В общем, суть такая.
Столкнулся с двумя штуками одновременно - не знаю, связаны они между собой или нет.
1. На сайте _chelnytown.ru - при попытке ввести запрос в поисковую строку (оранжевая лупа) меня выбрасывает на страницу аппача - http://i73.fastpic.ru/big/2016/0108/...a55baa5845.jpg
2. Проверил Я.Метрику, посмотреть запросы, с которых перешли.
В одно время написали статью, которая нынче шибко популярна, чуть ли не каждый день прут по разным идиотским запросам - в нашем случае в данный момент - "лиза энн новости".
Открываю Яндекс, там такая ерунда - http://i73.fastpic.ru/big/2016/0108/...89bae8277d.jpg
Открываю сохраненную копию - там вот это - http://i73.fastpic.ru/big/2016/0108/...d66f1076ec.jpg
Ссылки активные. Сейчас через админку проверяю, ничего подобного нет. И как давно это было, может, это просто остатки, и еще не переиндексировалось, не знаю.
Что это может быть (оба случая)? Как это вообще вживили? И как это вычистить, если эти ссылки еще, конечно, существуют? И как залатать дыру, если она еще есть? Как это проверить?
- 08.01.2016 15:37Творец
- Регистрация: 01.05.2013
- Сообщений: 1,107
- Репутация: 294
Последний раз редактировалось M_W; 08.01.2016 в 15:42.
- 0
- 08.01.2016 15:52
Проверяйте файлы, похоже вам залили дор, а в хтаццессе очевидно плохо прописаны для него правила, возможно из-за этого при попытке поиска перекидывает на страницу аппача (?s=).
Хотя уже не перекидывает. Подчистили?- 0
- 08.01.2016 16:09Творец
- Регистрация: 01.05.2013
- Сообщений: 1,107
- Репутация: 294
DOleg, да, с аппачем разобрался. А вот насчет дора - соглашусь.
В некоторых статьях нашел разбавления предложений в виде фраз "чехлы для мобильных телефонов" и подобной мути. Самое что интересное, вписано очень аккуратно, прям читабельно.
А как решить эту проблему? Что искать?- 0
- 08.01.2016 16:20Это ваши статьи или статьи дора? Если вам переписали ваши тексты, то только восстановить сайт из бекапа, с того, в котором нет этой гадости. А бекапа конечно такого нет... :)
Сообщение от M_W 
Дальше менять пароли и думать, как могли получить доступ к сайту.
---------- Сообщение добавлено 13:20 ---------- Предыдущее 13:16 ----------
Только сейчас обратил внимание, что это ВП. Тема откуда? Вы её проверяли? Плагины?- 2
- 08.01.2016 16:22Творец
- Регистрация: 01.05.2013
- Сообщений: 1,107
- Репутация: 294
DOleg, конечно, нет. Сайт сто раз доделывался, переделывался. А когда вся эта муть появилась - кто его знает...
---------- Сообщение добавлено 16:22 ---------- Предыдущее 16:20 ----------
DOleg, тема купленная. Не с паблика. Плагины только постоянно обновляющиеся, их там всего-то штук пять, все с оф сайта.- 0
08.01.2016 16:25Если вставлено аккуратно, прямо в середину текста, то скорее всего вставлено через админку, а значит есть к ней доступ. Меняйте пароли, ищите уязвимость, ищите вредоносные файлы. Сообщение от M_W
Для начала хорошо подойдет Манул https://yandex.ru/promo/manul#about
Если он ничего не найдет, тогда сканируйте айблолитом.
Обновляйте все движок и все что обновляется. Меняйте везде пароли.
Если дыру найти не удалось. Поставьте какой нибудь скрипт или плагин, который будет анализировать изменения файлов на сервере и при следующем заражении (которое по любому произойдет если не закрыть дыру) этот скрипт известит вас о том какие именно файлы были изменены и во сколько, а по логам вычислите дыру.- 1
Спасибо сказали:
M_W(08.01.2016),- 08.01.2016 16:27Quae res omnia
- Регистрация: 29.01.2015
- Сообщений: 821
- Репутация: 299
Посмотрите: Удалить вирус с сайта самостоятельно _http://coderhs.com/archive/delete_virus
Сам пользовал/ю эту инструкцию, а фильтр применяю на всех проектах (если только заказчик явно не упирается) - чтобы там в комментах не писали, работает и устраивает - на сейчас, конечно.- 1
Спасибо сказали:
M_W(08.01.2016), - 08.01.2016 16:30
Еще момент. Если ничего не найдете. Вставлено через админку, а значит вставить могли и вы - копируя текст из текстового редактора. Вирус на вашем компе вставлял в него инородную вставку и вы ее просто не заметили. Чистите комп на вирусы.
Также на моей практике были случаи когда так пытались заработать редакторы сайта, которые не чисты на руку. Бывало что человек работал и вроде порядочный, доступы у него были от админки, а потом оказывается что именно он так решил подзаработать.- 1
Спасибо сказали:
M_W(08.01.2016), - 08.01.2016 16:45
3s777, вовсе необязательно, уязвимость может быть (и чаще всего) на уровне mysql - инклюдят прямо в страницу легко
- 0
- 08.01.2016 16:49
zloberman, вполне возможно и mysql. Но при вставке скриптами в базу очень часто это выглядит довольно топорно, не органично, хотя видел разное)))
ТС пишет, что вставлено грамотно а значит нельзя однозначно сказать что работали с базой.
В любом случае прежде всего нужно искать дыру.- 0
Тэги топика:
Похожие темы
| Темы | Раздел | Ответов | Последний пост |
|---|---|---|---|
Подскажите, пожалуйста! | Партнерские программы | 4 | 04.10.2014 01:06 |
Подскажите пожалуйста | Оффтоп и свободные темы | 5 | 25.10.2012 03:06 |
Подскажите пожалуйста. | Вопросы от новичков | 1 | 20.04.2011 18:30 |
Подскажите пожалуйста) | Вопросы от новичков | 14 | 25.03.2011 18:45 |
Подскажите пожалуйста! | 8 | 23.12.2010 05:27 |
adsense cpa telegram wordpress xrumer youtube zennoposter аккаунт база банка быть вконтакт гугл делиться день есть запрос идея изменение импорт использовать карта качественный кейс ключ комплексный контакт купить люба место можно монетизация накрутка новый нч-сч партнерский партнёрка партнёрская программа платформа поддержка поинт поинтовый программа работа размещение ресурс рост сайт скрипт спам ссылка стать страна тариф тиц-пр трастовый трафик учет хрумер шаблон
Тем:
77,476Сообщений:
761,522Пользователей:
30,076Сейчас на сайте:
0 пользователей и 357 гостей
