Редиректит, если заходить на сайт с поисковиков

Тема в разделе "Вопросы безопасности", создана пользователем fitaser, 03.01.2013.

  1. Offline

    fitaser Недавно здесь

    Регистрация:
    03.01.2013
    Сообщения:
    6
    Симпатии:
    0
    Пол:
    Мужской
    Помогите решить проблему
    Сайт mebel-kid.ru
    Сайт работает нормально, если заходить на него вбив в адресную строку.
    Если заходить через яндекс, например по запросу детская мебель нижний новгород, редиректит на сайт http://site.portrelay.com/

    Содержимое htacces

    Код (CODE):
    1. ##
    2. # @version $Id: htaccess.txt 10492 2008-07-02 06:38:28Z ircmaxell $
    3. # @package Joomla
    4. # @copyright Copyright (C) 2005 - 2008 Open Source Matters. All rights reserved.
    5. # @license http://www.gnu.org/copyleft/gpl.html GNU/GPL
    6. # Joomla! is Free Software
    7. ##
    8.  
    9.  
    10. #####################################################
    11. #  READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE
    12. #
    13. # The line just below this section: 'Options +FollowSymLinks' may cause problems
    14. # with some server configurations.  It is required for use of mod_rewrite, but may already
    15. # be set by your server administrator in a way that dissallows changing it in
    16. # your .htaccess file.  If using it causes your server to error out, comment it out (add # to
    17. # beginning of line), reload your site in your browser and test your sef url's.  If they work,
    18. # it has been set by your server administrator and you do not need it set here.
    19. #
    20. #####################################################
    21.  
    22. ##  Can be commented out if causes errors, see notes above.
    23. Options +FollowSymLinks
    24.  
    25. #
    26. #  mod_rewrite in use
    27.  
    28.  
    29. # ESLI NA SAITE BELIY EKRAN - RASKOMMENTIROVAT' STROKU NIZHE
    30. #  php_value display_errors 1
    31.  
    32. RewriteEngine On
    33.  
    34. ########## Begin - Rewrite rules to block out some common exploits
    35. ## If you experience problems on your site block out the operations listed below
    36. ## This attempts to block the most common type of exploit `attempts` to Joomla!
    37. #
    38. # Block out any script trying to set a mosConfig value through the URL
    39. RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
    40. # Block out any script trying to base64_encode crap to send via URL
    41. RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
    42. # Block out any script that includes a <script> tag in URL
    43. RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
    44. # Block out any script trying to set a PHP GLOBALS variable via URL
    45. RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
    46. # Block out any script trying to modify a _REQUEST variable via URL
    47. RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
    48. # Send all blocked request to homepage with 403 Forbidden error!
    49. RewriteRule ^(.*)$ /index.php [F,L]
    50. #
    51. ########## End - Rewrite rules to block out some common exploits
    52.  
    53. #  Uncomment following line if your webserver's URL
    54. #  is not directly related to physical file paths.
    55. #  Update Your Joomla! Directory (just / for root)
    56.  
    57. # RewriteBase /
    58.  
    59.  
    60. ########## Begin - Joomla! core SEF Section
    61. #
    62. RewriteCond %{REQUEST_FILENAME} !-f
    63. RewriteCond %{REQUEST_FILENAME} !-d
    64. RewriteCond %{REQUEST_URI} !^/index.php
    65. RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$  [NC]
    66. RewriteRule (.*) /index.php
    67. RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
    68. #
    69. ########## End - Joomla! core SEF Section


