Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Происходит редирект на сайты с рекламой


RomanZUB

Recommended Posts

При первом заходе на любую страницу сайта происходит несколько редиректов по сайтам и в конечном итоге на последнем сайте показывается реклама типа Фаворит и т.п.

 

Сканировал Айболитом - ничего он не нашел. Ранее когда были проблемы с вирусами Айболит всегда находил зараженные файлы.

Куда копать?

Змінено користувачем RomanZUB
Надіслати
Поділитися на інших сайтах


Ваш сайт гуглить или догадаться?

Надіслати
Поділитися на інших сайтах

36 хвилин назад, RomanZUB сказав:

При первом заходе на любую страницу сайта происходит несколько редиректов по сайтам и в конечном итоге на последнем сайте показывается реклама типа Фаворит и т.п.

 

Сканировал Айболитом - ничего он не нашел. Ранее когда были проблемы с вирусами Айболит всегда находил зараженные файлы.

Куда копать?

Дам совет уже сталкивался клиентов взламывали, открой индексный файл и удали если имеется кусок кода лишний

Надіслати
Поділитися на інших сайтах


35 minutes ago, bodyak0 said:

Дам совет уже сталкивался клиентов взламывали, открой индексный файл и удали если имеется кусок кода лишний

 

В index.php ничего лишнего нет. Сверил его с файлом из старого архива - все один в один.

Откатывал два раза бэкап - и через некоторое время зараза опять появляется.

Надіслати
Поділитися на інших сайтах


Вообщем я начал смотреть везде и наткнулся на JS код там где его быть не должно. В админке во вкладке Сервер есть поле "Код Google Analytics" - туда и запихнули этот JS код, который перекидывал на рекламу.  Убрал его уже норм работает магазин.

 

Подскажите, как туда могли засунуть его извне  ?  Пароль к админке кроме меня никто не знает.... По логике вещей через FTP если бы залезли - то разместили бы прямо в коде.

 

Может через PMA залили код ?

Змінено користувачем RomanZUB
Надіслати
Поділитися на інших сайтах


1 час назад, RomanZUB сказал:

 

В index.php ничего лишнего нет. Сверил его с файлом из старого архива - все один в один.

Откатывал два раза бэкап - и через некоторое время зараза опять появляется.

5 тыс в личку помогу

Если хотите дешевле то модули покупать нужно а не качать

Надіслати
Поділитися на інших сайтах


Только что, RomanZUB сказал:

Вообщем я начал смотреть везде и наткнулся на JS код там где его быть не должно. Убрал его уже норм работает магазин.

 

В админке во вкладке Сервер есть поле "Код Google Analytics" - туда и запихнули этот JS код, который перекидывал на рекламу.

 

Подскажите, как туда могли засунуть его извне  ?  Пароль к админке кроме меня никто не знает.... По логике вещей через FTP если бы залезли - то разместили бы прямо в коде.

 

Может через PMA залили код ?

взломать магазин не опенкарт становится все легче

очень много модулей в которых есть уязвимости - не исключение модули именитых авторов как МаркиМакс и др

так что это может быть и не ваша вина - и шелл уже может там жить

Надіслати
Поділитися на інших сайтах


2 minutes ago, AUSS said:

взломать магазин не опенкарт становится все легче

очень много модулей в которых есть уязвимости - не исключение модули именитых авторов как МаркиМакс и др

так что это может быть и не ваша вина - и шелл уже может там жить

 

Т.е. через шелл мне могут снова и снова закидывать этот вредоносный код ?

Надіслати
Поділитися на інших сайтах


11 minutes ago, AUSS said:

да легко

 

А есть какие либо очевидные признаки по которым можно отследить в коде Shell   ? Я могу слить файлы сайта по FTP и пройтись поиском через npp

Надіслати
Поділитися на інших сайтах


Открываете лог сервера и ищите стремные запросы которые отличаются от всех и вероятно этот ip будет часто

 

/index.php?route=product%2Fproduct&product_id=2542%27%20AND%20%28SELECT%208266%20FROM%28SELECT%20COUNT%28%2A%29%2CCONCAT%280x7162767671%2C%28SELECT%20MID%28%28IFNULL%28CAST%28lastname%20AS%20NCHAR%29%2C0x20%29%29%2C1%2C54%29%20FROM%20sanilux.oc_order%20ORDER%20BY%20order_id%20LIMIT%20309%2C1%29%2C0x7176786271%2CFLOOR%28RAND%280%29%2A2%29%29x%20FROM%20INFORMATION_SCHEMA.PLUGINS%20GROUP%20BY%20x%29a%29--%20yM

что то такое

Надіслати
Поділитися на інших сайтах


On 2/7/2020 at 3:51 PM, AUSS said:

Открываете лог сервера и ищите стремные запросы которые отличаются от всех и вероятно этот ip будет часто

 


/index.php?route=product%2Fproduct&product_id=2542%27%20AND%20%28SELECT%208266%20FROM%28SELECT%20COUNT%28%2A%29%2CCONCAT%280x7162767671%2C%28SELECT%20MID%28%28IFNULL%28CAST%28lastname%20AS%20NCHAR%29%2C0x20%29%29%2C1%2C54%29%20FROM%20sanilux.oc_order%20ORDER%20BY%20order_id%20LIMIT%20309%2C1%29%2C0x7176786271%2CFLOOR%28RAND%280%29%2A2%29%29x%20FROM%20INFORMATION_SCHEMA.PLUGINS%20GROUP%20BY%20x%29a%29--%20yM

что то такое

 

Я решил вопрос проще - удалил в PMA ячейку для этого поля google_analytics  и этот вредоносный код уже не может записаться. Так что вопрос решен

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.