Как понять где вирус на сайте vipholland.ru

Kruzenshtern · 20.06.2010, 19:13

Коллеги здравствуйте.

Нужен совет тех кто в теме. Есть сайт vipholland.ru
Если вбить адрес сайта в адрессной строке, идём на сайт всё прекрасно.

Но если на сайт попадают через поиск гугла - тут начинаются проблемы.
Как пример:

Вбиваем в гугле vipholland.ru

естественно получаем сайт на первом месте, но!, лик который ведёт на сайт выглядит так

_http://www.google.ca/url?sa=t&source=web&cd=1&ved=0CBQQFjAA&url=http%3A %2F%2Fwww.vipholland.ru%2F&ei=qy4eTM6-CsGBlAfLobD4DA&usg=AFQjCNFOcmxvaTliN5GwPHAa3GEVLVQ v1w&sig2=FiOiUW0P82CTKqIw__-p6A

при нажатии на который открывается классическое говнище про заражённость компьютера или про поиск шлюх в моём городе.

3 вопроса:

1. Как это случилось?
2. Кто виноват?
3. Что делать?

Заранее большое спасибо.

Valentyn · 20.06.2010, 19:25

Судя по поведению у вас там php вирус, который смотрит на реферера и в случае гугла делает редирект.

Меня кинул на www2.fireguardo8.co.cc

Давайте фтп, гляну.

Kruzenshtern · 20.06.2010, 19:44

Можно чуть подробней без фтп доступа, буду очень признателен.

Yura1978 · 20.06.2010, 19:58

Файл .htaccess есть - что там написано?

Valentyn · 20.06.2010, 20:08

Самый простой способ — посмотрите недавно обновлённые файлы на предмет незнакомого пхп-кода. Обычно там используются функции eval/base64_decode.

aljarru · 23.06.2010, 16:53

Valentyn, Я владелица этого сайта. Явно недавно измененных файлов я не нашла, так же как и указанных Вами слов.
Вот текст из htaccess.txt
##
# @version $Id: htaccess.txt 10492 2008-07-02 06:38:28Z ircmaxell $
# @package Joomla
# @copyright Copyright (C) 2005 - 2008 Open Source Matters. All rights reserved.
# @license http://www.gnu.org/copyleft/gpl.html GNU/GPL
# Joomla! is Free Software
##

################################################## ###
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations. It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file. If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url's. If they work,
# it has been set by your server administrator and you do not need it set here.
#
################################################## ###

## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

#
# mod_rewrite in use

RewriteEngine On

########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*$.*$ [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root)

# RewriteBase /

########## Begin - Joomla! core SEF Section
#
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !^/index.php
RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$ [NC]
RewriteRule (.*) index.php
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
#
########## End - Joomla! core SEF Section

Что то еще можно сделать чтобы найти причину?

Добавлено через 5 минут
хотя вроде страница еще и заблокирована но при обновлении попадает на нее, похоже гугловский баг был. А как у Вас?

Добавлено через 2 минуты
а с другого компа попадаю опять на вирус....

Shketus · 23.06.2010, 17:10

У Вас скрипт вылазит

Код:

<SCRIPT LANGUAGE="JavaScript">
<!--
setTimeout ("changePage()", 100);
function changePage() {
if (self.parent.frames.length != 0)
self.parent.location="http://p3p0.com/?said=3333g&q=http%3A%2F%2Fvipholland.ru%2F";
}
// -->
</SCRIPT>

Проверьте где он есть на сайте. "http://p3p0.com/?said=3333"

aljarru · 23.06.2010, 20:51

Я проверила сайт Total Commander на эту фразу и сделала еще копию сайта на компьютер и тоже поискала- НЕТ такой фразы. Проверила работу поисковиков на фразах которые есть на сайте- находят. В этом и проблема- ссылка работает только по ссылке с гугла, а по ссылкам с яндекса, рекламы или прямым заходам, а также ссылкам с других сайтов все работает нормально
Такое впечатление, что проблема на Гугле

eresik · 23.06.2010, 20:53

Я бы сказал такое впечатление что проблема на хостинге (хотя скорее всего - всё-таки на вашем сайте)

Anadonam · 23.06.2010, 21:00

Цитата:

Сообщение от Yura1978

Файл .htaccess есть - что там написано?

+1...

20.06.2010, 19:25	#2
Valentyn Мастер Регистрация: 26.06.2007 Адрес: Ukraine Сообщений: 652 Вес репутации: 233	Судя по поведению у вас там php вирус, который смотрит на реферера и в случае гугла делает редирект. Меня кинул на www2.fireguardo8.co.cc Давайте фтп, гляну. __________________ ab788932cee4ff449d2ec584da8af2b7 47fa7a5a72b89d8828985beec3a3c252

20.06.2010, 19:44	#3
Kruzenshtern Мастер Регистрация: 05.12.2008 Сообщений: 623 Вес репутации: 210	Можно чуть подробней без фтп доступа, буду очень признателен. __________________ Ouchy Bird - моя игрушка дял мобильников

20.06.2010, 20:08	#5
Valentyn Мастер Регистрация: 26.06.2007 Адрес: Ukraine Сообщений: 652 Вес репутации: 233	Самый простой способ — посмотрите недавно обновлённые файлы на предмет незнакомого пхп-кода. Обычно там используются функции eval/base64_decode. __________________ ab788932cee4ff449d2ec584da8af2b7 47fa7a5a72b89d8828985beec3a3c252