    содержимое index.php

    Код (CODE):
    1. <?php
    2. /**
    3.  * @package     Joomla.Site
    4.  * @    Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved.
    5. * @license      GNU/GPL, see LICENSE.php
    6. * Joomla! is free software. This version may have been modified pursuant
    7. * to the GNU General Public License, and as distributed it includes or
    8. * is derivative of works licensed under the GNU General Public License or
    9. * other free or open source software licenses.
    10. * See COPYRIGHT.php for copyright notices and details.
    11. */
    12.  
    13. // Set flag that this is a parent file
    14. define( '_JEXEC', 1 );
    15.  
    16. define('JPATH_BASE', dirname(__FILE__) );
    17.  
    18. define( 'DS', DIRECTORY_SEPARATOR );
    19.  
    20. require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );
    21. require_once ( JPATH_BASE .DS.'includes'.DS.'framework.php' );
    22.  
    23. JDEBUG ? $_PROFILER->mark( 'afterLoad' ) : null;
    24.  
    25. /**
    26.  * CREATE THE APPLICATION
    27.  *
    28.  * NOTE :
    29.  */
    30. $mainframe =& JFactory::getApplication('site');
    31.  
    32. /**
    33.  * INITIALISE THE APPLICATION
    34.  *
    35.  * NOTE :
    36.  */
    37. // set the language
    38. $mainframe->initialise();
    39.  
    40. JPluginHelper::importPlugin('system');
    41.  
    42. // trigger the onAfterInitialise events
    43. JDEBUG ? $_PROFILER->mark('afterInitialise') : null;
    44. $mainframe->triggerEvent('onAfterInitialise');
    45.  
    46. /**
    47.  * ROUTE THE APPLICATION
    48.  *
    49.  * NOTE :
    50.  */
    51. $mainframe->route();
    52.  
    53. // authorization
    54. $Itemid = JRequest::getInt( 'Itemid');
    55. $mainframe->authorize($Itemid);
    56.  
    57. // trigger the onAfterRoute events
    58. JDEBUG ? $_PROFILER->mark('afterRoute') : null;
    59. $mainframe->triggerEvent('onAfterRoute');
    60.  
    61. /**
    62.  * DISPATCH THE APPLICATION
    63.  *
    64.  * NOTE :
    65.  */
    66. $option = JRequest::getCmd('option');
    67. $mainframe->dispatch($option);
    68.  
    69. // trigger the onAfterDispatch events
    70. JDEBUG ? $_PROFILER->mark('afterDispatch') : null;
    71. $mainframe->triggerEvent('onAfterDispatch');
    72.  
    73. /**
    74.  * RENDER  THE APPLICATION
    75.  *
    76.  * NOTE :
    77.  */
    78. $mainframe->render();
    79.  
    80. // trigger the onAfterRender events
    81. JDEBUG ? $_PROFILER->mark('afterRender') : null;
    82. $mainframe->triggerEvent('onAfterRender');
    83.  
    84. /**
    85.  * RETURN THE RESPONSE
    86.  */
    87. echo JResponse::toString($mainframe->getCfg('gzip'));
     
  2.  
  3. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 056
    Симпатии:
    520
    Пол:
    Мужской
  4. Offline

    fitaser Недавно здесь

    Регистрация:
    03.01.2013
    Сообщения:
    6
    Симпатии:
    0
    Пол:
    Мужской
    Сайт делал на коленке, никаких знаний по java, cms и html не имею.
    Пожалуйста, объясни куда копать и что искать чуть конкретнее
     
  5. Offline

    anis Недавно здесь

    Регистрация:
    20.03.2009
    Сообщения:
    96
    Симпатии:
    1
    Пол:
    Мужской
    Ничего не редиректит
    и с яндекса и с гугл сайт открывает
     
  6. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 056
    Симпатии:
    520
    Пол:
    Мужской
    Задача- удалить вредоносный скрипт с файлов сайта,который редиректит на чужой ресурс.
    1.Сравнить нормальные файлы Joomla,установленного шаблона с файлами,которые сейчас в корне сайта.
    Их около 5 000 файлов.
    Судя по моему опыту,и видя твой .htaccess,скрипт редиректа находится в яваскриптах.
     
  7. Offline

    fitaser Недавно здесь

    Регистрация:
    03.01.2013
    Сообщения:
    6
    Симпатии:
    0
    Пол:
    Мужской
    Ещё раз проверил, с яндекса редиректит

    Меняешь шаблон на другой - все равно редирект. Скрипт мог во все шаблоны записаться?
     
    Последнее редактирование модератором: 03.01.2013
  8. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 056
    Симпатии:
    520
    Пол:
    Мужской
    Посмотри /media.Там тож есть js.
    Можешь перезалить /media
     
  9. CB9T
    Offline

    CB9T Преподаватель по J! Команда форума

    Регистрация:
    21.05.2010
    Сообщения:
    2 465
    Симпатии:
    305
    Пол:
    Мужской
    Я посоветовал бы просканировать через сервис nazamok :) очень помогает выявить
     
  10. Offline

    fitaser Недавно здесь

    Регистрация:
    03.01.2013
    Сообщения:
    6
    Симпатии:
    0
    Пол:
    Мужской
    Перезалил /media из последней сборки Joomla 1.5
    Не помогло

