exces

Удалить вредоносный код

32 posts in this topic

Всем привет. На сайте завелся какой-то паразит... сайт на дле 9.8 и при переходе в полную новость с мобильного устройства (заходил на сайт с телефона на Андройде) происходит редирект.

Искал его, но ничего не нашел... можете подсказать и помочь мне в данном вопросе?

Share this post


Link to post
Share on other sites

Обращайтесь в ЛС. Специализируюсь на этом. Нужно сканировать сайт целиком. Вредоносные скрипты ставят в разных местах, а также оставляют несколько запасных входов на сайт

Share this post


Link to post
Share on other sites

Неплохо бы посмотреть содержимое .htacces 

DirectoryIndex index.php
AddDefaultCharset windows-1251
RewriteEngine On

# Карта сайта
RewriteRule ^sitemap(/?)+$ /?do=sitemap [L]

### START Редирект с первой страницы на основную
RewriteRule ^(.*)/page/1/$ $1/ [R=301,L]
RewriteRule ^(.*)page/1/$ $1/ [R=301,L]
### END Редирект с первой страницы на основную
   
# Редиректы
RewriteRule ^page/(.*)$ index.php?cstart=$1 [L]

# Сам пост
RewriteRule ^([0-9]{4})/([0-9]{2})/([0-9]{2})/page,([0-9]+),([0-9]+),(.*).html(/?)+$ index.php?subaction=showfull&year=$1&month=$2&day=$3&news_page=$4&cstart=$5&news_name=$6&seourl=$6 [L]
RewriteRule ^([0-9]{4})/([0-9]{2})/([0-9]{2})/page,([0-9]+),(.*).html(/?)+$ index.php?subaction=showfull&year=$1&month=$2&day=$3&news_page=$4&news_name=$5&seourl=$5 [L]
RewriteRule ^([0-9]{4})/([0-9]{2})/([0-9]{2})/print:page,([0-9]+),(.*).html(/?)+$ engine/print.php?subaction=showfull&year=$1&month=$2&day=$3&news_page=$4&news_name=$5&seourl=$5 [L]
RewriteRule ^([0-9]{4})/([0-9]{2})/([0-9]{2})/(.*).html(/?)+$ index.php?subaction=showfull&year=$1&month=$2&day=$3&news_name=$4&seourl=$4 [L]

RewriteRule ^([^.]+)/page,([0-9]+),([0-9]+),([0-9]+)-(.*).html(/?)+$ index.php?newsid=$4&news_page=$2&cstart=$3&seourl=$5&seocat=$1 [L]
RewriteRule ^([^.]+)/page,([0-9]+),([0-9]+)-(.*).html(/?)+$ index.php?newsid=$3&news_page=$2&seourl=$4&seocat=$1 [L]
RewriteRule ^([^.]+)/print:page,([0-9]+),([0-9]+)-(.*).html(/?)+$ engine/print.php?news_page=$2&newsid=$3&seourl=$4&seocat=$1 [L]
RewriteRule ^([^.]+)/([0-9]+)-(.*).html(/?)+$ index.php?newsid=$2&seourl=$3&seocat=$1 [L]

RewriteRule ^page,([0-9]+),([0-9]+),([0-9]+)-(.*).html(/?)+$ index.php?newsid=$3&news_page=$1&cstart=$2&seourl=$4 [L]
RewriteRule ^page,([0-9]+),([0-9]+)-(.*).html(/?)+$ index.php?newsid=$2&news_page=$1&seourl=$3 [L]
RewriteRule ^print:page,([0-9]+),([0-9]+)-(.*).html(/?)+$ engine/print.php?news_page=$1&newsid=$2&seourl=$3 [L]
RewriteRule ^([^.]+)/([0-9]+)-(.*)\.\.(/?)+$ index.php?newsid=$2&seourl=$3&seocat=$1 [L]
RewriteRule ^([0-9]+)-(.*)\.\.(/?)+$ index.php?newsid=$1&seourl=$2 [L]
RewriteRule ^([0-9]+)-(.*).html(/?)+$ index.php?newsid=$1&seourl=$2 [L]

