмл-разметку, ни яваскрипты, ни пхп-код. Причем в инъекциях используются несколько разных методов, что затрудняет идентификацию...

Бред какой-то. Нафига так сложно-то? Но всё-равно: нашел одно внедрение - написал его вырезаловку по всему зайту (хоть на том-же php), нашел другое - опять написал его вырезаловку. Разных типов-то там явно не сотни.

Цитата Dark Side @ 20.08.11, 03:33

нашел одно внедрение - написал его вырезаловку по всему зайту (хоть на том-же php), нашел другое - опять написал его вырезаловку.

Ну так и делается.
Только где гарантия, что ты ВСЁ нашел?
Лично я вот не уверен...

Цитата vot @ 18.08.11, 17:05

Если заходить на этот сайт напрямую, то зараза никак себя не проявляет.
Но вот если поискать в Гугле "DVI-Group",
и кликнуть в первую найденную ссылку,
то Гугл честно перенаправляет на данный сайт,
но зараза на сайте активируется и переадресует браузер на случайные зараженные или порнушные сайты.

Вылечили уже? Не наблюдаю такого. Windows XP SP3, виртуалка VirtualBox, opera 11.50. Показывает сайт какой-то компании компании.

Как починили?

Тупым поиском всех файлов, содержащих любой шестнадцатеричный код...