    Так-же залил чистый index.php из сборки
     
    Последнее редактирование: 04.01.2013
  11. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 056
    Симпатии:
    520
    Пол:
    Мужской
    Тоже проверил поиск по Яндекс,переход на сайт,без редиректа
     
  12. Offline

    fitaser Недавно здесь

    Регистрация:
    03.01.2013
    Сообщения:
    6
    Симпатии:
    0
    Пол:
    Мужской
    Проверил с ноутбука. Тот-же редиректс с яндекса. Брузер - хром

    Почти во всех php файлах содержится строка base64 {много символов}

    подчищаю. о результатах отпишусь
     
    Последнее редактирование модератором: 04.01.2013
  13. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 056
    Симпатии:
    520
    Пол:
    Мужской
    Обновленный ?JRK ?
     
  14. Offline

    fitaser Недавно здесь

    Регистрация:
    03.01.2013
    Сообщения:
    6
    Симпатии:
    0
    Пол:
    Мужской
    Более 800 php файлов содержало следующую строку
    Код (CODE):
    1. eval(base64_decode());


    Вылечил, синхронизировав файлы по маске *.php на свой пк (total commander в помощь), проведя замену дан
    ной строки во всех файлах на "пробел" с помощью программы @Text Replacer и залив обратно по ftp

    Решено. Можно закрывать
     
    Последнее редактирование модератором: 06.01.2013
  15. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 056
    Симпатии:
    520
    Пол:
    Мужской
    удалил код из сообщения,а то аваст ругается и закрывает соединение с форумом
     
  16. Offline

    dimonsk Пользователь

    Регистрация:
    23.09.2011
    Сообщения:
    136
    Симпатии:
    0
    Пол:
    Мужской
    Тоже проблема... код был во всех php файлах и на тот же сайт перебрасывал... восстановил на хостинге резервную копию от 26.12.2012 - 7 сайтов было, сейчас стала появляться ошибка 400 Bad Request nginx/0.7.63

    Ни один сайт не открывается... вот например http://newregion-njagan.ru/ или http://newregion-xm.ru/

    Попробуйте открыть - что пишет? в чем может быть проблема?
     
  17. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 056
    Симпатии:
    520
    Пол:
    Мужской
    Хостер отключил Apache
     
    dimonsk нравится это.
  18. Offline

    dimonsk Пользователь

    Регистрация:
    23.09.2011
    Сообщения:
    136
    Симпатии:
    0
    Пол:
    Мужской
    и как нам его включить? обращаться к ним бесполезно - уже 2 сутки не отвечает тех поддержка... может через контрольную панель можно включить (хостинг jino)
     
  19. CB9T
    Offline

    CB9T Преподаватель по J! Команда форума

    Регистрация:
    21.05.2010
    Сообщения:
    2 465
    Симпатии:
    305
    Пол:
    Мужской
    Такое нельзя вкл :) это 99% на уровне провайдера.
     
    dimonsk нравится это.
  20. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 056
    Симпатии:
    520
    Пол:
    Мужской
    Да и вряд ли хостер включит надолго хостинг.
    Обычно хостер отключает апач при превышении нагрузки.Чисти сайты от бекдор/вирус
     
  21. Offline

    dimonsk Пользователь

    Регистрация:
    23.09.2011
    Сообщения:
    136
    Симпатии:
    0
    Пол:
    Мужской
    Вот что ответили на хостинге когда я только заметил что вирус на сайте:


    "Загрузка взломанных файлов стала возможной из-за уязвимости в компоненте com_jce. Вам необходимо удалить все .php файлы из папки images и перезакачать .js файлы .

    Для того , чтобы избежать запуска посторонних PHP файлов на аккаунте, рекомендую во все папки, где не предполагается запуск PHP скриптов, положить файл .htaccess c содержимым:

    <Files ~ "\.php$">
    Deny from all
    </Files>
    Действие файла .htaccess распространяется на все вложенные папки.

    Также сделал так, чтобы скрипты одного сайта не могли получить доступ к файлам на других сайтах."


    и действительно в папке images были .php файлы - все удалил

    Еще хотелось бы понять их фразу :

    "Для того , чтобы избежать запуска посторонних PHP файлов на аккаунте, рекомендую во все папки, где не предполагается запуск PHP скриптов, положить файл .htaccess c содержимым:"

    Что имеется ввиду, и как перезалить .js файлы - их около 400 нашлось только на одном сайте...
     

Поделиться этой страницей

Загрузка...