итак, вчера обнаружила странные переходы на мой сайт через яндекс-метрику. проверила - на ссылающихся страницах явного ничего нет (скрыто). посмотрела исходный код - вышла на целый скрытый архив у меня под носом - основная страница называет себя sitemap http:// gumannaja-pedagogika .ru/ ?option=/cat/sitemap.html с нее ведут 2500 (!) ссылок на тексты, размещенные уровнем ниже. нашла через исходный даты создания - с 1 по 15 января. в придачу появилась rss лента, которой у меня нет уже делала: закрыла от поисковиков через robots - ибо нефиг проверила весь контент через админку - новых разделов, категорий, материалов нет проверила images - дверей нет проверила ftp по дате создания файлов - нет проверила базу поиском по дате и именам и тексту - нет пересоздала sitemap - ничего незнакомого нет попутно поправила пару-тройку косяков ленту вроде "нашла" - в компонентах вырубила вообще все разом (а так можно?) потом включала по одной - так и не поняла, куда злодейская делась. ключевое - оформление чужих страниц полностью совпадает с основным содержимым сайта если вырубить через админку сайт, этот массив тоже выключается. из всего вижу, что где-то сидит и хихикает, но уже голову сломала - где... помогите, пожалуйста, найти
Ну вообще очень похоже на автоматическую генерацию статей через сервисы вроде sape.ru Посмотрите в корне FTP директории с длинными именами в виде хэшей 89sl232427rgkjhlkjghfas;fhlafjfas . Вот вроде этого. Если такое есть, то: 1. Удалите директорию 2. Из файла шаблона удалите вызов этой папки
мдя... а директорий то нету лишних... у меня только те, которые я и создавала... в базе длинных таблиц тоже нету и даты изменений совпадают с теми, которые я делала
У меня такая же фигня, это не сапа и не траст линк, обрнаружил вирусную вставку в файле шаблона, удалил, но всё равно это не пропало, не знаю где ещё искать в .htaccess всё нормально. Нигде этих статей ни в БД ни на хостинге нету. Ссылка точно такая же на sitemap, очень много статей в сайтмапе и они все перелинкованы, внешних ссылок нет, наверное пока =)
кеш джумлы я очищал естественно. файл gftry.php - это который я удалил начинался так Код (PHP): <?php $auth_pass = "d738664f57d0cc63169931feb9f91cb5"; $color = "#df5"; $default_action = 'FilesMan'; $default_use_ajax = true; $default_charset = 'Windows-1251'; preg_replace("/.*/e", дальше зашифоровано пару листов.
У меня такая ситуация была 1. Если дамп на хостере делается каждый день и ничего не менял за сегодня или вчера перезалей его просто и все. 2. Если знаешь когда примерно появилось "г" на сайте по ФТП смотри даты изменения (чаще всего индексные файлы index.php - портят) Хотя как показывает практика могут влепить вызов и в js код.
приключения продолжаются... найти и убить бяку не удалось, как и моим "друзьям по несчастью" с которыми мы теперь знакомы. описала проблему техподдержке яндеха - кричу, помогите!!! на полтора листа описала в деталях что-где-когда. получила спустя неделю лаконичный ответ По всей очевидности, проблемные страницы были удалены с Вашего сайта автоматически, это нормально. голова сломалась а падлюка таки висит и таки работает...
Сейчас пока будете искать дамп то попросите у хостера - а то потом еще более лаконичный ответ получите. а вообще если не дорабатывала модули и компоненты - то можно сделать выгрузку БД и шаблона с картинками, перезалить CMS и накатить модули заново. Не знаю какой сложности сайт - но чуйствую что это будет быстрее...
итак, пакость обнаружена. спасибо форумцу с аналогичной проблемой - предложил временное решение с толковым редиректом, а затем и ключ к проблеме отыскался у такого же пострадавшего. я после обнаружения этой напасти быстренько нашла еще два десятка жертв и разослала им письма с описанием проблемы. больше половины ответили. (Элит-работа - зараза еще та!) на одном из таких бедняг админ проделал таки пофайловую проверку и нашел источник - генерилось из папки libraries / причем изменений не вносилось - если по датам смотреть. болел index и еще несколько файлов. проще всего оказалось полностью перезалить папку из дистрибутива. проблема полностью устранена. страдали сайты общественных организаций, местных органов власти, школ... рекомендую пользователям 1.5 проверить сайт путем добавления к адресу кусочка prostosait.ru / ?option=/cat - вбить в гугл и посмотреть не выскочит ли. зараза идет двухуровневой сетью - на одних сайтах вбиты невидимые ссылки (в коде в районе нижних строк с командой "скрыть"), ссылки идут на второй уровень - там на сайтах уже сами генераторы со статьями. атаки идут примерно раз в две недели с конца декабря. дверь я так вдохновенно раздолбала, что не дотумкала зафиксировать где она. но была простая. все манипуляции идут непосредственно в джумле, шаблоны не задействованы.
