Непонятный переход

[Вася 4]

Здравствуйте. Такая проблема, при переходе на сайт eragames.biz перекидывает на другие сайты . вот скрины http://eragames.biz/bezymjannyj.png, http://eragames.biz/maiprt.png Помогите кто в курсе что это? 

[seechoice 28]

это редирект

[Safon 18]

Редирект в файле http://share.cntrlmrktng.ru/1.1/goodshare.js на

location.href="http://popular-psychology.ru"

[demini 41]

Javascript редирект. В коде страницы:
 

<script type="text/javascript" charset="UTF-8" async="async" src="http://share.cntrlmrktng.ru/1.1/goodshare.js"></script>

Именно в этом подгружаемом скрипте и прописан редирект. Сайт, как я понял, ваш? Просто удалите эту строчку из кода шаблона, и успокойтесь=)

[Вася 4]

Javascript редирект. В коде страницы:

 

<script type="text/javascript" charset="UTF-8" async="async" src="http://share.cntrlmrktng.ru/1.1/goodshare.js"></script>

Именно в этом подгружаемом скрипте и прописан редирект. Сайт, как я понял, ваш? Просто удалите эту строчку из кода шаблона, и успокойтесь=)

 

 а он во всех страницах сайта есть или как? что то не могу найти 

[Вася 4]

спасибо большое , нашел 

[ToXaD3 30]

и успокойтесь=)

Не соглашусь. Успокоиться стоит тогда, когда узнаете из-за чего она там появилась. Меняйте все пароли (фтп, админка, панель и тд).

[files 2844]

Не соглашусь. Успокоиться стоит тогда, когда узнаете из-за чего она там появилась. Меняйте все пароли (фтп, админка, панель и тд).

 

Похоже на новую, пока малоизвестную дыру. Сегодня столкнулся с тем же, на одном из клиентских сайтов. 

Код, маскирующийся под кнопки социальных сетей:

<script type="text/javascript" charset="UTF-8" async="async" src="http://share.cntrlmrktng.ru/1.1/goodshare.js"></script>
<div id="goodshare" themecolor="color" themestyle="roundedge" socialnetworks="vkontakte,ok,twitter,googleplus,mailru,yazakladki,email" iconsize="37" buttonfixed="left" viewcounter="true"></div>

был прописан в index.php темы, а также дополнительно как текстовый виджет.

 

Пока, профилактически, проблема решена чистой установкой последней ВП, а также удалением стандартных тем ВП. Естественно, все плагины обновлены. Внесены блокировки от SQL и XSS атак.

[node.js 103]

логи сервера бы глянуть, а там и дырку найти не проблема

[files 2844]

логи сервера бы глянуть, а там и дырку найти не проблема

В том то и дело, что это произошло не сегодня и не вчера.

[demini 41]

Не соглашусь. Успокоиться стоит тогда, когда узнаете из-за чего она там появилась. Меняйте все пароли (фтп, админка, панель и тд).

Да-да, с успокоением я что-то погорячился. Просто почему-то подумалось, что владелец сам вшил этот код, устанавливая "кнопки соц. сетей" с сайта cntrlmrktng.ru

[AlexandraTk 1]

Тоже самое: 

<script type="text/javascript" charset="UTF-8" async="async" src="http://share.cntrlmrktng.ru/1.1/goodshare.js"></script>

нашла в файле footer.inc.php. и штука эта сидит именно в теме сайта

удалила - все Ок, но...

до этого поменяла все пароли на всех уровнях... включая админки сайтов

теперь вот сижу и сканирую все пхпешные файлы. ну и на всякий случай джейесные.

 

Спасибо, ребят, без вас бы быстро не сообразила бы. 

[Griffin 306]

Недели полторы назад в логах видел, кто то папку с плагинами сканировал, какие установлены. Так сканировали активно, что нагрузили хостинг. Может и вас через плагины подломили?

[node.js 103]

Недели полторы назад в логах видел, кто то папку с плагинами сканировал, какие установлены. Так сканировали активно, что нагрузили хостинг. Может и вас через плагины подломили?

сканируют софтом, у меня та же беда, но нагрузки незначительные от этого, хотя ежедневно перебирают адреса. Очень много обращений идет на выяснение движка сайта в основном ищут WP, и доступ к админке, кто то ищет бэкапы сайта, кто то сторонние плагины в основном загрузчики, видать есть в них дыры, по крайней мере просто так бы не искали. Но так же есть и индивидуалы которые просто хотят узнать на чем стоит сайт, так же ищут различные зацепки.