# За день
RewriteRule ^([0-9]{4})/([0-9]{2})/([0-9]{2})(/?)+$ index.php?year=$1&month=$2&day=$3 [L]
RewriteRule ^([0-9]{4})/([0-9]{2})/([0-9]{2})/page/([0-9]+)(/?)+$ index.php?year=$1&month=$2&day=$3&cstart=$4 [L]
# За весь месяц
RewriteRule ^([0-9]{4})/([0-9]{2})(/?)+$ index.php?year=$1&month=$2 [L]
RewriteRule ^([0-9]{4})/([0-9]{2})/page/([0-9]+)(/?)+$ index.php?year=$1&month=$2&cstart=$3 [L]
# Вывод за весь год
RewriteRule ^([0-9]{4})(/?)+$ index.php?year=$1 [L]
RewriteRule ^([0-9]{4})/page/([0-9]+)(/?)+$ index.php?year=$1&cstart=$2 [L]
# вывод отдельному тегу
RewriteRule ^tags/([^/]*)(/?)+$ index.php?do=tags&tag=$1 [L]
RewriteRule ^tags/([^/]*)/page/([0-9]+)(/?)+$ index.php?do=tags&tag=$1&cstart=$2 [L]
# поиск по доп полям
RewriteRule ^xfsearch/([^/]*)(/?)+$ index.php?do=xfsearch&xf=$1 [L]
RewriteRule ^xfsearch/([^/]*)/page/([0-9]+)(/?)+$ index.php?do=xfsearch&xf=$1&cstart=$2 [L]
# вывод для отдельного юзера
RewriteRule ^user/([^/]*)/rss.xml$ engine/rss.php?subaction=allnews&user=$1 [L]
RewriteRule ^user/([^/]*)(/?)+$ index.php?subaction=userinfo&user=$1 [L]
RewriteRule ^user/([^/]*)/page/([0-9]+)(/?)+$ index.php?subaction=userinfo&user=$1&cstart=$2 [L]
RewriteRule ^user/([^/]*)/news(/?)+$ index.php?subaction=allnews&user=$1 [L]
RewriteRule ^user/([^/]*)/news/page/([0-9]+)(/?)+$ index.php?subaction=allnews&user=$1&cstart=$2 [L]
RewriteRule ^user/([^/]*)/news/rss.xml(/?)+$ engine/rss.php?subaction=allnews&user=$1 [L]
# вывод всех последних новостей
RewriteRule ^lastnews(/?)+$ index.php?do=lastnews [L]
RewriteRule ^lastnews/page/([0-9]+)(/?)+$ index.php?do=lastnews&cstart=$1 [L]
# вывод в виде каталога
RewriteRule ^catalog/([^/]*)/rss.xml$ engine/rss.php?catalog=$1 [L]
RewriteRule ^catalog/([^/]*)(/?)+$ index.php?catalog=$1 [L]
RewriteRule ^catalog/([^/]*)/page/([0-9]+)(/?)+$ index.php?catalog=$1&cstart=$2 [L]
# вывод непрочитанных статей
RewriteRule ^newposts(/?)+$ index.php?subaction=newposts [L]
RewriteRule ^newposts/page/([0-9]+)(/?)+$ index.php?subaction=newposts&cstart=$1 [L]
# вывод избранных статей
RewriteRule ^favorites(/?)+$ index.php?do=favorites [L]
RewriteRule ^favorites/page/([0-9]+)(/?)+$ index.php?do=favorites&cstart=$1 [L]

RewriteRule ^rules.html$ index.php?do=rules [L]
RewriteRule ^statistics.html$ index.php?do=stats [L]
RewriteRule ^addnews.html$ index.php?do=addnews [L]
RewriteRule ^rss.xml$ engine/rss.php [L]
RewriteRule ^sitemap.xml$ uploads/sitemap.xml [L]

RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^([^.]+)/page/([0-9]+)(/?)+$ index.php?do=cat&category=$1&cstart=$2 [L]
RewriteRule ^([^.]+)/?$ index.php?do=cat&category=$1 [L]

RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^([^.]+)/rss.xml$ engine/rss.php?do=cat&category=$1 [L]
RewriteRule ^page,([0-9]+),([^/]+).html$ index.php?do=static&page=$2&news_page=$1 [L]
RewriteRule ^print:([^/]+).html$ engine/print.php?do=static&page=$1 [L]

RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^([^/]+).html$ index.php?do=static&page=$1 [L]

### Редиректы с site.ru/category/index.php на site.ru/category/ и др.
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} (.*)index\.php$
RewriteRule ^(.*)index\.php$ $1 [R=301,L]
### Редиректы с index.php на сайт
RewriteBase /
RewriteCond %{THE_REQUEST} ^[A-Z]{3,9}\ /index\.php\ HTTP/
RewriteRule ^index\.php$ / [R=301,L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

Index.php Сбросьте мне

скинул в лс

Share this post


Link to post
Share on other sites

нажми редактировать новост. и посмотри если есть сторонний код в новости. значит надо лечить базу данных. и надо закрыть дырку в движке. у меня вчера два сайта взламали

Share this post


Link to post
Share on other sites

в js файлах от PLUSO вставляют обычно редиры. 

удалял код, но проблема оставалась...

Share this post


Link to post
Share on other sites

нажми редактировать новост. и посмотри если есть сторонний код в новости. значит надо лечить базу данных. и надо закрыть дырку в движке. у меня вчера два сайта взламали

нету ничего, к сожалению..

Обращайтесь в ЛС. Специализируюсь на этом. Нужно сканировать сайт целиком. Вредоносные скрипты ставят в разных местах, а также оставляют несколько запасных входов на сайт

Ваши услуги платные? :) Цена вопроса?

Share this post


Link to post
Share on other sites

Ответил в ЛС. Простым удалением кода проблема не решится - нужно полное лечение сайта

Share this post


Link to post
Share on other sites

Скрипт сайта обнуленный или скачанный с офф. сайта и крякнутый? 

Мне кажется надо было начинать именно с этого вопроса :)

Share this post


Link to post
Share on other sites

Скрипт сайта обнуленный или скачанный с офф. сайта и крякнутый? 

крякнутый конечно :)

Share this post


Link to post
Share on other sites

крякнутый конечно :)

В таком случаи полное лечение сайта не требуется. Нужно лишь перекопать шаблон. 

Share this post


Link to post
Share on other sites

А модули какие то ставили? 

ничего нового не вносилось, а проблема появилась только пару дней назад..

Share this post


Link to post
Share on other sites

 

В таком случаи полное лечение сайта не требуется. Нужно лишь перекопать шаблон. 

Шаблон на сайте с мая месяца. Проблемы начались несколько дней назад. Яндекс несколько дней назад уже пометил сайт как опасный для пользователей. Это вам о чем-то говорит?

Share this post


Link to post
Share on other sites

ничего нового не вносилось, а проблема появилась только пару дней назад..

Проверил на своем телефоне на android. Редирект действительно есть, перекидывает на agry.net а затем еще на какой-то сайт. Не вижу на какой, у меня зависает браузер и вылетает из процессов. 

 Ковырять надо шаблон. Так вряд ли кто-то поможет. 

 Еще вижу модуль "палец вниз, палец вверх". Очищали его перед установкой ? 

Share this post


Link to post
Share on other sites

Проверил на своем телефоне на android. Редирект действительно есть, перекидывает на agry.net а затем еще на какой-то сайт. Не вижу на какой, у меня зависает браузер и вылетает из процессов. 

 Ковырять надо шаблон. Так вряд ли кто-то поможет. 

 Еще вижу модуль "палец вниз, палец вверх". Очищали его перед установкой ? 

да вроди бы чистый он... еще проверил на всякий...

Share this post


Link to post
Share on other sites

нажми редактировать новост. и посмотри если есть сторонний код в новости. значит надо лечить базу данных. и надо закрыть дырку в движке. у меня вчера два сайта взламали

Можно подробней пожалуйста.

Share this post


Link to post
Share on other sites

Поставьте стандартный шаблон, проверьте с телефона останется редирект или нет.

остался... :(

Share this post


Link to post
Share on other sites

Для начала стоит обновиться до 10.x, так как на античате крайне много "тем" по взлому 9.х и более ранних. Причем ставить чистый дистрибутив, а не самопальный нулл.

Share this post


Link to post
Share on other sites

Можно подробней пожалуйста.

зайди на сайт, выбери старую новость. нажми редактировать в полной и краткой смотри нет ли левых ссылок 5 разных типа гугл, яндекс иеще пару. точно скинуть не могу так как пишу с планшета.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.