Вебмастер ругается на JS/Redir-DA. К страницам добавляются странные utm. Куда копать?

Question

[pilotus]

Предыстория такая.

Словил вирус на сайт. Подозрительные файлы нашел - удалил. Не могло.
Восстановился из резервной копии (версия несколько дней до заражения). День нормально и опять тоже самое.
Антивирусы ничего не находят. Изменений в php как советовали проверить на хабре нет или я их не замечаю.

Вебмастер ругается, что сайт взломан, говорит JS/Redir-DA, а информации о нем я не нашел. Ни один антивирус не ругается. Давал пару людям пароли к FTP - сбросил пароли и отменил доступ.

В вебмастере показывает редирект с какого-то украинского IP
Судя по логам входам, постоянно ломятся из разных стран

Может кто сталкивался и лечил?

Answer 1

[Boris Köln]

Во-первых, зловред может быть не только в PHP, но и в JS-файлах, .htaccess, системных файлах, БД (если криворукий программист не проверяет на инъекции).

Во-вторых, "Восстановился из резервной копии" и "сбросил пароли и отменил доступ" никак не поможет защититься от повторного взлома. Потому что причина не найдена и не устранена.

Comments

[pilotus]

Само собой не поможет. Однако если были инъекции копия должна была их убрать.

JS я тоже смотрел, но просмотр пары сотен JS без знания языка особо много не даст.

[Boris Köln]

если были инъекции копия должна была их убрать.

... на пару часов, пока бот заново не закинет инъекцию.

JS я тоже смотрел, но просмотр пары сотен JS без знания языка особо много не даст.

Надо не смотреть исходный код, а искать его изменения по сравнению с исходным. Достаточно hg diff или git diff в зависимости от используемого репозитория. Если нет репозитория - ССЗБ.

[pilotus]

Boris Korobkov,

Надо не смотреть исходный код, а искать его изменения по сравнению с исходным. Достаточно hg diff или git diff в зависимости от используемого репозитория. Если нет репозитория - ССЗБ.

вот это вы с кем сейчас разговаривали? :) Узнать об этом было бы интересно, но пока в обзорном плане.

[Boris Köln]

Хотя бы kdiff3 с бэкапом.

[pilotus]

Boris Korobkov, из того что я вижу - это программа для сравнения исходника и текущей версии.

Кстати, проблему _кажется_ решил - ждём подтверждения Яндекса.

1. Яндекс подхватил внедренный sitemap и давай из него бодро индексировать даже после уничтожения оригинала. Удалил из вебмастера и добавил сгенерированные страницы в запрещенные в роботе.
2. Вечная беда Джумлы, неверный ответ сервера при кастомной 404-ой ошибке. Т.е. страницы были удалены, но для бота всё-по-прежнему выглядело как дорвей с 302-м редиректом.