[Griffin 306]

сканируют софтом, у меня та же беда, но нагрузки незначительные от этого, хотя ежедневно перебирают адреса. Очень много обращений идет на выяснение движка сайта в основном ищут WP, и доступ к админке, кто то ищет бэкапы сайта, кто то сторонние плагины в основном загрузчики, видать есть в них дыры, по крайней мере просто так бы не искали. Но так же есть и индивидуалы которые просто хотят узнать на чем стоит сайт, так же ищут различные зацепки.

Понимаю, что автоматически сканируют. Думаю, может дыра какая то стала известна и сканируют массово.

[node.js 103]

Понимаю, что автоматически сканируют. Думаю, может дыра какая то стала известна и сканируют массово.

Так и есть, просто так перебирать сайты не будут, это затратно. А дыры есть везде, просто в популярных системах знают где и в чем их искать. Может даже банально собирают базу сайтов на WP, потом выпускают какой то полезный сторонний плагин с дырой и там уже пошло поехало.

[Terminatoro 0]

Здравствуйте! У меня проблема, при переходе на сайт salex-lcc.com.ua, перебрасывает на сайт http: //popular-psychology.ru/

Total Commander пытался найти

http://share.cntrlmrktng.ru/1.1/goodshare.js

http://mc.yandex.ru/watch/27154544

http: //popular-psychology.ru/

Ничего не вышло.

Сама проблема возникла 14.11.2015 с утра.

Восстанавливал со своих бэкапов за 27.10.2015, также с бэкапа хостинга 01.10.2015, ничего не помогло.

Проверял на вирусы, нечего не нашло.

Служба поддержки хостинга не знает, что и посоветовать.

Вот еще не могу разобраться, я не могу зайти на сайт с рабочего компьютера, также с компьютера пользователя, но вот с домашнего все замечательно работает.

Чистил кэш браузера, и кэш сайта. Все тоже самое.

[files 2844]

Здравствуйте! У меня проблема, при переходе на сайт salex-lcc.com.ua, перебрасывает на сайт http: //popular-psychology.ru/

Total Commander пытался найти

http://share.cntrlmrktng.ru/1.1/goodshare.js

http://mc.yandex.ru/watch/27154544

http:/ /popular-psychology.ru/

Ничего не вышло.

Сама проблема возникла 14.11.2015 с утра.

Восстанавливал со своих бэкапов за 27.10.2015, также с бэкапа хостинга 01.10.2015, ничего не помогло.

Проверял на вирусы, нечего не нашло.

Служба поддержки хостинга не знает, что и посоветовать.

Вот еще не могу разобраться, я не могу зайти на сайт с рабочего компьютера, также с компьютера пользователя, но вот с домашнего все замечательно работает.

Чистил кэш браузера, и кэш сайта. Все тоже самое.

Ищите не в файлах, а в бд

[AlexandraTk 1]

Здравствуйте! У меня проблема, при переходе на сайт salex-lcc.com.ua, перебрасывает на сайт http: //popular-psychology.ru/

 

Я вижу, Вы нашли проблему. Поделитесь где лежала строчка?

[AlexandraTk 1]

сканируют софтом, у меня та же беда, но нагрузки незначительные от этого, хотя ежедневно перебирают адреса. Очень много обращений идет на выяснение движка сайта в основном ищут WP, и доступ к админке, кто то ищет бэкапы сайта, кто то сторонние плагины в основном загрузчики, видать есть в них дыры, по крайней мере просто так бы не искали. Но так же есть и индивидуалы которые просто хотят узнать на чем стоит сайт, так же ищут различные зацепки.

 

Вот как себя защитить? Подскажите рекрутеру, у которого хобби сайтики-визитки делать

[DmitryRA 0]

Коллеги, давайте вычислим вредоносный плагин?

Столкнулся с аналогичной проблемой. В файл шаблона поста был внедрен вредоносный ява-скрипт, ведущий на ****share.cntrlmrktng.ru/1.1/goodshare.js****

 

Вредоносный код с помощью этого форума вычислил у удалил. После этого обнаружил подозрительный плагин, который я сам не устанавливал WP SuperCache (в деактивированном состоянии). Поэтому просто удаление вредоносной строчки кода не помогло. Пришлось удалить кеширующий плагин вместе со всеми сгенеренными им данными.

 

Как зараза ко мне пролезла пока не вычислил. Предлагаю всем пострадавшим опубликовать на форме список используемых плагинов и тем wordpress, чтобы дедуктивным методом вычислить код, повлекший за собой заражение сайта вирусом.

