Не нравятся результаты поиска? Попробуйте другой поиск!
dle-faq.ru FAQ (все вопросы) Общие вопросы Подцепил вирус - редирект, никак не могу найти. Помогите!

Подцепил вирус - редирект, никак не могу найти. Помогите!


     06.07.2014    Общие вопросы    7198

вопрос
Имеется dle 9.3, на которую относительно недавно забрался вирус, и сидит непонятно где. Нашел я его в яндекс-метрике в исходящих ссылках, выглядит он как редирект:

http://gobongo.info/r?ad=7&hash=60ce1b1cac21f02fbac8efe55176efb7&time=1404625633231&uid=82454a9a9e448f810473ae76dc2a1cad:1529&serv=r1&g=8&target=http://www.otvetim-vopros.com/

в htaccess - редиректов нет.

Проверял антивирусами онлайн, dr.web говорит нет вирусов. Так же проверял программой ai-bolit, которая так же не нашла ничего опасного.

Но тем не менее вирус где-то сидит и каждый день в метрике показываются переходы с сайта на эти "ответы".

Подскажите, где можно копнуть, чтобы найти эту хитрую заразу.

Ответа пока нет


Комментарии пользователей (9)

Gopr
10

494 | 164

Gopr - 6 июля 2014 15:10 - Юзер

Дайте адрес вашего сайта

RedRat
15 | 10

RedRat - 6 июля 2014 16:34 - Юзер

Чаще всего:
1. Языки системы.
2. Файл конфигурации.
3. index.php
4. .htaccess
5. шаблон/login.tpl
6. шаблон/main.tpl
7. smartphone/main.tpl | login.tpl

Совет: обратитесь к специалистам, т.к. здесь нужна комплексная профилактика сайта, а так же наблюдение за ним в течении 3 месяцев. Дыры в два счета редко удается найти, и приходиться "брать на живца".

justalex
16 | 2

justalex - 6 июля 2014 17:26 - Юзер

RedRat,
Проверил эти файлы, но там ничего нет подозрительного.

Забыл сказать что примерно месяц назад, заметил этот вирус, который был запущен в систему через дыру в загрузке аватара (уже профиксил), тогда во многих файлах, в.т.ч. htaccess, шаблона и из папки /engine/... поудалял куски кода, в которых были ссылки на непонятные сайты, а так же код типа: eval(base64_decode... тогда с андроида на сайт нельзя было попасть, теперь работает, но похоже что то, что есть сегодня, это остатки того самого вируса.

Кстати обнаружился еще один редирект на левый сайт, выглядит он так: adcash.com/script/pop_packcpm.php?k=53b93b89bba96305607.911573&h=3e1727c6705508840168ac31fba22b4bf5ac9571&id=0&ban=305607&r=232685&ref=h&data=&subid=&iid=35616704021404648329850022254&new=1&dx=%3D%3DwD

вы можете подумать что это попандер я поставил, или рекламу от тизерки, но на сайте никакой другой рекламы кроме маркетгида я никогда не ставил, маркетгид отключил для эксперимента, а исходящие ссылки в статистике показывает все-равно, значит где-то живет вирус

rocksmart
64

307 | 115

rocksmart - 6 июля 2014 17:44 - Юзер

меняй пароли ftp

justalex
16 | 2

justalex - 6 июля 2014 17:52 - Юзер

rocksmart,
та, это что, уже давно поменял, права везде позакрывал

lutskboy
3

547 | 103

lutskboy - 6 июля 2014 20:30 - Юзер

ДЛЕ дырявый. Тем более до 10 версии включительно. Пароли меняй не меняй, толку ноль.

RedRat
15 | 10

RedRat - 7 июля 2014 11:49 - Юзер

Еще вариант где прячется: База данных, таблица новостей dle_post. Обычно приписывают к новости код, вида JS.

Скачайте сканер:
http://admin-club.ru/scripts/573-simple-scaner-last-modificied-files.html

1. И запустите. Он выдаст последние измененные файлы. Если код дописывает робот, то он непременно наследит и вряд ли позаботиться о том что бы замести следы. Поэтому, вероятно, что "паучки" будут в топе, по дате изменения файла.

2. Скачайте, если сервер удаленный, сайт полностью на локальный компьютер. В Total Commander, запустите поиск по файлам "*.php", с содержанием "eval(b". К тому же, любой локальный антивирус засекает вредоносный веб-код и сигнализирует об этом. Даже Windows Defender, не говоря уже о Касперском.

3. "Заморозьте" сайт, наложите права 666 (запрет на любую запись) на все файлы и папки сайта. Но только после сканирования по последним измененным файлам.

4. Сканирование файлов делайте каждые 4-6 часов.


У вас VPS или снимаете хостинг?
Адрес вашего сайта (если 18+, то в ПМ)?
Установлены ли какие-либо модули, если да, то какие точно?

profdesigner
1

profdesigner - 18 июля 2014 10:01 - Юзер

Посмотри в Шаблоне. Такое же дело ловил. Это может быть подставленный шаблон новый (у меня был smartphone) и назначенный по умолчанию. Я просто выбрал свой предыдущий шаблон из попытался максимально закрыть образовавшуюся дыру.

Lynat1k
1

373 | 93

Lynat1k - 25 сентября 2014 15:04 - Юзер

та же фигня на сайте
те же переходы на сайт этот. хз че делать

Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы