20.06.2010, 19:13 | #1 |
Мастер
Регистрация: 05.12.2008
Сообщений: 623
Вес репутации: 210
|
Как понять где вирус на сайте vipholland.ru
Коллеги здравствуйте.
Нужен совет тех кто в теме. Есть сайт vipholland.ru Если вбить адрес сайта в адрессной строке, идём на сайт всё прекрасно. Но если на сайт попадают через поиск гугла - тут начинаются проблемы. Как пример: Вбиваем в гугле vipholland.ru естественно получаем сайт на первом месте, но!, лик который ведёт на сайт выглядит так _http://www.google.ca/url?sa=t&source=web&cd=1&ved=0CBQQFjAA&url=http%3A %2F%2Fwww.vipholland.ru%2F&ei=qy4eTM6-CsGBlAfLobD4DA&usg=AFQjCNFOcmxvaTliN5GwPHAa3GEVLVQ v1w&sig2=FiOiUW0P82CTKqIw__-p6A при нажатии на который открывается классическое говнище про заражённость компьютера или про поиск шлюх в моём городе. 3 вопроса: 1. Как это случилось? 2. Кто виноват? 3. Что делать? Заранее большое спасибо.
__________________
|
20.06.2010, 19:25 | #2 |
Мастер
|
Судя по поведению у вас там php вирус, который смотрит на реферера и в случае гугла делает редирект.
Меня кинул на www2.fireguardo8.co.cc Давайте фтп, гляну.
__________________
|
20.06.2010, 19:44 | #3 |
Мастер
Регистрация: 05.12.2008
Сообщений: 623
Вес репутации: 210
|
Можно чуть подробней без фтп доступа, буду очень признателен.
__________________
|
20.06.2010, 20:08 | #5 |
Мастер
|
Самый простой способ — посмотрите недавно обновлённые файлы на предмет незнакомого пхп-кода. Обычно там используются функции eval/base64_decode.
__________________
|
23.06.2010, 16:53 | #6 |
Новичок
Регистрация: 20.06.2010
Сообщений: 11
Вес репутации: 0
|
Valentyn, Я владелица этого сайта. Явно недавно измененных файлов я не нашла, так же как и указанных Вами слов.
Вот текст из htaccess.txt ## # @version $Id: htaccess.txt 10492 2008-07-02 06:38:28Z ircmaxell $ # @package Joomla # @copyright Copyright (C) 2005 - 2008 Open Source Matters. All rights reserved. # @license http://www.gnu.org/copyleft/gpl.html GNU/GPL # Joomla! is Free Software ## ################################################## ### # READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE # # The line just below this section: 'Options +FollowSymLinks' may cause problems # with some server configurations. It is required for use of mod_rewrite, but may already # be set by your server administrator in a way that dissallows changing it in # your .htaccess file. If using it causes your server to error out, comment it out (add # to # beginning of line), reload your site in your browser and test your sef url's. If they work, # it has been set by your server administrator and you do not need it set here. # ################################################## ### ## Can be commented out if causes errors, see notes above. Options +FollowSymLinks # # mod_rewrite in use RewriteEngine On ########## Begin - Rewrite rules to block out some common exploits ## If you experience problems on your site block out the operations listed below ## This attempts to block the most common type of exploit `attempts` to Joomla! # # Block out any script trying to set a mosConfig value through the URL RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR] # Block out any script trying to base64_encode crap to send via URL RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR] # Block out any script that includes a <script> tag in URL RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR] # Block out any script trying to set a PHP GLOBALS variable via URL RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] # Block out any script trying to modify a _REQUEST variable via URL RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) # Send all blocked request to homepage with 403 Forbidden error! RewriteRule ^(.*)$ index.php [F,L] # ########## End - Rewrite rules to block out some common exploits # Uncomment following line if your webserver's URL # is not directly related to physical file paths. # Update Your Joomla! Directory (just / for root) # RewriteBase / ########## Begin - Joomla! core SEF Section # RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteCond %{REQUEST_URI} !^/index.php RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$ [NC] RewriteRule (.*) index.php RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L] # ########## End - Joomla! core SEF Section Что то еще можно сделать чтобы найти причину? Добавлено через 5 минут хотя вроде страница еще и заблокирована но при обновлении попадает на нее, похоже гугловский баг был. А как у Вас? Добавлено через 2 минуты а с другого компа попадаю опять на вирус.... Последний раз редактировалось aljarru; 23.06.2010 в 16:53. Причина: Добавлено сообщение |
23.06.2010, 17:10 | #7 |
Эксперт
Регистрация: 01.10.2009
Адрес: kaliningrad.biz
Сообщений: 1,058
Вес репутации: 270
|
У Вас скрипт вылазит
Код:
<SCRIPT LANGUAGE="JavaScript"> <!-- setTimeout ("changePage()", 100); function changePage() { if (self.parent.frames.length != 0) self.parent.location="http://p3p0.com/?said=3333g&q=http%3A%2F%2Fvipholland.ru%2F"; } // --> </SCRIPT> |
23.06.2010, 20:51 | #8 |
Новичок
Регистрация: 20.06.2010
Сообщений: 11
Вес репутации: 0
|
Я проверила сайт Total Commander на эту фразу и сделала еще копию сайта на компьютер и тоже поискала- НЕТ такой фразы. Проверила работу поисковиков на фразах которые есть на сайте- находят. В этом и проблема- ссылка работает только по ссылке с гугла, а по ссылкам с яндекса, рекламы или прямым заходам, а также ссылкам с других сайтов все работает нормально
Такое впечатление, что проблема на Гугле |
23.06.2010, 20:53 | #9 |
Эксперт
Регистрация: 12.12.2009
Адрес: Ростов-на-Дону
Сообщений: 1,537
Вес репутации: 244
|
Я бы сказал такое впечатление что проблема на хостинге (хотя скорее всего - всё-таки на вашем сайте)
__________________
Самый удобный Хостинг (в т.ч. сейчас - бесплатное полугодовое тестирование хостинга Node.JS) |
23.06.2010, 21:00 | #10 |
Эксперт
|
__________________
|
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Помогите, вирус на сайте | Accord | Курилка | 9 | 20.06.2010 18:10 |
На сайте вирус ( | Marisha | Вопросы от новичков | 9 | 26.01.2010 15:56 |
Вирус на сайте. Как отреагируют ПС | Duda | Вопросы от новичков | 3 | 03.04.2009 17:24 |
Вирус на сайте! | paulg | Разработка и сопровождение сайтов | 25 | 12.09.2008 12:15 |
Вирус на сайте | nevermore | Разработка и сопровождение сайтов | 10 | 19.04.2008 00:13 |
Часовой пояс GMT +3, время: 19:42.