Reg.ru и getpdainfo.com

37
На сайте с 15.12.2011
Offline
15
9295

Добрый день.

Столкнулся с такой проблемой. На прошлой неделе получил письмо счастья от Яндекса о том что на моем сайте вирус. Естественно яндекс показывает пометку что мой сайт заражен, как результат - посетителей нет.

Начал разбираться. Это не первый мой случай когда я сталкиваюсь с заражением, поэтому начал по стандартной схеме искать уязвимости и дыры. Проверил самые подверженные заражению файлы .htcassees, index.php, configuration, все чисто.

Грешил на Jommla 1.5, проверил все файлы антивирусами разными - все чисто. Поискал через тотал текст вируса - пусто (искал по имени сайта или по base64) - чисто.

Через xenu нашел такую скрытую ссылку http://html.sdnsistems.net/ldr.php?313119644

Поискал ее во всех файлах сайта и бд - чисто.

Оказалось что при заходе на мой сайт с мобильника (проверял на нокиа) меня перенаправляет на сайт getpdainfo.com. При чем работает это только для одного ip один раз.

После множества тщетных попыток случайно зашел на второй мой сайт на этом же хостинге и обнаружил ту же проблему.

Хотя сайты разные, второй сайт на последней joomla 2.5, общих уязвимостей нет.

Перенес все файлы сайта на другой сайт, привязал к другому домену, все работает, никаких редиректов.

Написал хостеру - на что получил отписку типа "Мы вирусов не обнаружили ищите уязвимость на своих сайтах и вообще joomla 1.5 это шлак полный дыр".

Решил посмотреть на все сайты на моем сервере и с удивлением обнаружил что при заходе с телефона на эти сайты проблема та же. Идет редирект, правда на разные сайты.

Хостер от меня морозится, упорно утверждает что на его стороне проблем нет, просто это я дурак. Вот я и думаю, может я что-то упускаю. Где мне искать этот редирект? Как я могу быть снова белым и пушистым для яндекса? И потеряю ли я позиции в следствии всей этой возни?

forest25
На сайте с 12.09.2009
Offline
67
#1

Вы немного разделом ошиблись =)

А вообще т.к. у вас в основном сайты на Joomla то смотрите внимательнее точку входа - .htaccess и index.php + файлы шаблона. Скорее всего у вас где-то в шаблоне дописывается вредоносный js который и творит грязь =)

VPS 512MB 20GB SSD KVM - 5$ (http://u.hmdw.me/digitalocean) | ИМХО о хостингах (http://u.hmdw.me/hosting)
37
На сайте с 15.12.2011
Offline
15
#2
forest25:
А вообще т.к. у вас в основном сайты на Joomla то смотрите внимательнее точку входа - .htaccess и index.php + файлы шаблона. Скорее всего у вас где-то в шаблоне дописывается вредоносный js который и творит грязь =)

Я двое суток уже на них смотрю - кода нет. Тем более, что другие сайты на моем сервере на абсолютно разных движках, но проблема к сожалению та же...

[umka]
На сайте с 25.05.2008
Offline
456
#3

Если везде всё чисто, то это не та же оказия, что и с таймвебом?

/ru/forum/798529

Лог в помощь!
37
На сайте с 15.12.2011
Offline
15
#4
'[umka:
;11891980']Если везде всё чисто, то это не так же оказия, что и с таймвебом?
/ru/forum/798529

Ознакомился с их ситуацией. Очень и очень похоже. Только REG.RU упорно не подтверждает своей вины и ничего предпринимать не собирается.

[umka]
На сайте с 25.05.2008
Offline
456
#5
3s777:
Ознакомился с их ситуацией. Очень и очень похоже. Только REG.RU упорно не подтверждает своей вины и ничего предпринимать не собирается.

Таймвеб тоже сначала брыкался, судя по теме :)

37
На сайте с 15.12.2011
Offline
15
#6

Они могут долго брыкаться... Но сайты клиентские, мне голову за них оторвут, а доказать что это не моя вина я не могу...

draff
На сайте с 30.03.2010
Offline
65
#7
Хотя сайты разные, второй сайт на последней joomla 2.5, общих уязвимостей нет.

А хостер клиента,не руг.ру, съезжает на старую Джумла 1.5.А скрипт пишется и Джумла 2.5.

Не хотят работать.

Вопрос к знающим- а поможет отключение curl_exec,на запрет соединения с чужим сервером для загрузки "левого" яваскрипт ?

Удалю вирус с сайта Джумла! (http://joomlaforum.ru/index.php/topic,254903.0.html)
HM
На сайте с 14.01.2012
Offline
223
#8
draff:

Вопрос к знающим- а поможет отключение curl_exec,на запрет соединения с чужим сервером для загрузки "левого" яваскрипт ?

а причем там curl_exec?

разве код не внедряется модулем веб-сервера на лету?

37
На сайте с 15.12.2011
Offline
15
#9
draff:
curl_exec

Что это такое?

draff
На сайте с 30.03.2010
Offline
65
#10
hakuna matata:
а причем там curl_exec?
разве код не внедряется модулем веб-сервера на лету?

Я хочу определить кто виновник,скрипты Джумла,которые используют Curl или дырявый хостинг.

3s777

curl_exec — Выполняет запрос cURL

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий