При входе любого пользователя в левом углу на главной странице появляется баннер, код баннера виден. Но как удалить его со страницы? где хранится главная страница?
Думал ошибка исчезнет при обновлении, так как вся папка moodle на веб сервера заменятся, копируется только конфиг,и обновляется база. Возникает вопрос а может код банера висит в базе?
Прошу помощи по данному вопросу.
Прошу помощи по данному вопросу.
Ну да, и адрес сайта скрыли. А если это вирусняк у вас на компе? Как мы проверим этот баннер?
Первое что как раз и пришло в голову что это в компе дело, но проверено на нескольких, абсолютно чистых компах, более 30, в разных браузерах. Даже со смартфона при логине сразу появляется баннер.
Но адрес так и не дали.
Если это не вирус на локальных компах, значит кто-то взломал сервер и вставил вредоносный код на сайт: что это за iframe … src="//xxxxxx.ru/f.html и дальше по тексту?
Может чего сами на сайт устанавливали? Доп. модули, плагины?
do.volit.ru
адрес
сейчас пытался сделать учетку чтобы вы зашли проверили, и обнаружил что баннер появляется только из под учетных записей администратора.
под учетками обычных пользователей вообще ни чего не происходит, под учетками создателей курсов, в строке состояния видно что пытается обработать ссылку.. но баннер не появляется..
доп модулей нет..
Может ли мне кто то подсказать где в папке moodle лежит эта главная страница?
Главная страница вам ничего не даст.
Во-первых, она генерируется РНР-скриптами, смотрите config.php темы оформления, чтоб узнать родительскую тему, layout/*.рнр - раскладка страниц и т. д.
Во-вторых, откуда/как браузер подхватывает чужие js-скрипты под админом системы? Они же грузятся по URL, а загружает их какой-то вирь/червь, работающий под вашей учеткой. И грузит с очень подозрительного сервера: bw95vpjda.ru - IP 5.149.255.109 Country: Netherlands 
Hostname: mail.pmtrainme.com
ЗЫ: Можно проверить файлы moodle, на всякий случай, удалив существующие, и "залив" на их место свежие из архива той -же версии. Но, имхо, не поможет. Нужно сервер лечить.
И ещё: какая версия moodle? Что-то очень подозрительные ссылки в коде главной страницы do.volit.ru. Это в шапке страницы (head):
<script src="http://do.volit.ru/theme/javascript.php/standard/1447850753/head" type="text/javascript">
Перезагрузите страницу, чтобы получить источник для: http://do.volit.ru/theme/javascript.php/standard/1447850753/head
</script>
Не встречал в moodle "обрезанной" (без имени самого скрипта) ссылки на js-скрипт, на css - есть (<link href="http://127.0.0.1/theme/styles.php/standard/1443509613/all" type="text/css" rel="stylesheet">)
Аналогично в теле страницы (body):
<script src="http://do.volit.ru/theme/javascript.php/standard/1447850753/footer" type="text/javascript">
Перезагрузите страницу, чтобы получить источник для: http://do.volit.ru/theme/javascript.php/standard/1447850753/footer
</script>
была 2.3.1 версия, подумал если обновить, то исчезнет, обновил до 2.4.11, но ни чего не изменилось..
сама папка moodle удалена и заменена на новую, скопирован только конфиг, поэтому думаю что дело не в файлах самого сайта.
обновлялась база, а так же еще есть папка moodledata, ее изменения не коснулись, и вообще вопрос, для чего она папка moodledata в одном каталоге с moodle
Баннер не на главной странице, но проблема примерно такая же.
Тоже недавно начали жаловаться пользователи, что при входе на сайт moodle.ssmu.ru ругается Аваст. Говорит, что найден вирус HTML:Iframe-Inf. Сервер установлен на Win2012, версия 2.2.5.
Причем при просмотре исходного кода страниц, вирус находится не на всех курсах (всего курсов порядка 30), а только на тех, что активно используются. Такое ощущение, что с чьего-то компа преподавателя каким-то образом занесли, потому что из-под админа через веб заходят крайне редко.
Заменил папку moodle из архива - никаких изменений. Пытаюсь найти поиском строку "<iframe src=..", ничего не находит, видимо, генерится сама. Прогнал сервер Касперским - ничего, для него видимо лишняя строчка в коде не является вирусом.
Остается вопрос - это где-то в самих данных лежит moodledata или в базе как-то mysql-ной?
Что делать, совершенно непонятно. Хоть весь курс заставляй переделывать, но это никак невозможно - учебный процесс полным ходом, оценки и все такое....
В общем виде, проблема стала известна.
Инфицирование происходит с любого компьютера, с которого можно редактировать курсы. Скрипты лежат в базе, и когда происходит генерирование страницы курса, скрипт запускается, генерирует ссылки, и появляются всплывающие окна на разные сайты.
Сейчас пробую найти каким-то образом где находится скрипт.
Здравствуйте!
У нас возникла такая-же проблема. Только не на главной странице, а в некоторых курсах.
Насколько удалось выяснить, код внедряется с зараженных компьютеров пользователей. Он сохраняется через любую форму с текстовым редактором. У нас такие записи нашлись в описаниях самих курсов и разных элементов курса, в сообщениях форума.
Искать проще всего напрямую в базе данных, в полях с текстом сообщения, содержащие "/javascript".
Вроде все вычистили, но остается вопрос, почему Moodle пропускает такое безобразие, и что делать, чтобы такое не повторялось?
мне посоветовали только обновиться на более новые версию, ну и бекапы никто не отменял )))
