Разное                329         45

Технические проблемы на сайте — напишите замечания

Большая просьба к читателям — помочь в расследовании. 🙂 Сайт подхватил редирект (вирус), который иногда (редко) перебрасывает на другой ресурс, например с предложением установить какую-нибудь хрень или подписаться на что-нибудь.

Проблема в том, что действует эта штука очень избирательно, если бы мои неравнодушные читатели не сообщили об этом, то я бы даже не подозревал — количество посетителей практически не уменьшилось.

Суть в том, что вирус перенаправляет лишь отдельных посетителей (судя по жалобам только российские IP), и из-за этого сложно понять, окончательно мы избавились от него или нет. Вроде бы вирус найден и удален, но сложно понять, нет ли чего-нибудь еще, поэтому я прошу помощь у аудитории.

Что нужно сделать

Чаще всего редирект срабатывает на мобильных устройствах, поэтому надо зайти на сайт с мобильного телефона или планшета. Если вы увидели предупреждение о том, что вас собирается перекинуть на вредоносный сайт, то прошу сделать следующее — напишите мне:

1. Название сайта, на который вас перенаправляют

2. Модель телефона/планшета

3. Откуда вы пытались зайти на мой сайт (из рассылки, из соцсети, из поисковой системы, напрямую и тд)

Эта информация поможет добить вирус (если он еще есть).

Что еще

Еще прошу рассказать, какие технические проблемы вы замечали (типа — битая ссылка в какой-нибудь статье), не работает функция и всё, в таком духе.

На данный момент сайт может более долго загружаться, это нормально — отключен кэширующий плагин, поэтому не обращайте внимание на скорость загрузки.

Благодарю за помощь!

Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 Оцените статью, пожалуйста
Загрузка...
Обсуждение: 45 комментариев
  1. Velokach:

    О как! Благодарю, Виктор, успокоил. А то я думал, что это только мой мобильник вирус подхватил. Последние дни, этой недели, зайти пытался из рассылки, из поисковой системы, напрямую, и прочими окольными путями… Не мог войти, вылезало совсем не то. Хотя может и ТО 😉 , но не в тему. В ПК и нетбуке без проблем. Сейчас попробую зайти на сайт из рассылки по мобильнику… Минуточку… Без проблем! 🙂

    Ответить
  2. karpov:

    Вчера перебрасывало на пару сайтов, которые пыталались что-то установить без ведома. Сайты:convertf.com, sambucaxxx.org. Смартфон на андроиде.

    Ответить
  3. петр см:

    Добрый день Виктор, думал что это мой телефон подцепил вирус. Не давал даже загрузить вашу страничку до конца, перекидывал на какой то сайт знакомств. Сейчас проверил, ничего такого нет. Адрес сайта к сожалению не запомнил. тел lenovo на андроиде.

    Ответить
  4. ANDYBAZ:

    C проводным И-нетом проблем не возникало…
    Удачи!

    Ответить
  5. CooLIvaN:

    Виктор, спасибо за быстрый ремонт сайта 🙂 Я тоже поначалу подумал, что у меня что-то не то (захожу с айфона 5-го). Редиректило при переходе из рассылки и при прямом заходе на сайт. Перекидывало через три каких-то адреса (в одном из них было в названии «xxx»), конечной точкой был какой-то подсайт оператора МТС (… .mts.ru) с предложением подключить платную подписку (не запомнил какую именно). Сейчас все ок, надеюсь проблема решена 🙂

    Ответить
  6. Виктор:

    Здравствуйте. По прежнему не могу зайти на сайт с андроид смартфона. Перекидывает на подписку «Темафон» билайн, на такой вот адрес http://217.118.84.99/

    Ответить
  7. Leo:

    Меня перекидывает сюда,
    сначала этот адрес появляется

    http://www.promo-domen.ru/static/redirect.html?url=http://abonent.iclick.clickmania.org/landing?request_id=766d0c0c-af61-11e4-9f03-964ebf05d1ca&login=CDydSTMB&pass=08545675

    потом этот

    http://wap.megafonpro.ru/is3nwp/psmcharge/charge?new_if&service_id=2257&opt_id=334683549&template=ic_totmoney10223_WAP_1&context=vid_totmoney_c4hra&rdsid=rd_c4hrb&return_url=%2Fwap%2Fexit%3Fpartner%3Dtotmoney%26serviceid%3Dic_totmoney10223%26transaction_id%3D17493712%26psid%3DuSeLoi4jmzaT5IlK

    тут предлагается подписаться за 300р на сервис http://tvoya-kinoha.ru/ (он вроде как к оператору связи отношения не имеет)

    перекидывает только с твоего сайта, но постоянно, жалобы на эту хрень есть, непонятно только почему с меня денег до сих пор не списали, там вроде как сразу же после загрузки это должно происходить.