 

Начну с себя.

Плагины:

• Akismet
• All In One SEO Pack
• Alpine PhotoTile for Instagram
• amrshortcode any widget
• cforms2
• Contact Form 7
• Easy Post View Counter
• HyperComments
• Kento Post View Counter
• Lightbox Plus Colorbox
• Мета слайдер
• qTranslate
• Quick Shop
• QuickShop Updater
• RusToLat
• Skype Online Status
• WordPress Backup to Dropbox
• WP-location-tracking
• Список страниц

Активная тема: Hueman

[spartak-90 0]

Коллеги, давайте вычислим вредоносный плагин?

Столкнулся с аналогичной проблемой. В файл шаблона поста был внедрен вредоносный ява-скрипт, ведущий на ****share.cntrlmrktng.ru/1.1/goodshare.js****

 

Вредоносный код с помощью этого форума вычислил у удалил. После этого обнаружил подозрительный плагин, который я сам не устанавливал WP SuperCache (в деактивированном состоянии). Поэтому просто удаление вредоносной строчки кода не помогло. Пришлось удалить кеширующий плагин вместе со всеми сгенеренными им данными.

 

Как зараза ко мне пролезла пока не вычислил. Предлагаю всем пострадавшим опубликовать на форме список используемых плагинов и тем wordpress, чтобы дедуктивным методом вычислить код, повлекший за собой заражение сайта вирусом.

 

Начну с себя.

Плагины:

• Akismet
• All In One SEO Pack
• Alpine PhotoTile for Instagram
• amrshortcode any widget
• cforms2
• Contact Form 7
• Easy Post View Counter
• HyperComments
• Kento Post View Counter
• Lightbox Plus Colorbox
• Мета слайдер
• qTranslate
• Quick Shop
• QuickShop Updater
• RusToLat
• Skype Online Status
• WordPress Backup to Dropbox
• WP-location-tracking
• Список страниц

Активная тема: Hueman

а в каком именно файле был записан ява скрипт?

[AlexandraTk 1]

Друзья, я вот что нашла:

*******

 

И там вот что:

"Здравствуйте!

Если вы обнаружили, что с вашего сайта идёт редирект сюда, это НЕ ЗНАЧИТ, что ваш сайт взломали.

Это значит, что на вашем сайте есть предустановленный, ведущий на несуществующий уже сервис социальных кнопок cntrlmrktng.ru

Этот домен был месяц назад просрочен владельцами данного сервиса и он попал на биржу доменов в свободную продажу.
Там я его выбрал среди тысяч других и купил для своего проекта. Что это был за домен и кому принадлежал я понятия не имел.

После чего вдруг я начал получать множество жалоб и, даже, угроз со стороны владельцев различных сайтов.
Якобы я крутой хакер и взломал их сайт.
На самом деле не хотел никому зла, а причина различных глюков был злополучный скрипт, ведущий уже на мой cntrlmrktng.ru

Я пытался связаться с владельцами этого сервиса и вернуть им домен, но они не отвечают. Возможно, эта организация уже не работает.
Жаль, что они вот так подставили тысячи пользователей своих кнопок.

Теперь к делу:

Всё просто. Чтобы устранить проблему, удалите с сайта всё, что связано с сервисами типа Share Buttons.
В вордпрессе это плагин кнопок соцсетей, скорее всего. 
Может быть такая строчка в коде: <script charset="UTF-8" type="text/javascript" src="http:// share.cntrlmrktng.ru/1.1/goodshare.js"></script>

Если вы не являетесь администратором сайта, то прошу попытаться связаться с ним и дать ссылку на это сообщение.

 

Всем добра!"

 

Может и правда мы сами виноваты? ХЗ

Edited December 28, 2015 by Воланд
Активная ссылка

[Error 667]

Всем добра!"

 

Может и правда мы сами виноваты? ХЗ

Мадам, я вас продам, куплю конфет, а вам не дам.

И к чему ваше последнее сокращение?

А еще и дама, хотя я сомневаюсь.

Еще раз увижу вашу пошлятину - смою в унитаз!!!

[Воланд 5018]

Мадам, я вас продам, куплю конфет, а вам не дам.

И к чему ваше последнее сокращение?

А еще и дама, хотя я сомневаюсь.

Еще раз увижу вашу пошлятину - смою в унитаз!!!

 

Саш, ну ты чего..это ж спам