Не нравятся результаты поиска? Попробуйте другой поиск!
DLE FAQ » Все вопросы » Общие вопросы » Подцепил вирус - редирект, никак не могу найти. Помогите!

Подцепил вирус - редирект, никак не могу найти. Помогите!


     06.07.2014    вирус, редирект, dle 9.3    Все вопросы » Общие вопросы    9340

вопрос
Имеется dle 9.3, на которую относительно недавно забрался вирус, и сидит непонятно где. Нашел я его в яндекс-метрике в исходящих ссылках, выглядит он как редирект:

http://gobongo.info/r?ad=7&hash=60ce1b1cac21f02fbac8efe55176efb7&time=1404625633231&uid=82454a9a9e448f810473ae76dc2a1cad:1529&serv=r1&g=8&target=http://www.otvetim-vopros.com/

в htaccess - редиректов нет.

Проверял антивирусами онлайн, dr.web говорит нет вирусов. Так же проверял программой ai-bolit, которая так же не нашла ничего опасного.

Но тем не менее вирус где-то сидит и каждый день в метрике показываются переходы с сайта на эти "ответы".

Подскажите, где можно копнуть, чтобы найти эту хитрую заразу.

Ответа пока нет


9 комментариев

Gopr
Юзер

Gopr - 6 июля 2014 15:10 -

Дайте адрес вашего сайта

RedRat
Юзер

RedRat - 6 июля 2014 16:34 -

Чаще всего:
1. Языки системы.
2. Файл конфигурации.
3. index.php
4. .htaccess
5. шаблон/login.tpl
6. шаблон/main.tpl
7. smartphone/main.tpl | login.tpl

Совет: обратитесь к специалистам, т.к. здесь нужна комплексная профилактика сайта, а так же наблюдение за ним в течении 3 месяцев. Дыры в два счета редко удается найти, и приходиться "брать на живца".

justalex
Юзер

justalex - 6 июля 2014 17:26 -

RedRat,
Проверил эти файлы, но там ничего нет подозрительного.

Забыл сказать что примерно месяц назад, заметил этот вирус, который был запущен в систему через дыру в загрузке аватара (уже профиксил), тогда во многих файлах, в.т.ч. htaccess, шаблона и из папки /engine/... поудалял куски кода, в которых были ссылки на непонятные сайты, а так же код типа: eval(base64_decode... тогда с андроида на сайт нельзя было попасть, теперь работает, но похоже что то, что есть сегодня, это остатки того самого вируса.

Кстати обнаружился еще один редирект на левый сайт, выглядит он так: adcash.com/script/pop_packcpm.php?k=53b93b89bba96305607.911573&h=3e1727c6705508840168ac31fba22b4bf5ac9571&id=0&ban=305607&r=232685&ref=h&data=&subid=&iid=35616704021404648329850022254&new=1&dx=%3D%3DwD

вы можете подумать что это попандер я поставил, или рекламу от тизерки, но на сайте никакой другой рекламы кроме маркетгида я никогда не ставил, маркетгид отключил для эксперимента, а исходящие ссылки в статистике показывает все-равно, значит где-то живет вирус

rocksmart
Юзер

rocksmart - 6 июля 2014 17:44 -

меняй пароли ftp

justalex
Юзер

justalex - 6 июля 2014 17:52 -

rocksmart,
та, это что, уже давно поменял, права везде позакрывал

lutskboy
Эксперт

lutskboy - 6 июля 2014 20:30 -

ДЛЕ дырявый. Тем более до 10 версии включительно. Пароли меняй не меняй, толку ноль.

RedRat
Юзер

RedRat - 7 июля 2014 11:49 -

Еще вариант где прячется: База данных, таблица новостей dle_post. Обычно приписывают к новости код, вида JS.

Скачайте сканер:
http://admin-club.ru/scripts/573-simple-scaner-last-modificied-files.html

1. И запустите. Он выдаст последние измененные файлы. Если код дописывает робот, то он непременно наследит и вряд ли позаботиться о том что бы замести следы. Поэтому, вероятно, что "паучки" будут в топе, по дате изменения файла.

2. Скачайте, если сервер удаленный, сайт полностью на локальный компьютер. В Total Commander, запустите поиск по файлам "*.php", с содержанием "eval(b". К тому же, любой локальный антивирус засекает вредоносный веб-код и сигнализирует об этом. Даже Windows Defender, не говоря уже о Касперском.

3. "Заморозьте" сайт, наложите права 666 (запрет на любую запись) на все файлы и папки сайта. Но только после сканирования по последним измененным файлам.

4. Сканирование файлов делайте каждые 4-6 часов.


У вас VPS или снимаете хостинг?
Адрес вашего сайта (если 18+, то в ПМ)?
Установлены ли какие-либо модули, если да, то какие точно?

profdesigner
Юзер

profdesigner - 18 июля 2014 10:01 -

Посмотри в Шаблоне. Такое же дело ловил. Это может быть подставленный шаблон новый (у меня был smartphone) и назначенный по умолчанию. Я просто выбрал свой предыдущий шаблон из попытался максимально закрыть образовавшуюся дыру.

Lynat1k
Юзер

Lynat1k - 25 сентября 2014 15:04 -

та же фигня на сайте
те же переходы на сайт этот. хз че делать

Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

наверх