Вирус. Перенаправление при входе с мобильных устройств.

[morgannZ 0]

Помогите решить проблему. Сайт 1000designs.ru

Яша закрыл сайт, т.к. при переходе с мобильных устройств идёт переадресация. Не могу найти где эта хрень прописана.

Пробовал уже кучу способов, перерыл кучу инфы, а именно:

- перезалил полностью движок (обновил все файлы, включая /templates/smartphone)

- проверил во всех не изменяемых перезаливкой файлах: .htaccess, index.php, файлы в /engine/data, init.php, engine.php.

- искал в файлах шаблона *.tpl

Также нигде не заметил динамического исполнения кода или обфускации. Не могу найти, где идёт перенаправление.

Техподдержка Яши ответила следующее:

"

При последней проверке Вашего сайта наши алгоритмы обнаружили код, автоматически перенаправляющий посетителей на следующий вредоносный ресурс: transp0rter.ru при посещении сайта с мобильных устройств.

Подробнее прочитать о политике Яндекса в отношении мобильных редиректов вы можете в нашем блоге Поиска:

http://webmaster.ya....l?item_no=12778

http://webmaster.ya....l?item_no=13106

Пожалуйста, проверьте данную информацию и удалите код, ответственный за перенаправление. Если вы не размещали этот код самостоятельно, возможно, ваш сайт подвергся взлому. В этом случае воспользуйтесь рекомендациями, описанными в нашей Помощи: http://help.yandex.r...ter/?id=1116613 .

"

Подскажите, может кто знает, где ещё ковырять?

[gigabyte 0]

Помогите решить проблему. Сайт 1000designs.ru

Яша закрыл сайт, т.к. при переходе с мобильных устройств идёт переадресация. Не могу найти где эта хрень прописана.

Пробовал уже кучу способов, перерыл кучу инфы, а именно:

- перезалил полностью движок (обновил все файлы, включая /templates/smartphone)

- проверил во всех не изменяемых перезаливкой файлах: .htaccess, index.php, файлы в /engine/data, init.php, engine.php.

- искал в файлах шаблона *.tpl

Также нигде не заметил динамического исполнения кода или обфускации. Не могу найти, где идёт перенаправление.

Техподдержка Яши ответила следующее:

"

При последней проверке Вашего сайта наши алгоритмы обнаружили код, автоматически перенаправляющий посетителей на следующий вредоносный ресурс: transp0rter.ru при посещении сайта с мобильных устройств.

Подробнее прочитать о политике Яндекса в отношении мобильных редиректов вы можете в нашем блоге Поиска:

http://webmaster.ya....l?item_no=12778

http://webmaster.ya....l?item_no=13106

Пожалуйста, проверьте данную информацию и удалите код, ответственный за перенаправление. Если вы не размещали этот код самостоятельно, возможно, ваш сайт подвергся взлому. В этом случае воспользуйтесь рекомендациями, описанными в нашей Помощи: http://help.yandex.r...ter/?id=1116613 .

"

Подскажите, может кто знает, где ещё ковырять?

Вопрос, у вас DLE лицензия?

Когда я зашел на сайт с планшета, был редирект на другой сайт, но мне выдало ошибку 503,нужно внимательно просматривать .htaccess!

Изменено 30 августа 2013 пользователем gigabyte

[alex32 941]

через фтп скачайте и проверьте htaccess в корне и в шаблонах, чаще всего там редирект ставят

[morgannZ 0]

Вопрос, у вас DLE лицензия?

Когда я зашел на сайт с планшета, был редирект на другой сайт, но мне выдало ошибку 503,нужно внимательно просматривать .htaccess!

Конечно лицензия. И ещё активная.

.htaccess в корне:

DirectoryIndex index.php

php_value register_globals 0

RewriteEngine On

# Редиректы

RewriteRule ^page/([0-9]+)(/?)$ index.php?cstart=$1 [L]

# Сам пост

RewriteRule ^([0-9]{4})/([0-9]{2})/([0-9]{2})/page,([0-9]+),([0-9]+),(.*).html(/?)+$ index.php?subaction=showfull&year=$1&month=$2&day=$3&news_page=$4&cstart=$5&news_name=$6&seourl=$6 [L]

RewriteRule ^([0-9]{4})/([0-9]{2})/([0-9]{2})/page,([0-9]+),(.*).html(/?)+$ index.php?subaction=showfull&year=$1&month=$2&day=$3&news_page=$4&news_name=$5&seourl=$5 [L]

RewriteRule ^([0-9]{4})/([0-9]{2})/([0-9]{2})/print:page,([0-9]+),(.*).html(/?)+$ engine/print.php?subaction=showfull&year=$1&month=$2&day=$3&news_page=$4&news_name=$5&seourl=$5 [L]

