опасный контент сайта

[GoogleCodeExporter]

(запрос от Пети)

Yandex выдает предупреждение об опасном 
контенте на russiancinema.ru

Original issue reported on code.google.com by monia.ru on 18 Dec 2011 at 7:49

[GoogleCodeExporter]

http://yandex.ru/infected?url=http%3A%2F%2Fwww.russiancinema.ru%2F&text=%D1%8D%D
0%BD%D1%86%D0%B8%D0%BA%D0%BB%D0%BE%D0%BF%D0%B5%D0%B4%D0%B8%D1%8F%20%D0%BE%D1%82%
D0%B5%D1%87%D0%B5%D1%81%D1%82%D0%B2%D0%B5%D0%BD%D0%BD%D0%BE%D0%B3%D0%BE%20%D0%BA
%D0%B8%D0%BD%D0%BE&fmode=inject&mime=html&l10n=ru

http://help.yandex.ru/webmaster/?id=1059440

Original comment by monia.ru on 18 Dec 2011 at 8:24

[GoogleCodeExporter]

Переписка от 14 октября:

Лена, 

в свете проблемы с хлебными крошками хотел 
спросить - сейчас кто-нибудь еще работает с 
ресурсом? Не с контентом, а именно с 
движком? Дело в том, что я начал искать 
причину и обнаружил, что был изменен файл 
template.php. Слетела кодировка части символов и 
была добавлена строка 60:

include($path2connection."StarCMS/xp_add_e_auth.php");

В конце прошлого месяца я создавал 
локальные копии файлов, поэтому была 
возможность сравнить. Для проверки я залил 
старую версию файла на тестовый сервер - 
проблема исчезла.

основной сайт - Абашидзе:
http://russiancinema.ru/template.php?dept_id=3&e_dept_id=1&e_person_id=2422

тестовый сайт - Абашидзе:
http://test.russiancinema.ru/template.php?dept_id=3&e_dept_id=1&e_person_id=2422

Надо как-то этот момент прояснить. Я 
попытаюсь узнать - когда был изменен файл 
на основе сохраненных бэкапов сайта, пока у 
меня этой информации нет.

...

Вытащил этот файл из бэкапов за 12 и 13 
октября - он такой же как и у меня. То есть 
файл был изменен сегодня, 14-го.

Original comment by monia.ru on 18 Dec 2011 at 8:25

[GoogleCodeExporter]

16 октября:

Лена, 

у "крошек" есть небольшое продолжение, я 
начал ковырять - что же в итоге хотели 
сделать добавлением этой строки кода и 
выходит следующее:
14 октября в файл /template.php на сайте russincinema.ru 
добавлена строка
include($path2connection."StarCMS/xp_add_e_auth.php");
того же числа добавлен файл /StarCMS/xp_add_e_auth.php, 
на который ссылается строка
в файле xp_add_e_auth.php в закодированном виде 
идет обращение к файлу на сайте seance.ru:
/home/seance/www/site1/public_html/wp-includes/online.php
файл online.php на сайте сеанса тоже добавлен 
только 14 октября и что он делает - абсолютно 
непонятно, потому что код файла был 
пропущен через обфускатор FOPO - Free Online PHP 
Obfuscator v1.2 (я приаттачил этот файл, чтобы 
понятно было)
соседние файлы на сайте СЕАНСа 
незашифрованные и достаточно старые (2009 
год), что наводит на некоторые нехорошие 
размышления
В общем, в этой ситуации считаю абсолютно 
правильным, что мы поменяли все пароли, 
причем нужно срочно связаться с тем, кто 
поддерживает СЕАНС и разобраться с этим 
файлом, поскольку удалить/переименовать 
его нельзя - сайт сеанса перестает 
работать, значит он где-то используется в 
его коде.

Всех благ!
Стас

Original comment by monia.ru on 18 Dec 2011 at 8:30

[GoogleCodeExporter]

проблема была связана со старым кодом 
сайта (список ниже). В данный момент я 
сделал эту страницу недоступной и запросил 
в Яндексе перепроверку.

Яндекс проверяет страницы сайта выборочно, 
поэтому список зараженных страниц может 
быть неполным. Пожалуйста, проверьте и 
другие страницы, а также элементы, общие 
для всех страниц.
Страница    Дата последней проверки    Вердикт  
http://www.russiancinema.ru/template.php?dept_id=3&e_dept_id=2  15.12.2011  Пов
еденческий анализ   
http://www.russiancinema.ru/template.php?dept_id=15&e_dept_id=6&text_element_id=
45  15.12.2011  Поведенческий анализ 
http://www.russiancinema.ru/template.php?dept_id=3&e_dept_id=2&e_movie_id=1044  1
5.12.2011   Поведенческий анализ 
http://www.russiancinema.ru/template.php?dept_id=3&e_dept_id=5&e_chrdept_id=2&e_
chr_id=370&chr_year=1992    15.12.2011  Поведенческий анализ 
http://www.russiancinema.ru/template.php?dept_id=3&e_dept_id=1&e_person_id=3421 
15.12.2011  Поведенческий анализ 
http://www.russiancinema.ru/template.php?dept_id=15&e_dept_id=6&text_element_id=
45  15.12.2011  Поведенческий анализ 
http://www.russiancinema.ru/template.php?dept_id=3&e_dept_id=5&e_chrdept_id=2&e_
chr_id=370&chr_year=1992    15.12.2011  Поведенческий анализ 
http://www.russiancinema.ru/template.php?dept_id=15&e_dept_id=6&text_element_id=
55  16.12.2011  Поведенческий анализ 
http://www.russiancinema.ru/template.php?dept_id=3&e_dept_id=&e_movie_id=514    16.
12.2011 Поведенческий анализ 
http://www.russiancinema.ru/template.php?dept_id=15&e_dept_id=1&e_person_id=868 
16.12.2011  Поведенческий анализ

Original comment by monia.ru on 18 Dec 2011 at 10:36

• Changed state: Fixed

[GoogleCodeExporter]

Оставлена заявка (18.12.2011 00:00) на 
перепроверку сайта, она займет несколько 
дней.

Как только результаты проверки будут 
готовы, на сервисе Яндекс.Вебмастер 
появится сообщение. Если вы хотите 
получить сообщение по электронной почте, 
пожалуйста, укажите это в настройках.

Original comment by monia.ru on 18 Dec 2011 at 10:38

[GoogleCodeExporter]

[deleted comment]

[GoogleCodeExporter]

Original comment by lezni...@gmail.com on 28 Dec 2011 at 11:58

• Changed state: Fixed

[GoogleCodeExporter]

Original comment by seanceb...@gmail.com on 18 Jan 2012 at 8:35

• Changed state: Verified