Большая просьба к читателям — помочь в расследовании. 🙂 Сайт подхватил редирект (вирус), который иногда (редко) перебрасывает на другой ресурс, например с предложением установить какую-нибудь хрень или подписаться на что-нибудь.
Проблема в том, что действует эта штука очень избирательно, если бы мои неравнодушные читатели не сообщили об этом, то я бы даже не подозревал — количество посетителей практически не уменьшилось.
Суть в том, что вирус перенаправляет лишь отдельных посетителей (судя по жалобам только российские IP), и из-за этого сложно понять, окончательно мы избавились от него или нет. Вроде бы вирус найден и удален, но сложно понять, нет ли чего-нибудь еще, поэтому я прошу помощь у аудитории.
Что нужно сделать
Чаще всего редирект срабатывает на мобильных устройствах, поэтому надо зайти на сайт с мобильного телефона или планшета. Если вы увидели предупреждение о том, что вас собирается перекинуть на вредоносный сайт, то прошу сделать следующее — напишите мне:
1. Название сайта, на который вас перенаправляют
2. Модель телефона/планшета
3. Откуда вы пытались зайти на мой сайт (из рассылки, из соцсети, из поисковой системы, напрямую и тд)
Эта информация поможет добить вирус (если он еще есть).
Что еще
Еще прошу рассказать, какие технические проблемы вы замечали (типа — битая ссылка в какой-нибудь статье), не работает функция и всё, в таком духе.
На данный момент сайт может более долго загружаться, это нормально — отключен кэширующий плагин, поэтому не обращайте внимание на скорость загрузки.
Благодарю за помощь!
Чтобы не потерять этот сайт из виду: пройдите по ссылке - вы получите извещение о выходе новой статьи на емейл. Никакого спама, отписаться можно в пару кликов.
Сказать спасибо за статью можно репостом в Фейсбуке или Вконтакте:
О как! Благодарю, Виктор, успокоил. А то я думал, что это только мой мобильник вирус подхватил. Последние дни, этой недели, зайти пытался из рассылки, из поисковой системы, напрямую, и прочими окольными путями… Не мог войти, вылезало совсем не то. Хотя может и ТО 😉 , но не в тему. В ПК и нетбуке без проблем. Сейчас попробую зайти на сайт из рассылки по мобильнику… Минуточку… Без проблем! 🙂
Вчера перебрасывало на пару сайтов, которые пыталались что-то установить без ведома. Сайты:convertf.com, sambucaxxx.org. Смартфон на андроиде.
Добрый день Виктор, думал что это мой телефон подцепил вирус. Не давал даже загрузить вашу страничку до конца, перекидывал на какой то сайт знакомств. Сейчас проверил, ничего такого нет. Адрес сайта к сожалению не запомнил. тел lenovo на андроиде.
C проводным И-нетом проблем не возникало…
Удачи!
Виктор, спасибо за быстрый ремонт сайта 🙂 Я тоже поначалу подумал, что у меня что-то не то (захожу с айфона 5-го). Редиректило при переходе из рассылки и при прямом заходе на сайт. Перекидывало через три каких-то адреса (в одном из них было в названии «xxx»), конечной точкой был какой-то подсайт оператора МТС (… .mts.ru) с предложением подключить платную подписку (не запомнил какую именно). Сейчас все ок, надеюсь проблема решена 🙂
Здравствуйте. По прежнему не могу зайти на сайт с андроид смартфона. Перекидывает на подписку «Темафон» билайн, на такой вот адрес http://217.118.84.99/
Меня перекидывает сюда,
сначала этот адрес появляется
http://www.promo-domen.ru/static/redirect.html?url=http://abonent.iclick.clickmania.org/landing?request_id=766d0c0c-af61-11e4-9f03-964ebf05d1ca&login=CDydSTMB&pass=08545675
потом этот
http://wap.megafonpro.ru/is3nwp/psmcharge/charge?new_if&service_id=2257&opt_id=334683549&template=ic_totmoney10223_WAP_1&context=vid_totmoney_c4hra&rdsid=rd_c4hrb&return_url=%2Fwap%2Fexit%3Fpartner%3Dtotmoney%26serviceid%3Dic_totmoney10223%26transaction_id%3D17493712%26psid%3DuSeLoi4jmzaT5IlK
тут предлагается подписаться за 300р на сервис http://tvoya-kinoha.ru/ (он вроде как к оператору связи отношения не имеет)
перекидывает только с твоего сайта, но постоянно, жалобы на эту хрень есть, непонятно только почему с меня денег до сих пор не списали, там вроде как сразу же после загрузки это должно происходить.
Телефон на Android 4.4 MIUI v6, оператор мегафон,
Приветствую!
Модель телефона -LG G2 (андроид 4.4)
Оператор — Мегафон.
При переходе из письма с рассылкой о новой теме на сайте, я все время попадаю на wap.megafonpro.ru
Ну и там мне предлагают нажать кнопку «go» и начать просмотр видео.
А ниже маленькими буквами сказано что тем самым я даю согласие на платный доступ к tvoya-kinoha.ru Всего-то за 300 рублей в неделю!