RewriteRule ^([0-9]{4})/([0-9]{2})/([0-9]{2})/(.*).html(/?)+$ index.php?subaction=showfull&year=$1&month=$2&day=$3&news_name=$4&seourl=$4 [L]

RewriteRule ^([^.]+)/page,([0-9]+),([0-9]+),([0-9]+)-(.*).html(/?)+$ index.php?newsid=$4&news_page=$2&cstart=$3&seourl=$5&seocat=$1 [L]

RewriteRule ^([^.]+)/page,([0-9]+),([0-9]+)-(.*).html(/?)+$ index.php?newsid=$3&news_page=$2&seourl=$4&seocat=$1 [L]

RewriteRule ^([^.]+)/print:page,([0-9]+),([0-9]+)-(.*).html(/?)+$ engine/print.php?news_page=$2&newsid=$3&seourl=$4&seocat=$1 [L]

RewriteRule ^([^.]+)/([0-9]+)-(.*).html(/?)+$ index.php?newsid=$2&seourl=$3&seocat=$1 [L]

RewriteRule ^page,([0-9]+),([0-9]+),([0-9]+)-(.*).html(/?)+$ index.php?newsid=$3&news_page=$1&cstart=$2&seourl=$4 [L]

RewriteRule ^page,([0-9]+),([0-9]+)-(.*).html(/?)+$ index.php?newsid=$2&news_page=$1&seourl=$3 [L]

RewriteRule ^print:page,([0-9]+),([0-9]+)-(.*).html(/?)+$ engine/print.php?news_page=$1&newsid=$2&seourl=$3 [L]

RewriteRule ^([0-9]+)-(.*).html(/?)+$ index.php?newsid=$1&seourl=$2 [L]

# За день

RewriteRule ^([0-9]{4})/([0-9]{2})/([0-9]{2})(/?)+$ index.php?year=$1&month=$2&day=$3 [L]

RewriteRule ^([0-9]{4})/([0-9]{2})/([0-9]{2})/page/([0-9]+)(/?)+$ index.php?year=$1&month=$2&day=$3&cstart=$4 [L]

# За весь месяц

RewriteRule ^([0-9]{4})/([0-9]{2})(/?)+$ index.php?year=$1&month=$2 [L]

RewriteRule ^([0-9]{4})/([0-9]{2})/page/([0-9]+)(/?)+$ index.php?year=$1&month=$2&cstart=$3 [L]

# Вывод за весь год

RewriteRule ^([0-9]{4})(/?)+$ index.php?year=$1 [L]

RewriteRule ^([0-9]{4})/page/([0-9]+)(/?)+$ index.php?year=$1&cstart=$2 [L]

# вывод отдельному тегу

RewriteRule ^tags/([^/]*)(/?)+$ index.php?do=tags&tag=$1 [L]

RewriteRule ^tags/([^/]*)/page/([0-9]+)(/?)+$ index.php?do=tags&tag=$1&cstart=$2 [L]

# поиск по доп полям

RewriteRule ^xfsearch/([^/]*)(/?)+$ index.php?do=xfsearch&xf=$1 [L]

RewriteRule ^xfsearch/([^/]*)/page/([0-9]+)(/?)+$ index.php?do=xfsearch&xf=$1&cstart=$2 [L]

# вывод для отдельного юзера

RewriteRule ^user/([^/]*)/rss.xml$ engine/rss.php?subaction=allnews&user=$1 [L]

RewriteRule ^user/([^/]*)(/?)+$ index.php?subaction=userinfo&user=$1 [L]

RewriteRule ^user/([^/]*)/page/([0-9]+)(/?)+$ index.php?subaction=userinfo&user=$1&cstart=$2 [L]

RewriteRule ^user/([^/]*)/news(/?)+$ index.php?subaction=allnews&user=$1 [L]

RewriteRule ^user/([^/]*)/news/page/([0-9]+)(/?)+$ index.php?subaction=allnews&user=$1&cstart=$2 [L]

RewriteRule ^user/([^/]*)/news/rss.xml(/?)+$ engine/rss.php?subaction=allnews&user=$1 [L]

# вывод всех последних новостей

RewriteRule ^lastnews(/?)+$ index.php?do=lastnews [L]

RewriteRule ^lastnews/page/([0-9]+)(/?)+$ index.php?do=lastnews&cstart=$1 [L]

# вывод в виде каталога

RewriteRule ^catalog/([^/]*)/rss.xml$ engine/rss.php?catalog=$1 [L]

RewriteRule ^catalog/([^/]*)(/?)+$ index.php?catalog=$1 [L]

RewriteRule ^catalog/([^/]*)/page/([0-9]+)(/?)+$ index.php?catalog=$1&cstart=$2 [L]

# вывод непрочитанных статей

RewriteRule ^newposts(/?)+$ index.php?subaction=newposts [L]

