Jump to content
Sign in to follow this  
sz3lo

Wirus(?) przekierowanie na stronie

Recommended Posts

Słuchajcie, mam dziwny problem.

Otóż od pewnego czasu użytkownicy strony zgłaszają mi dziwny problem, mianowicie jeden z urli w głównym menu strony przekierowuje zamiast pod właściwy, to pod różnego rodzaju spamerskie adresy typu:

http://pk5umhzdmjhcjhxhj31hywf.dermalogica.name.tr/

http://vmtc2t4kcevvktkxtvawkfn.americanfreetube.com/

http://fyxjiq1b0ehy9yem929xaww418453917319823e0594aca3f6c000521.ambit.com.mx/index2.php

Dzieje się to tylko przy pierwszym odwiedzeniu tego linka, nie na wszystkich komputerach, u mnie na windows 7 problem nie występuje, sprawdziłem na xp i takie coś zauważyłem. Natomiast użytkownicy z systemem win 7 również zgłaszają mi podobny problem.

Sprawdziłem kod strony - nie widać żadnych dodatkowych skryptów, iframeów, nic w tym stylu.

Sprawdziłem wszystkie pliki na serwerze w katalogu tej domeny, nie ma nic nowego, nic też nie było ostatnio modyfikowane.

Ściągnąłem to wszystko na komputer, sprawdziłem avastem, kasperskim, malwarebytes - czysto.

Poprosiłem również o sprawdzenie innych użytkowników strony- mówią że mają czysty system, mimo to przekierowanie pojawia się u wielu osób.

Plik htaccess jest czysty.

Strona stoi na autorskim cmsie.

Dzisiaj opera zablokowała stronę, boje się że to samo zrobi google.

Nie mam już pomysłów.

Czy ktoś miał podobny problem?

Co robić? Jak pozbyć się tego cholerstwa? :|


zrób to jeszcze raz pożegnasz się z forum...

Share this post


Link to post
Share on other sites

dzwoń do wróża macieja - może on bez adresu pomoże (wyczyta z fusów albo z tarota)


Panie Boże, chroń mnie przed debilami, bo rozmowa z nimi powoduje, że  grzeszę pychą..

Były sobie świnki trzy - content, google oraz link | jestem uczulony na pierd*lenie głupot | idiot intruder aka internetowy poszukiwacz prawdy 

Share this post


Link to post
Share on other sites

dzwoń do wróża macieja - może on bez adresu pomoże (wyczyta z fusów albo z tarota)

Dzieje się to przy wejściu na ten link:

http://twojetypy.pl/konto/typy.html

Tutaj mozesz sprawdzic

https://www.virustotal.com

Sprawdzałem już wcześniej. Tylko yandex coś wykrywa, konkretnie Troj/JSRedir-JC - teraz usiłuje się dowiedzieć o tym czymś więcej.


zrób to jeszcze raz pożegnasz się z forum...

Share this post


Link to post
Share on other sites

sprawdź katalogi cache, tmp lub podobne jeśli masz. Sprawdź też pliki .js, możesz spróbować odnaleźć po dacie modyfi,acji.

Share this post


Link to post
Share on other sites

Troj/JSRedir-JC

Czyli można wnioskować po nazwie, że coś znalazł. Przekierowanie w javascript.

Jesteś już na jakiejś liście badware, wiec niedlugo google zablkouje strone.

Podejrzewam, że korzystasz z jakichś dodatków czy programów partnerskich (w iframe czy js) i to być może one zostały zainfekowane (zewnetrzny serwer) więc tak naprawde Tobie może nic nie wykazać w plikach.

Edited by Bart.

Share this post


Link to post
Share on other sites

z tego co widzę, to targasz dane jakimś frameworkiem - tam też może być problem.


Panie Boże, chroń mnie przed debilami, bo rozmowa z nimi powoduje, że  grzeszę pychą..