Сначала я винил Мегафон, отключил через СервисГид себе доступ к WAP. Но не помогло. Чистил историю, кукисы, пробовал через другие браузеры с телефона? даже проверил телефон на вирусы — не помогло.
Вот и сейчас осталось.
А с компа нормально заходит.
Пока писал пост, меня уже опередили.
У Leo (постом выше) тоже на wap.megafonpro.ru сначала, а там предлагают подписку на tvoya-kinoha.ru !
У меня тоже самое,как и у Виктора.Перекидывает на Темафон.И только когда захожу через мобильный интернет.При заходе с использованием домашнего вайфая всё в порядке.Телефон Lg g2,связь билайн.
Через Wi-Fi домашнего интернета все нормально
Через МТС — sambucaxxx.org
Через Билайн — 217.118.84.99, проходя через большое количество сайтов, видимо попытка совершить покупку, но покуда симка корпоративная и на ней включен запрет к сервисам контент-провайдеров, то в конечном итоге видим табличку от Билайна, об этом сообщающую.
У меня в адресной строке 217.118.84.99 выскакивает рамка от Билайн что вы не можете совершить покупку так как у вас подключен запрет доступа к сервисам контент-провайдеров. Отключить определенной командой. Внизу строка возврата на сайт провайдера,возвращает на Best-Video.me
При загрузке через wi-fi грузит нормально. Планшет айпад-эйр.
С андроида по сотовой сети (МТС Москва) перекидывает на convertf.com, который сразу же в свою очередь перекидывает на какую-то порнуху. Тот же андроид, подключённый через домашний вайфай, в то же самое время работает без проблем.
Думаю, интересен тут только адрес convertf.com, остальные — это уже его клиенты, на которые происходит последующее перенаправление.
P.S. Подключил ноутбук через сотовый модем — всё ОК. Подменил User Agent на «андроидный» — пошло перенаправление. Т.е. нужно, чтобы оба условия соблюдались, — мобильный IP и мобильный браузер.
P.P.S. Мне кажется ОЧЕНЬ подозрительной последняя строчка в http://kotovski.net/wp-content/plugins/vslider/js/vslider.js
Уважаемый Виктор! Спасибо за сообщение. Я поначалу подумал, что это подлянка от моего сотового оператора. Меня перекидывает на другой ресурс только, когда я пользуюсь мобильным интернетом по телефону. С компьютера или по телефону при использовании wi-fi всё хорошо.
Притом перебрасывает меня по хитрому. Сначала на http://www.promo-domen.ru/static/redirect.html?url=http%3A%2F%2Fabonent.iclick.clickmania.org%2Flanding%3Frequest_id%3D8c98fcf8-af74-11e4-9f03-886dcb317d4d&login=6tircUaN&pass=71186428
Затем тут же на http://wap.megafonpro.ru/is3nwp/psmcharge/charge?new_if&service_id=2257&opt_id=334683549&template=ic_totmoney10223_WAP_1&context=vid_totmoney_c5pfo&rdsid=rd_c5pfp&return_url=%2Fwap%2Fexit%3Fpartner%3Dtotmoney%26serviceid%3Dic_totmoney10223%26transaction_id%3D17544002%26psid%3Dvcxmtk44mzafrR85.
Потому и грешил на мегафон.
Смартфон Nokia Lumia 1020.
Захожу на твой сайт прям из браузера.
Удачи тебе. Если получится исправить буду благодарен. Не получится — это мелкие решаемые ограничения.
Зашел с мобильника Samsung 2 из Израиля. Никто меня не посылал. Ни сейчас, ни раньше.
С дом.интернета (МТС) все нормально, что с телефона, что с ПК. С мобильного инета (МТС, galaxy note3, android 4.4.2) редиректит, как при поиске с гугла, так и напрямую на самбуку (http://sambucaxxx.org/direct.ad.1/r.php?click_id=515409755&is_direct=0&transactId=532eaeea-97f8-471c-9e08-ca41f87dd4a5)
На iPhone и iPad пользуюсь браузером Maxton, ничего подозрительного не заметил.
Россия, Мегафон, iphone 6.
Каждый день с утра просматриваю на телефоне ваш сайт, перехожу по ссылке из рассылки почтовой. Проблем не наблюдал.
Большое спасибо за важную информацию! Проблема еще не решена, будем углубляться.
Александр:
«Мне кажется ОЧЕНЬ подозрительной последняя строчка в http://kotovski.net/wp-content/plugins/vslider/js/vslider.js»
а почему? Это вроде обычный плагин….
Обычный плагин, который в последней строке вставляет скрипт с какого-то левого сайта, ещё и маскируя этот факт склеиванием строки из нескольких кусков?
Я про это вот:
document.write(»);
Так, не вставился весь текст строки скрипта в комментарий, видимо, теги фильтруются. В общем, там вставлен вызов http://6dfas9obxn234.us/tds/js.php?tds=1651 Что в нём — честно говоря, не стал уже дальше копать.
Достаточно того факта, что IP этого сайта 5.45.79.140, по данным https://www.virustotal.com/en/ip-address/5.45.79.140/information , соответствует несколько десятков URL, признанных вредоносными, причём, судя по названиям, это именно редиректы.
