Задать вопрос
Не нравятся результаты поиска? Попробуйте другой поиск!
DLE FAQ » Все вопросы » Общие вопросы » Не могу убрать перенаправление на другой сайт

Не могу убрать перенаправление на другой сайт

     15.05.2014    Все вопросы » Общие вопросы    6078

вопрос
В общем, возникла огромная проблема. Есть сайт. Совершенно случайно заметил, что примерно раз в час буквально на несколько секунд, максимум - на пару минут при заходе на него идет тут же перенаправление на различные сайты фишинговой тематики. Как бы, с дле дружу давно и ранее сам свободно находил вирус. Тут облазил весь движок и шаблон, потом снес нафик и поставил заново с нуля двигатель, обновив его на 10.2, поменял пароли но буквально через несколько минут опять появилось это перенаправление (что интересно, всегда в одно и тоже время в начале каждого часа, 16.00, 17.00 и так далее, может минутой раньше или же минутой позже). Естественно, в файле .htaccess ничего не нашел, да и перезалил его на новый. К тому же постоянно делаю снимок встроенным антивирусом и давно уже стоит AntiShell Пафнутия, но увы, данная защита не помогла. Изменения файлов не показывал не снимок, ни Антишелл. Где-то код влез и я не могу его найти. Яндекс пока молчит, но это дело времени, скоро будет выдавать сайт зараженным. Пробовал скачивать логи с сервера, но ничего толком там не понял. Хотя и знаю время перенаправления, но может не те логи смотрел...
Кто сталкивался с данной проблемой? Кто может реально найти вирус и его удалить? Обращаюсь к нашим гуру, готов оплатить работу. Гарантией является высокий бизнес левел моего кошелька.

С уважением, Денис

Ответа пока нет

 

16 комментариев

vitnet
PHP-developer

vitnet - 15 мая 2014 18:36 -

Может хостер шутит
Бахмут
Юзер

Бахмут - 15 мая 2014 18:42 -

vitnet, у меня 2 VPS на данном хосте. На том, где лежит этот сайт, еще находятся три других. Проблем нигде не возникло. Допускаю вирус на сервере, потому и прошу помощи у знающих людей.
vitnet
PHP-developer

vitnet - 15 мая 2014 18:44 -

Если VPS значит все-таки что-то есть
lutskboy
Эксперт

lutskboy - 15 мая 2014 18:50 -

киньте адрес в личку. хотя в вашей ситуации сложно что-то сделать раз вы уже и двиг оновили. и редирект етот не постоянный.
Бахмут
Юзер

Бахмут - 15 мая 2014 19:15 -

Скинул в личку. В том-то и дело, что случай "запущенный". Вирус странно себя ведет. Всего несколько секунд, минуту и рубится. Хотя я подозреваю, может связано с тем, что я из Украины и мой ip ему не интересен. Может ловит уников на редиректы с России... Может кто-то умеет правильно логи читать с VPS, хотя там сам ничего не нашел.
Вот подозрительная строка захода в момент редиректа с логов:
173.208.... - - [15/May/2014:15:59:54 +0400] "GET /+++++++++++++++++++++++++++++++++++++++++++++++++Result:+chosen+nickname+%22WilliamGaw%22;+success; HTTP/1.0" 404 37421 "http://sayt.ru/+++++++++++++++++++++++++++++++++++++++++++++++++Result:+chosen+nickname+%22WilliamGaw%22;+success;" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.117 Safari/537.36 OPR/20.0.1387.64"

Непонятное количество в адресе плюсов... в общем, ищу специалиста в данном вопросе.

p.s. Если поставить метрику от Яндекса, там переходы откуда и куда можно отследить более подробно, не так как в liveinternet, кто знает?
xsash
Юзер

xsash - 15 мая 2014 21:47 -

На тему каждый час... Может куки ставятся?
А можно тоже глянуть сайтик
Lalka
Юзер

Lalka - 16 мая 2014 22:05 -

Проверь
dbconfing.php

Правда у меня там был давно прописан редирект ( когда дле через загрузку авы, ломали) и щас баг исправили, но ты все равно проверь.
Бахмут
Юзер

Бахмут - 17 мая 2014 18:45 -

Lalka, проверил, там все нормально. И мне кажется, если память не изменяет, тогда с авами роблема была в том, что в кеше появлялись дубли данного файла. Что-то типа - minify_dbconfig.php.js_ab062da2ee3cd13cce104b37cb9d2156. И эти дубли злоумышленник мог читать. В самом файле ничего не прописывалось.
dj-avtosh
PHP-developer

dj-avtosh - 18 мая 2014 15:26 -

Напиши в аську - поправлю
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.
RadarWeb
Юзер

RadarWeb - 18 мая 2014 15:41 -

Проверь адекватность размеров загруженных юзерами аватарок и если антивирь в снимках не находит ничего, то только на UI сайта надо думать, копаться в системных файлах бесполезно.
Тоже не отказался бы глянуть на сайт.
Бахмут
Юзер