Były sobie świnki trzy - content, google oraz link | jestem uczulony na pierd*lenie głupot | idiot intruder aka internetowy poszukiwacz prawdy 

Share this post


Link to post
Share on other sites

W którym miejscu był złośliwy kod?


nihil fit sine causa

Share this post


Link to post
Share on other sites

Nic nie znalazłem.

Przepatrzyłem wszystkie pliki, nic nie było ostatnio zmieniane, nic nowego sie nie pojawiło, w żadnych plikach nie widzę żadnych zmian, nic nietypowego.

Dodałem strone do narzędzi dla webmasterów yandex ale tam nie ma żadnych szczegółów. Zauważyłem że oni używają oprogramowania sophos, ściągnąłem sobie też tego anywirusa, przeskanowałem pliki strony i oczywiście nic nie wykazał.

Nie mam już pomysłów. Dzisiaj w nocy usune wszystko i wgram zbackupowane pliki sprzed paru miesięcy, potem pozmieniam wszystkie hasła. Jeśli to nic nie da, to już na prawde nie wiem...

Najgorsze jest to że u mnie na komputerze nic nie widać, sprawdzam na 3 komputerach... wszystko działa jak trzeba. Dostaje tylko wiadomości od użytkowników strony, często dość chaotyczne, trudno w ten sposób coś zdiagnozować.


zrób to jeszcze raz pożegnasz się z forum...

Share this post


Link to post
Share on other sites
Guest

Ilu użytkowników zgłaszało Ci ten problem? Może to jest wina po stronie konkretnego użytkownika?

Osobiście spotykałem się u innych osób z bonusowymi reklamami w przeglądarce i dziwnymi przekierowaniami, ale to był wirus po stronie klienta a nie strony www. :)

Share this post


Link to post
Share on other sites

Ilu użytkowników zgłaszało Ci ten problem? Może to jest wina po stronie konkretnego użytkownika?

Osobiście spotykałem się u innych osób z bonusowymi reklamami w przeglądarce i dziwnymi przekierowaniami, ale to był wirus po stronie klienta a nie strony www. :)

Też tak na początku myślałem. Ale w ciągu ostatnich paru dni co najmniej 5-6 zgłoszeń, wszyscy mówią o tym samym, przekierowanie po kliknięciu w ten jeden konkretny link. Więc nie sądze że to może być przypadek.

Program antywirusowy blokuje mi Twoją stronę ze stopki, masz przekierowanie do trojana.

Jakiego programu używasz?


zrób to jeszcze raz pożegnasz się z forum...

Share this post


Link to post
Share on other sites

Myślałem, że sobie z tym poradziłeś. Dla nowych IP jest wysyłany nagłówek z przekierowaniem, więc to coś gdzieś te IP zapisuje. Problem leży w php, prawdopodobnie w którejś z wtyczek.

E: Doczytałem, że CMS jest autorski. Nie używałeś do niego jakiś gotowców?

Edited by Trotyl

nihil fit sine causa

Share this post


Link to post
Share on other sites

Skanowałem te pliki darmową wersją kasperskiego i też nic nie wykazało.

Dzisiaj w nocy usunałem wszystkie pliki i w grałem te z kopii sprzed kilku miesięcy. Więc myśle że z mojej strony nic już nie ma, jeśli w ogóle było.

Odpisali mi z yandexa, bo ich męczyłem żeby mi wysłali jakieś szczegóły dlaczego moja strona jest bloknieta:

Hello, An infection has been detected at your server (you can find its description at http://www.welivesec...-also-affected/ ).

We recommend you to reset your web server and its components and check the server configs as well.

--

Sincerely yours, Platon

Yandex support team

http://help.yandex.com/search/

Czyli, dobrze rozumiem, problem jest po stronie serwera?

Edited by sz3lo

zrób to jeszcze raz pożegnasz się z forum...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. Terms of Use Privacy Policy