    Телефон на Android 4.4 MIUI v6, оператор мегафон,

    Ответить
  8. Дмитрий:

    Приветствую!
    Модель телефона -LG G2 (андроид 4.4)
    Оператор — Мегафон.
    При переходе из письма с рассылкой о новой теме на сайте, я все время попадаю на wap.megafonpro.ru
    Ну и там мне предлагают нажать кнопку «go» и начать просмотр видео.
    А ниже маленькими буквами сказано что тем самым я даю согласие на платный доступ к tvoya-kinoha.ru Всего-то за 300 рублей в неделю!

    Сначала я винил Мегафон, отключил через СервисГид себе доступ к WAP. Но не помогло. Чистил историю, кукисы, пробовал через другие браузеры с телефона? даже проверил телефон на вирусы — не помогло.
    Вот и сейчас осталось.
    А с компа нормально заходит.

    Ответить
  9. Дмитрий:

    Пока писал пост, меня уже опередили.
    У Leo (постом выше) тоже на wap.megafonpro.ru сначала, а там предлагают подписку на tvoya-kinoha.ru !

    Ответить
  10. Евгений:

    У меня тоже самое,как и у Виктора.Перекидывает на Темафон.И только когда захожу через мобильный интернет.При заходе с использованием домашнего вайфая всё в порядке.Телефон Lg g2,связь билайн.

    Ответить
  11. Александр:

    Через Wi-Fi домашнего интернета все нормально
    Через МТС — sambucaxxx.org
    Через Билайн — 217.118.84.99, проходя через большое количество сайтов, видимо попытка совершить покупку, но покуда симка корпоративная и на ней включен запрет к сервисам контент-провайдеров, то в конечном итоге видим табличку от Билайна, об этом сообщающую.

    Ответить
  12. Евгений:

    У меня в адресной строке 217.118.84.99 выскакивает рамка от Билайн что вы не можете совершить покупку так как у вас подключен запрет доступа к сервисам контент-провайдеров. Отключить определенной командой. Внизу строка возврата на сайт провайдера,возвращает на Best-Video.me
    При загрузке через wi-fi грузит нормально. Планшет айпад-эйр.

    Ответить
  13. Александр:

    С андроида по сотовой сети (МТС Москва) перекидывает на convertf.com, который сразу же в свою очередь перекидывает на какую-то порнуху. Тот же андроид, подключённый через домашний вайфай, в то же самое время работает без проблем.

    Думаю, интересен тут только адрес convertf.com, остальные — это уже его клиенты, на которые происходит последующее перенаправление.

    Ответить
  14. Александр:

    P.S. Подключил ноутбук через сотовый модем — всё ОК. Подменил User Agent на «андроидный» — пошло перенаправление. Т.е. нужно, чтобы оба условия соблюдались, — мобильный IP и мобильный браузер.

    Ответить
  15. Александр:

    P.P.S. Мне кажется ОЧЕНЬ подозрительной последняя строчка в http://kotovski.net/wp-content/plugins/vslider/js/vslider.js

    Ответить
  16. Александр:

    Уважаемый Виктор! Спасибо за сообщение. Я поначалу подумал, что это подлянка от моего сотового оператора. Меня перекидывает на другой ресурс только, когда я пользуюсь мобильным интернетом по телефону. С компьютера или по телефону при использовании wi-fi всё хорошо.
    Притом перебрасывает меня по хитрому. Сначала на http://www.promo-domen.ru/static/redirect.html?url=http%3A%2F%2Fabonent.iclick.clickmania.org%2Flanding%3Frequest_id%3D8c98fcf8-af74-11e4-9f03-886dcb317d4d&login=6tircUaN&pass=71186428
    Затем тут же на http://wap.megafonpro.ru/is3nwp/psmcharge/charge?new_if&service_id=2257&opt_id=334683549&template=ic_totmoney10223_WAP_1&context=vid_totmoney_c5pfo&rdsid=rd_c5pfp&return_url=%2Fwap%2Fexit%3Fpartner%3Dtotmoney%26serviceid%3Dic_totmoney10223%26transaction_id%3D17544002%26psid%3Dvcxmtk44mzafrR85.
    Потому и грешил на мегафон.
    Смартфон Nokia Lumia 1020.
    Захожу на твой сайт прям из браузера.
    Удачи тебе. Если получится исправить буду благодарен. Не получится — это мелкие решаемые ограничения.

