[Vooda2012]

Добрый день. Недавно просела посещаемость на одном из сайтов. Когда начал копать, с целью выяснить причину, обнаружил, что сайт отдает интересный ответ сервера, а именно - 302. Это еще не все - в ответе сервера видна переадресация на левый домен.

Вот ответ сервера:

HTTP/1.1 302 Found
Server: nginx/1.8.0
Date: Mon, 25 Jan 2016 07:42:36 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
Set-Cookie: statLog=1
Location: http://best-davi.com/new/?v=i_mysite.com

mysite.com - мой сайт

Собственно, сперва проверил конфигурационный файл nginx, но там ничего необычного вроде не увидел. На всякий случай продублирую:

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

Как думаете, где можно выловить этот редирект?

[DOleg]

А в htaccess?

[Vooda2012]

DOleg, htaccess нету. Забыл уточнить, что сервер настроен nginx-php-fpm (без аппача).

П.С. Сам захожу с разных компьютеров на сайт - все нормально. С мобильного сейчас нет возможности зайти. Посмотрите кто может, есть ли редирект

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 200 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

[Gann]

Vooda2012, да, с мобильника редиректит.

я зашёл со своей рабочей машины - перекинуло на другой домен, не такой как на мобилке.



второй раз открылся ваш сайт

[Gann]

Посмотрите файлы движка... вполне возможно что взломали через xmlrpc.php. Переустановите движок и удалите xmlrpc.php может что и получится.

[Vooda2012]

Вот же гадство( Уже весь сервер облазил - не могу найти ничего. Как бы на санкции от ПС не нарваться такими темпами.

---------- Сообщение добавлено 12:51 ---------- Предыдущее 12:50 ----------

Gann, xmlrpc используется для кросспостинга.

---------- Сообщение добавлено 12:54 ---------- Предыдущее 12:51 ----------

Хреново искал. Отбой. В корневом каталоге оказался индексный файл с таким вот веселым содержанием:

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

другой вопрос как это туда попало?

[Coder]

Уже весь сервер облазил - не могу найти ничего

Смотрите инструкцию: _http://coderhs.com/archive/delete_virus

Для сервера программы поиска и пр.: "Файлы и ссылки к видео" к видео №9 _http://coderhs.com/ya_school/

[Gann]

Vooda2012,

другой вопрос как это туда попало?

Почитайте на харбе, может что и подскажет путь

_http://habrahabr.ru/company/xakep/blog/259843/
_http://habrahabr.ru/post/232129/
_http://habrahabr.ru/post/206488/

п.с. ещё вот здесь _https://perishablepress.com/protect-against-wordpress-brute-force-amplification-attack/ - если вам нужно продолжить использование xmlrpc

[SimplyWAYM]

Vooda2012,
Если проблема актуальна напишите в Тикет в Биллинг Центре
Наш суппорт сделает все за отзыв