Не нравятся результаты поиска? Попробуйте другой поиск!
DLE FAQ » Все вопросы » Общие вопросы » Не могу убрать перенаправление на другой сайт

Не могу убрать перенаправление на другой сайт


     15.05.2014    Все вопросы » Общие вопросы    6078

вопрос
В общем, возникла огромная проблема. Есть сайт. Совершенно случайно заметил, что примерно раз в час буквально на несколько секунд, максимум - на пару минут при заходе на него идет тут же перенаправление на различные сайты фишинговой тематики. Как бы, с дле дружу давно и ранее сам свободно находил вирус. Тут облазил весь движок и шаблон, потом снес нафик и поставил заново с нуля двигатель, обновив его на 10.2, поменял пароли но буквально через несколько минут опять появилось это перенаправление (что интересно, всегда в одно и тоже время в начале каждого часа, 16.00, 17.00 и так далее, может минутой раньше или же минутой позже). Естественно, в файле .htaccess ничего не нашел, да и перезалил его на новый. К тому же постоянно делаю снимок встроенным антивирусом и давно уже стоит AntiShell Пафнутия, но увы, данная защита не помогла. Изменения файлов не показывал не снимок, ни Антишелл. Где-то код влез и я не могу его найти. Яндекс пока молчит, но это дело времени, скоро будет выдавать сайт зараженным. Пробовал скачивать логи с сервера, но ничего толком там не понял. Хотя и знаю время перенаправления, но может не те логи смотрел...
Кто сталкивался с данной проблемой? Кто может реально найти вирус и его удалить? Обращаюсь к нашим гуру, готов оплатить работу. Гарантией является высокий бизнес левел моего кошелька.

С уважением, Денис

Ответа пока нет


16 комментариев

vitnet
PHP-developer

vitnet - 15 мая 2014 18:36 -

Может хостер шутит

Бахмут
Юзер

Бахмут - 15 мая 2014 18:42 -

vitnet, у меня 2 VPS на данном хосте. На том, где лежит этот сайт, еще находятся три других. Проблем нигде не возникло. Допускаю вирус на сервере, потому и прошу помощи у знающих людей.

vitnet
PHP-developer

vitnet - 15 мая 2014 18:44 -

Если VPS значит все-таки что-то есть

lutskboy
Эксперт

lutskboy - 15 мая 2014 18:50 -

киньте адрес в личку. хотя в вашей ситуации сложно что-то сделать раз вы уже и двиг оновили. и редирект етот не постоянный.

Бахмут
Юзер

Бахмут - 15 мая 2014 19:15 -

Скинул в личку. В том-то и дело, что случай "запущенный". Вирус странно себя ведет. Всего несколько секунд, минуту и рубится. Хотя я подозреваю, может связано с тем, что я из Украины и мой ip ему не интересен. Может ловит уников на редиректы с России... Может кто-то умеет правильно логи читать с VPS, хотя там сам ничего не нашел.
Вот подозрительная строка захода в момент редиректа с логов:
173.208.... - - [15/May/2014:15:59:54 +0400] "GET /+++++++++++++++++++++++++++++++++++++++++++++++++Result:+chosen+nickname+%22WilliamGaw%22;+success; HTTP/1.0" 404 37421 "http://sayt.ru/+++++++++++++++++++++++++++++++++++++++++++++++++Result:+chosen+nickname+%22WilliamGaw%22;+success;" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.117 Safari/537.36 OPR/20.0.1387.64"

Непонятное количество в адресе плюсов... в общем, ищу специалиста в данном вопросе.

p.s. Если поставить метрику от Яндекса, там переходы откуда и куда можно отследить более подробно, не так как в liveinternet, кто знает?

xsash
Юзер

xsash - 15 мая 2014 21:47 -

На тему каждый час... Может куки ставятся?
А можно тоже глянуть сайтик

Lalka
Юзер

Lalka - 16 мая 2014 22:05 -

Проверь
dbconfing.php

Правда у меня там был давно прописан редирект ( когда дле через загрузку авы, ломали) и щас баг исправили, но ты все равно проверь.

Бахмут
Юзер

Бахмут - 17 мая 2014 18:45 -

Lalka, проверил, там все нормально. И мне кажется, если память не изменяет, тогда с авами роблема была в том, что в кеше появлялись дубли данного файла. Что-то типа - minify_dbconfig.php.js_ab062da2ee3cd13cce104b37cb9d2156. И эти дубли злоумышленник мог читать. В самом файле ничего не прописывалось.

dj-avtosh
PHP-developer

dj-avtosh - 18 мая 2014 15:26 -

Напиши в аську - поправлю

По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.

RadarWeb
Юзер

RadarWeb - 18 мая 2014 15:41 -

Проверь адекватность размеров загруженных юзерами аватарок и если антивирь в снимках не находит ничего, то только на UI сайта надо думать, копаться в системных файлах бесполезно.
Тоже не отказался бы глянуть на сайт.

Бахмут
Юзер

Бахмут - 18 мая 2014 19:51 -

Папку Fotos с аватарками проверил почти сразу визуально (обычно вирусная аватарка не воспроизводит рисунок в просмотрщиках картинок) и антивире. Увы, все чисто. Сайт вам отправил. Может что-то углядите.

dj-avtosh
PHP-developer

dj-avtosh - 18 мая 2014 15:44 -

Мне кажется что какое-то дополнение браузера открывает страницу левую))

По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.

Бахмут
Юзер

Бахмут - 18 мая 2014 19:40 -

dj-avtosh, тоже была такая версия. Но помимо того, что открывается только на одном единственном сайте, еще на двух компах и ловил как в хроме, так и в опере. Также, насколько я знаю, такие дополнения не делают редирект, чтоб их не искали и не сносили. Просто открывают чужую страницу на новой вкладке, например, при старте браузера. Тут же ситуация в том, что в течении минут не могу открыть именно этот сайт, кидает редирект. Остальные сайты, которые даже на этом VPS, работают безпроблемно. Вот такие "пироги"...

alekun
Юзер

alekun - 18 мая 2014 19:54 -

Киньте логи (апач, nginx - что стоит), желательно за сутки. Не думаю, что там больше 100-150 мегабайт, можно на обменники. Посмотрю.

Бахмут
Юзер

Бахмут - 19 мая 2014 12:37 -

Спасибо, тогда вечером скину, чтоб более сутки охватить. А 24.00 они обнулились.

Бахмут
Юзер

Бахмут - 31 мая 2014 14:16 -

не туда...

Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

наверх