cityadspix.com - подозрительный код, маскирующийся под Google Analytics

[Absalem]

Заметила на днях, что ГА неправильно считает пользователей, полезла обновлять код в система-настройки-сервер, там у меня яндекс метрика, аналитикс и живосайт, и увидела этот код, маскирующийся под аналитикс. Для тех кто не знает - cityadspix.com это СРА сеть, в которой много вебмастеров, собирающих трафик недобросовестными способами, например установкой скриптов на чужие сайты.

Первое предположение было, что взломали админку, но ничего подозрительного, кроме этого кода не происходило.

Сейчас отключила на сервере фтп доступ и удалила из админки юзера admin, что еще можно сделать?

 

Если кто сталкивался, расскажите, откуда оно берётся и как обезопаситься в будущем?

<!-- ga -->
<script>
  (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
  (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
  m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
  })(window,document,'script','//www.google-analytics.com/analytics.js','<a href="http://cityadspix.com/tsclick-BQBE4NTK-MKIGQJBF?url=http%3A%2F%2Fwww.ulmart.ru%2Fgoods%2F305468&sa=wp&bt=20&pt=9&lt=2&tl=3&im=MzY1NS0wLTE0MTQyMjgyOTgtMTEyNTAxNzc%3D&prdct=043500370634073004&kw=ga')%3B%0A%20%20ga(" target="_blank" alt="<a href="http://cityadspix.com/tsclick-BQBE4NTK-MKIGQJBF?url=http%3A%2F%2Fwww.ulmart.ru%2Fgoods%2F305468&sa=wp&bt=20&pt=9&lt=2&tl=3&im=MzY1NS0wLTE0MTQyMjkyNjMtMTM2NjI4Mzc%3D&prdct=043500370634073004&kw=GA-Z77X-UD5H%20(rev.%201.0)" target="_blank" alt="GA-Z77X-<a href="http://cityadspix.com/tsclick-BQBE4NTK-MKIGQJBF?url=http%3A%2F%2Fwww.ulmart.ru%2Fgoods%2F483982&sa=wp&bt=20&pt=9&lt=2&tl=3&im=MzY1NS0wLTE0MTQyMjkyNjMtMTE2MzY1NTI%3D&prdct=05340638003b0e3303&kw=UD5H%20(rev.%201.0)" target="_blank" alt="GIGABYTE GA-Z87X-UD5H (<a href="http://cityadspix.com/tsclick-MIQCWPUV-GECAQBFF?url=http%3A%2F%2Fwww.sotmarket.ru%2Fproduct%2Fgigabyte-ga-z77x-up7-rev-1-0.html&sa=wp&bt=20&pt=9&lt=2&tl=3&im=ODI1LTAtMTQxNDIyOTI2My0xMTk1OTg2NQ%3D%3D&prdct=350233023505&kw=rev.%201.0)" target="_blank" alt="GIGABYTE GA-Z77X-UP7 (rev. 1.0)" title="GIGABYTE GA-Z77X-UP7 (rev. 1.0)" style="">rev. 1.0)</a>" title="GIGABYTE GA-Z87X-UD5H (rev. 1.0)" style="">UD5H (rev. 1.0)</a>" title="GA-Z77X-UD5H (rev. 1.0)" style="">GA-Z77X-UD5H (rev. 1.0)</a>" title="GA-Z77X-UD5H (rev. 1.0)" style="">ga');
  ga(</a>'create', 'UA-47321182-1', 'auto');
  ga('send', 'pageview');
</script>
<!-- /ga -->

[halfhope]

• Если есть другие сайты на аккаунте, то стоит в первую очередь посмотреть на них, OpenCart можно взломать только в редких случаях. 
• Поменяйте пароли для доступа
• Проверьте сайт ai bolit или PHP-Shell-Detector
• Раз уж смогли отличить код от оригинала, то интуиция подскажет что дальше делать. 

Как обезопаситься? Если даете доступ к сайту различным фрилансерам, то никак. Только своевременными бекапами.

[deim]

И проверьте папочку download в корне на наличие чего-нибудь, чего там быть не должно

[chukcha]

Подозреваю, на  заражение вашего компьютера, браузера

 

Код GA - где находится?

В базе он хранится с cityadx?

[AlexDW]

Было однажды пару лет назад подобное - во все .js файлы на серваке оказался встроен @овнокод

Вобщем, сразу сделал доступ FTP с ограничением по ip, с тех пор все ок

 

А, так у вас еще проще - в последних версиях прямо в настройках системы код аналитикс, метрики и прочих можно добавлять. Вот кто-то и добавил.

 

Если даете доступ к админке кому-то - максимально режьте ему права (настраиваются в Система-Пользователи-Группы пользователей)