    Ответить
  17. Владимир:

    Зашел с мобильника Samsung 2 из Израиля. Никто меня не посылал. Ни сейчас, ни раньше.

    Ответить
  18. Вячеслав:

    С дом.интернета (МТС) все нормально, что с телефона, что с ПК. С мобильного инета (МТС, galaxy note3, android 4.4.2) редиректит, как при поиске с гугла, так и напрямую на самбуку (http://sambucaxxx.org/direct.ad.1/r.php?click_id=515409755&is_direct=0&transactId=532eaeea-97f8-471c-9e08-ca41f87dd4a5)

    Ответить
  19. mihail:

    На iPhone и iPad пользуюсь браузером Maxton, ничего подозрительного не заметил.

    Ответить
  20. Алексей:

    Россия, Мегафон, iphone 6.
    Каждый день с утра просматриваю на телефоне ваш сайт, перехожу по ссылке из рассылки почтовой. Проблем не наблюдал.

    Ответить
  21. Котовский:

    Большое спасибо за важную информацию! Проблема еще не решена, будем углубляться.

    Александр:

    «Мне кажется ОЧЕНЬ подозрительной последняя строчка в http://kotovski.net/wp-content/plugins/vslider/js/vslider.js»

    а почему? Это вроде обычный плагин….

    Ответить
  22. Александр:

    Обычный плагин, который в последней строке вставляет скрипт с какого-то левого сайта, ещё и маскируя этот факт склеиванием строки из нескольких кусков?

    Я про это вот:

    document.write(»);

    Ответить
  23. Александр:

    Так, не вставился весь текст строки скрипта в комментарий, видимо, теги фильтруются. В общем, там вставлен вызов http://6dfas9obxn234.us/tds/js.php?tds=1651 Что в нём — честно говоря, не стал уже дальше копать.

    Ответить
  24. Александр:

    Достаточно того факта, что IP этого сайта 5.45.79.140, по данным https://www.virustotal.com/en/ip-address/5.45.79.140/information , соответствует несколько десятков URL, признанных вредоносными, причём, судя по названиям, это именно редиректы.

    Иными словами, заражение Вашего сайта произошло именно путём дописывания вызова вредоносных скрпитов в конец к безобидному скрипту плагина (возможно, не в одном месте, остальные тоже есть смысл проверить).

    Ответить
  25. Александр:

    Ну и до кучи, движок редиректа, судя по всему, — Keitaro TDS (http://keitarotds.com/) Может фильтровать по браузерам, странам, конкретным мобильным операторам и т.п. Что и делает 🙂

    Ответить
  26. Александр:

    P.S. Нет, с последним выводом поторопился, есть ещё кандидаты 🙂

    Ответить
    1. Котовский:

      Саша, спасибо большое, не ожидал, что ты в безопасности волокешь. Завтра передам твои замечания спецам.

      Плагин Vslider удалил.

      Ответить
  27. Александр:

    Не за что.

    Ну у меня самого блог на WordPress, правда, напрочь заброшенный (был смысл вести по предыдущей работе). Если уж на то пошло, ещё пару советов. Удалить конкретного зловреда мало, надо пресечь возможность заражения в дальнейшем. Явно была какая-то дыра (или эксплойт в ядре WP или одном из плагинов, или подобрали пароль брутфорсом, ну и т.п.)

    По моему опыту полезно:

    — установить плагин WP Updates Notifier, он шлёт на мыло информацию о доступных обновлениях WP, тем и плагинов, что позволяет их ставить оперативно;

    — установить плагин Admin renamer extended и переименовать юзера admin, 99% (если не 100%) брутфорсеров пытаются подобрать пароль именно к нему;

    — оставить доступ к админке только по HTTPS, чтобы убрать вероятность перехвата трафика (это уже настройками веб-сервера, возможно, текущий хостер этого блога hostenko.com в них копаться не разрешает);

    — установить плагин WP fail2ban и на сервере собственно fail2ban, чтобы блокировать подозрительные IP вообще, это помогает не только от собственно атаки, но и от того, чтобы в процессе брутфорса сервер не ложился под нагрузкой (но этот шаг уже точно потребует уйти от hostenko на полноценный хостинг/VDS/выделенный сервер с доступом по SSH и рут-правами).