Бахмут - 18 мая 2014 19:51 -

Папку Fotos с аватарками проверил почти сразу визуально (обычно вирусная аватарка не воспроизводит рисунок в просмотрщиках картинок) и антивире. Увы, все чисто. Сайт вам отправил. Может что-то углядите.
dj-avtosh
PHP-developer

dj-avtosh - 18 мая 2014 15:44 -

Мне кажется что какое-то дополнение браузера открывает страницу левую))
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.
Бахмут
Юзер

Бахмут - 18 мая 2014 19:40 -

dj-avtosh, тоже была такая версия. Но помимо того, что открывается только на одном единственном сайте, еще на двух компах и ловил как в хроме, так и в опере. Также, насколько я знаю, такие дополнения не делают редирект, чтоб их не искали и не сносили. Просто открывают чужую страницу на новой вкладке, например, при старте браузера. Тут же ситуация в том, что в течении минут не могу открыть именно этот сайт, кидает редирект. Остальные сайты, которые даже на этом VPS, работают безпроблемно. Вот такие "пироги"...
alekun
Юзер

alekun - 18 мая 2014 19:54 -

Киньте логи (апач, nginx - что стоит), желательно за сутки. Не думаю, что там больше 100-150 мегабайт, можно на обменники. Посмотрю.
Бахмут
Юзер

Бахмут - 19 мая 2014 12:37 -

Спасибо, тогда вечером скину, чтоб более сутки охватить. А 24.00 они обнулились.
Бахмут
Юзер

Бахмут - 31 мая 2014 14:16 -

не туда...
Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

 01.07.2013 Гость  Общие вопросы
 18.09.2013 Бахмут  Общие вопросы
 09.10.2013 xpchelkinx  Общие вопросы
 30.05.2014 Бахмут  Общие вопросы
 06.07.2014 justalex  Общие вопросы
 28.07.2014 Kroys  Общие вопросы, Общие вопросы по PHP, MySQL
 28.07.2014 Skyter  Общие вопросы
 06.08.2014 ig55555or  Общие вопросы, Общие вопросы по PHP
 21.10.2014 xatabi41986  Общие вопросы
 12.05.2015 ArtuS  Общие вопросы, Общие вопросы по вёрстке
  • TeraMoune | Как отключить миниатюры стандартной гале ...
    Фото TeraMoune
    TeraMoune
    Как отключить миниатюры стандартной галереи Fancybox?
    Сегодня, 06:00
    В файле engine/classes/fancybox/fancybox.js искать нужную инициализацию и добавлять соответствующие параметры, весь список параметров и их описание можно найти на этой странице https://fancyapps.com/fancybox/api/options/

    Например: параметр Thumbs: false отключает миниатюры.
    Fancybox.bind("[data-highslide]", {
	groupAttr: 'data-highslide',
	idle:2000,
	Thumbs: false,
	caption: (fancybox, slide) => {
		if(  slide.thumbEl && slide.thumbEl.alt ) {
			return slide.thumbEl.alt
		}
	}
});
  • derebas | Как реализовать шифрование трафика? 3
    Фото derebas
    derebas
    Как реализовать шифрование трафика?
    18-11-2024, 16:52
    Ну в теории, можно использовать src на site.com разместить прокси на site2.com а выдавать видео с site3.com, при этом прямой доступ на site3.com закрыть, отдача будет только если запрос с site2.com, таким образом палится только site2.com, НО источник потокового видео, все равно можно увидеть если захотеть, а ссылки, ну купить домен dsac-43efew-csdds.uz как пример
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:46
    я уже делал. Пользователь 1000 (это я так понимаю root) и chmod 777
    Так и было...
  • lutskboy | Перенёс сайт - не работают кнопки, не от ... 8
    Фото lutskboy
    lutskboy
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:39
    чтоб не удалять выстави права и пользователя какие там идут на файлы. .
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:37
    т.е. мне снести всё, что я уже загрузил как root, зайти под юзером и закачать снова?
    Видосы в директории upload можно хоть оставить? их там 80 Гб
  • lutskboy | Перенёс сайт - не работают кнопки, не от ... 8
    Фото lutskboy
    lutskboy
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:17
    фтп обычный юзер а не root
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:15
    дэк только так и загружаю
  • Gordi | Как реализовать шифрование трафика? 3
    Фото Gordi
    Gordi
    Как реализовать шифрование трафика?
    18-11-2024, 14:14
    я тоже не понимаю....товарищ один, представитель хостинга сказал, что даже есть модули такие специальные под популярные цмс
  • lutskboy | Перенёс сайт - не работают кнопки, не от ... 8
    Фото lutskboy
    lutskboy
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:13
    Gordi,
    через фтп загружай
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:11
    Привет Николай!
    Всегда загружал от root... посмотришь может? твой плагин тоже не виден ((
    или направь на путь истинный, пжст
наверх