Иными словами, заражение Вашего сайта произошло именно путём дописывания вызова вредоносных скрпитов в конец к безобидному скрипту плагина (возможно, не в одном месте, остальные тоже есть смысл проверить).
Ну и до кучи, движок редиректа, судя по всему, — Keitaro TDS (http://keitarotds.com/) Может фильтровать по браузерам, странам, конкретным мобильным операторам и т.п. Что и делает 🙂
P.S. Нет, с последним выводом поторопился, есть ещё кандидаты 🙂
Саша, спасибо большое, не ожидал, что ты в безопасности волокешь. Завтра передам твои замечания спецам.
Плагин Vslider удалил.
Не за что.
Ну у меня самого блог на WordPress, правда, напрочь заброшенный (был смысл вести по предыдущей работе). Если уж на то пошло, ещё пару советов. Удалить конкретного зловреда мало, надо пресечь возможность заражения в дальнейшем. Явно была какая-то дыра (или эксплойт в ядре WP или одном из плагинов, или подобрали пароль брутфорсом, ну и т.п.)
По моему опыту полезно:
— установить плагин WP Updates Notifier, он шлёт на мыло информацию о доступных обновлениях WP, тем и плагинов, что позволяет их ставить оперативно;
— установить плагин Admin renamer extended и переименовать юзера admin, 99% (если не 100%) брутфорсеров пытаются подобрать пароль именно к нему;
— оставить доступ к админке только по HTTPS, чтобы убрать вероятность перехвата трафика (это уже настройками веб-сервера, возможно, текущий хостер этого блога hostenko.com в них копаться не разрешает);
— установить плагин WP fail2ban и на сервере собственно fail2ban, чтобы блокировать подозрительные IP вообще, это помогает не только от собственно атаки, но и от того, чтобы в процессе брутфорса сервер не ложился под нагрузкой (но этот шаг уже точно потребует уйти от hostenko на полноценный хостинг/VDS/выделенный сервер с доступом по SSH и рут-правами).
переадресация на http://www.promo-domen.ru, остальное уже писали
С модема 4ж мегафон
AI-Bolit — бесплатный сканер для поиска вирусов и хакерского кода на сайте.
http://revisium.com/
Денис, в конце концов обратился к этим спецам. Будем надеяться.
Yuri
«Советую проверить на сервере файл .htaccess в корне папки. Если необходимо, могу помочь.»
ну, это в первую очередь. 🙂 К сожалению, сейчас редиректы уже не настолько простые. 🙁
За предложение помощи спасибо, но я уже написал спецам от Revisium.
Всем спасибо большое, много полезной информации сообщили. Возможно, понадобится второй раунд расследования, сообщу позже. 🙂
Пока сайт не наладится, не могу выкладывать посты — люди будут заходить из рассылки и нарываться на редирект.
Через сотового оператора перекидывает (мтс, мегафон), домашний вай-фай все ок. Проверено многократно (айр2, айфон 6).
Вот сейчас пишу с телефона(НТС,Мегафон)переход на ссылку пропал,хотя утром еще был! Ура!
Советую проверить на сервере файл .htaccess в корне папки. Если необходимо, могу помочь.
Я теперь могу заходить с телефона, похоже, пофиксили.
У меня основной компьютер на ubuntu. Вражеские происки не отмечены. Вчера днем заходил с windows 8.1 — то же самое.
Было следующее: вместо обещанной темы появлялся порно контент. Был удалён сразу вместе с этой рассылкой,поэтому точно теперь сказать не могу его адрес. Nokia Lumia
Захожу с планшета,компа,телефона через вай-фай роутер.Вроде все впоряде.Надеюсь трудности временные.С нетерпением жду следующих постов.
Вчера не получалось зайти на сайт через смартфон — сразу выбрасывал на главную гугла. Сейчас все нормально.
Было было. Тлф на андроиде через мегафон. Даже задолбался заходить. Сейчас зашел нармально.
Раньше я мог читая какую-либо статью на сайте про одежду/аксессуары, перейти по ссылке в магазин и уже подробнее ознакомиться с описанием. Теперь же ссылки почему-то не работают.
Добрый день, у меня был редирект, когда я с интернета билайн заходил, когда с вайфай — все работало. Планшет goodle nexus 7 2013, редирект был на 217.118.84.99/?serviceid=13432441
Сейчас все норм.
Привет Виктор! Вот у меня тут обнаружилось: отправила я комментарий, а мне в ответ: мол спасибо за ваш первый комент, подписывайтесь на новости.
Я и удивилась — новости получаю давно, и иногда коментирую. Понятно что ответов я не жду, так просто, чаще высказывала свои благодарочки. И только что проверила те посты, к которым я точно помню что-то писала — нет ничего.
вот такая ошибка
В статье «Часть двадцать четвертая, Барра, Авейро и Овар» рассказа «Южный путь. 67 дней на велосипедах» неактивна ссылка на часть 25-ую, к тому же ее и переименовать нужно на ту же 25-ую!☺
Вячеслав, спасибо, как доберусь нормально до компа, починю. 🙂