    Ответить
  28. Юрий Ек:

    переадресация на http://www.promo-domen.ru, остальное уже писали

    С модема 4ж мегафон

    Ответить
  29. Денис:

    AI-Bolit — бесплатный сканер для поиска вирусов и хакерского кода на сайте.
    http://revisium.com/

    Ответить
    1. Котовский:

      Денис, в конце концов обратился к этим спецам. Будем надеяться.

      Yuri

      «Советую проверить на сервере файл .htaccess в корне папки. Если необходимо, могу помочь.»

      ну, это в первую очередь. 🙂 К сожалению, сейчас редиректы уже не настолько простые. 🙁

      За предложение помощи спасибо, но я уже написал спецам от Revisium.

      Всем спасибо большое, много полезной информации сообщили. Возможно, понадобится второй раунд расследования, сообщу позже. 🙂

      Пока сайт не наладится, не могу выкладывать посты — люди будут заходить из рассылки и нарываться на редирект.

      Ответить
  30. Рустем:

    Через сотового оператора перекидывает (мтс, мегафон), домашний вай-фай все ок. Проверено многократно (айр2, айфон 6).

    Ответить
  31. Flightmaster:

    Вот сейчас пишу с телефона(НТС,Мегафон)переход на ссылку пропал,хотя утром еще был! Ура!

    Ответить
  32. Yuri:

    Советую проверить на сервере файл .htaccess в корне папки. Если необходимо, могу помочь.

    Ответить
  33. Дмитрий:

    Я теперь могу заходить с телефона, похоже, пофиксили.

    Ответить
  34. Thole:

    У меня основной компьютер на ubuntu. Вражеские происки не отмечены. Вчера днем заходил с windows 8.1 — то же самое.

    Ответить
  35. Николай:

    Было следующее: вместо обещанной темы появлялся порно контент. Был удалён сразу вместе с этой рассылкой,поэтому точно теперь сказать не могу его адрес. Nokia Lumia

    Ответить
  36. Улан:

    Захожу с планшета,компа,телефона через вай-фай роутер.Вроде все впоряде.Надеюсь трудности временные.С нетерпением жду следующих постов.

    Ответить
  37. Denis:

    Вчера не получалось зайти на сайт через смартфон — сразу выбрасывал на главную гугла. Сейчас все нормально.

    Ответить
  38. TEvg:

    Было было. Тлф на андроиде через мегафон. Даже задолбался заходить. Сейчас зашел нармально.

    Ответить
  39. Абзал:

    Раньше я мог читая какую-либо статью на сайте про одежду/аксессуары, перейти по ссылке в магазин и уже подробнее ознакомиться с описанием. Теперь же ссылки почему-то не работают.

    Ответить
  40. Дмитрий:

    Добрый день, у меня был редирект, когда я с интернета билайн заходил, когда с вайфай — все работало. Планшет goodle nexus 7 2013, редирект был на 217.118.84.99/?serviceid=13432441
    Сейчас все норм.

    Ответить
  41. Катерина:

    Привет Виктор! Вот у меня тут обнаружилось: отправила я комментарий, а мне в ответ: мол спасибо за ваш первый комент, подписывайтесь на новости.
    Я и удивилась — новости получаю давно, и иногда коментирую. Понятно что ответов я не жду, так просто, чаще высказывала свои благодарочки. И только что проверила те посты, к которым я точно помню что-то писала — нет ничего.
    вот такая ошибка

    Ответить
  42. Вячеслав:

    В статье «Часть двадцать четвертая, Барра, Авейро и Овар» рассказа «Южный путь. 67 дней на велосипедах» неактивна ссылка на часть 25-ую, к тому же ее и переименовать нужно на ту же 25-ую!☺

    Ответить
    1. Котовский:

      Вячеслав, спасибо, как доберусь нормально до компа, починю. 🙂

      Ответить

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

berloga-3

shad-1

kot_sidebar_ban_1-2

shad-1

kot_sidebar_ban_4_2

shad-1

kot_sidebar_ban_3_2

shad-1

kot_sidebar_ban_2_2

shad-1

kot_sidebar_ban_1-2

shad-1

kot_sidebar_ban_3-5

shad-1gift_friends_1shad-1
apgrade_1-1shad-1apgrade_1-2shad-1apgrade_1-3shad-1apgrade_1-3shad-1apgrade_1-3shad-1apgrade_1-3shad-1apgrade_1-3shad-1