RewriteRule ^newposts/page/([0-9]+)(/?)+$ index.php?subaction=newposts&cstart=$1 [L]

# вывод избранных статей

RewriteRule ^favorites(/?)+$ index.php?do=favorites [L]

RewriteRule ^favorites/page/([0-9]+)(/?)+$ index.php?do=favorites&cstart=$1 [L]

RewriteRule ^rules.html$ index.php?do=rules [L]

RewriteRule ^statistics.html$ index.php?do=stats [L]

RewriteRule ^addnews.html$ index.php?do=addnews [L]

RewriteRule ^rss.xml$ engine/rss.php [L]

RewriteRule ^sitemap.xml$ uploads/sitemap.xml [L]

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule ^([^.]+)/page/([0-9]+)(/?)+$ index.php?do=cat&category=$1&cstart=$2 [L]

RewriteRule ^([^.]+)/?$ index.php?do=cat&category=$1 [L]

RewriteCond %{REQUEST_FILENAME} !-f

RewriteRule ^([^.]+)/rss.xml$ engine/rss.php?do=cat&category=$1 [L]

RewriteRule ^page,([0-9]+),([^/]+).html$ index.php?do=static&page=$2&news_page=$1 [L]

RewriteRule ^print:([^/]+).html$ engine/print.php?do=static&page=$1 [L]

RewriteCond %{REQUEST_FILENAME} !-f

RewriteRule ^([^/]+).html$ index.php?do=static&page=$1 [L]

в папке /templates/smartphone

Order allow,deny

Deny from all

<FilesMatch "\.(css)$|^$">

   Order deny,allow

   Allow from all

</FilesMatch>

в папке /templates

<FilesMatch "\.(php|php3|php4|php5|php6|phtml|phps)$|^$">

   Order allow,deny

   Deny from all

</FilesMatch>

В остальных почти все что-то типа Order allow,deny и Deny from all

Никакой переадресации.

[alex32 941]

значит надо шерстить двиг

[morgannZ 0]

значит надо шерстить двиг

я ж писал, двиг перелил с дистрибутива полностью.

[alex32 941]

я ж писал, двиг перелил с дистрибутива полностью.

Я понимаю что перелили, но вопросы надо комплексно решать. Вы пока один файл льете, другой уже заражен может быть. Слейте копию сайта на локалку и там уже чистите, я так всем делаю, результаты на лицо

[efremovxp 6]

Смотрите по датам изменения файлов. Используйте стандартный функционал - Антивирус.

[morgannZ 0]

Спасибо, конечно, за советы, но это всё сделано уже и проверено.

Хотелось бы ещё услышать авторитетные мнения, кто более конкретно может помочь, подсказать, где ещё можно поискать. Пока всё, что было предложено, сделано давно + много инфы перерыл, тоже проверял.

Может в бд сидит что-то? как проверить? чем и что искать?

[alex32 941]

Может в бд сидит что-то?

запросто. Но я даю 90%, что это в файлах скрипта.

Изменено 31 августа 2013 пользователем alex32

[Nektov 59]

Вам же уже писали. Слейте на комп файлы сайта + бекап БД и проверьте. Для начала можете штатным антивирусом на компе, ну а потом сравните код дистрибутива с вашим (для этого есть куча софта). И самое главное меняйте пароли на хостинг (БД+ФТП+Веб доступ) и комп. Также можете проверить комп каким то антивирусом.

Да, БД перед проверкой нужно распаковать. Также в БД и файлах сайта поищите что то аля http: и т. д.

[celsoft 6 045]

morgannZ,

Очень похоже что у вас была старая версия скрипта и вы вовремя не поставили патчи безопасности http://dle-news.ru/bags/

Что вам нужно сделать подробно описано на странице http://forum.dle-news.ru/index.php?showtopic=62025&view=findpost&p=309347

[Sahro 12]

Проверьте еще файлы config и dbconfig, бывают, что туда дописывают код. И еще как вариант - рекламные площадки. Есть такие, что временами мобильный трафик тырят, побробуйте на время их удалить. Я у друга подобное недавно обнаружил. Он написал саппорту рекламной площадки и те извиняясь исправляли.

[ka4a 0]

+ за пост выше, была такая приблуда когда поломали сайт. было в дбконфиг

[morgannZ 0]

всем спасибо, но никто не помог

Все штатные анитвирусы, переливы дистрибутивов, проверка файлов в engine/data/ и прочие меры не помогли. Нашёл на форумах тему про антивирь ai-bolit. Вот он мне помог.

Оказалось, редирект сидел в файле сапы, удалил и всё нормально. Кстати, с помощью этой проги нашёл ещё шеллы в файлах сайта.

теперь поставлю оповещение на мыло при изменениях файлов