23.06.2010, 16:53	#6
aljarru Новичок Регистрация: 20.06.2010 Сообщений: 11 Вес репутации: 0	Valentyn, Я владелица этого сайта. Явно недавно измененных файлов я не нашла, так же как и указанных Вами слов. Вот текст из htaccess.txt ## # @version $Id: htaccess.txt 10492 2008-07-02 06:38:28Z ircmaxell $ # @package Joomla # @copyright Copyright (C) 2005 - 2008 Open Source Matters. All rights reserved. # @license http://www.gnu.org/copyleft/gpl.html GNU/GPL # Joomla! is Free Software ## ################################################## ### # READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE # # The line just below this section: 'Options +FollowSymLinks' may cause problems # with some server configurations. It is required for use of mod_rewrite, but may already # be set by your server administrator in a way that dissallows changing it in # your .htaccess file. If using it causes your server to error out, comment it out (add # to # beginning of line), reload your site in your browser and test your sef url's. If they work, # it has been set by your server administrator and you do not need it set here. # ################################################## ### ## Can be commented out if causes errors, see notes above. Options +FollowSymLinks # # mod_rewrite in use RewriteEngine On ########## Begin - Rewrite rules to block out some common exploits ## If you experience problems on your site block out the operations listed below ## This attempts to block the most common type of exploit `attempts` to Joomla! # # Block out any script trying to set a mosConfig value through the URL RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=\|\%3D) [OR] # Block out any script trying to base64_encode crap to send via URL RewriteCond %{QUERY_STRING} base64_encode.\(.\) [OR] # Block out any script that includes a <script> tag in URL RewriteCond %{QUERY_STRING} (\<\|%3C).script.(\>\|%3E) [NC,OR] # Block out any script trying to set a PHP GLOBALS variable via URL RewriteCond %{QUERY_STRING} GLOBALS(=\|\[\|\%[0-9A-Z]{0,2}) [OR] # Block out any script trying to modify a _REQUEST variable via URL RewriteCond %{QUERY_STRING} _REQUEST(=\|\[\|\%[0-9A-Z]{0,2}) # Send all blocked request to homepage with 403 Forbidden error! RewriteRule ^(.)$ index.php [F,L] # ########## End - Rewrite rules to block out some common exploits # Uncomment following line if your webserver's URL # is not directly related to physical file paths. # Update Your Joomla! Directory (just / for root) # RewriteBase / ########## Begin - Joomla! core SEF Section # RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteCond %{REQUEST_URI} !^/index.php RewriteCond %{REQUEST_URI} (/\|\.php\|\.html\|\.htm\|\.feed\|\.pdf\|\.raw\|/[^.])$ [NC] RewriteRule (.) index.php RewriteRule . - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L] # ########## End - Joomla! core SEF Section Что то еще можно сделать чтобы найти причину? Добавлено через 5 минут хотя вроде страница еще и заблокирована но при обновлении попадает на нее, похоже гугловский баг был. А как у Вас? Добавлено через 2 минуты а с другого компа попадаю опять на вирус.... Последний раз редактировалось aljarru; 23.06.2010 в 16:53. Причина: Добавлено сообщение

23.06.2010, 17:10	#7
Shketus Эксперт Регистрация: 01.10.2009 Адрес: kaliningrad.biz Сообщений: 1,058 Вес репутации: 270	У Вас скрипт вылазит Код: <SCRIPT LANGUAGE="JavaScript"> <!-- setTimeout ("changePage()", 100); function changePage() { if (self.parent.frames.length != 0) self.parent.location="http://p3p0.com/?said=3333g&q=http%3A%2F%2Fvipholland.ru%2F"; } // --> </SCRIPT> Проверьте где он есть на сайте. "http://p3p0.com/?said=3333"

20.06.2010, 19:58	#4
Yura1978 Новичок Регистрация: 27.02.2007 Сообщений: 69 Вес репутации: 0	Файл .htaccess есть - что там написано?

23.06.2010, 20:51	#8
aljarru Новичок Регистрация: 20.06.2010 Сообщений: 11 Вес репутации: 0	Я проверила сайт Total Commander на эту фразу и сделала еще копию сайта на компьютер и тоже поискала- НЕТ такой фразы. Проверила работу поисковиков на фразах которые есть на сайте- находят. В этом и проблема- ссылка работает только по ссылке с гугла, а по ссылкам с яндекса, рекламы или прямым заходам, а также ссылкам с других сайтов все работает нормально Такое впечатление, что проблема на Гугле

23.06.2010, 20:53	#9
eresik Эксперт Регистрация: 12.12.2009 Адрес: Ростов-на-Дону Сообщений: 1,537 Вес репутации: 244	Я бы сказал такое впечатление что проблема на хостинге (хотя скорее всего - всё-таки на вашем сайте) __________________ Партнёрка знакомств с блоком SAPE. Сапа без расходов на хостинг! Самый удобный Хостинг (в т.ч. сейчас - бесплатное полугодовое тестирование хостинга Node.JS)

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Помогите, вирус на сайте	Accord	Курилка	9	20.06.2010 18:10
На сайте вирус (	Marisha	Вопросы от новичков	9	26.01.2010 15:56
Вирус на сайте. Как отреагируют ПС	Duda	Вопросы от новичков	3	03.04.2009 17:24
Вирус на сайте!	paulg	Разработка и сопровождение сайтов	25	12.09.2008 12:15
Вирус на сайте	nevermore	Разработка и сопровождение сайтов	10	19.04.2008 00:13