Wirus(?) przekierowanie na stronie

[sz3lo]

Słuchajcie, mam dziwny problem.

Otóż od pewnego czasu użytkownicy strony zgłaszają mi dziwny problem, mianowicie jeden z urli w głównym menu strony przekierowuje zamiast pod właściwy, to pod różnego rodzaju spamerskie adresy typu:

https://pk5umhzdmjhcjhxhj31hywf.dermalogica.name.tr/

https://vmtc2t4kcevvktkxtvawkfn.americanfreetube.com/

https://fyxjiq1b0ehy9yem929xaww418453917319823e0594aca3f6c000521.ambit.com.mx/index2.php

Dzieje się to tylko przy pierwszym odwiedzeniu tego linka, nie na wszystkich komputerach, u mnie na windows 7 problem nie występuje, sprawdziłem na xp i takie coś zauważyłem. Natomiast użytkownicy z systemem win 7 również zgłaszają mi podobny problem.

Sprawdziłem kod strony - nie widać żadnych dodatkowych skryptów, iframeów, nic w tym stylu.

Sprawdziłem wszystkie pliki na serwerze w katalogu tej domeny, nie ma nic nowego, nic też nie było ostatnio modyfikowane.

Ściągnąłem to wszystko na komputer, sprawdziłem avastem, kasperskim, malwarebytes - czysto.

Poprosiłem również o sprawdzenie innych użytkowników strony- mówią że mają czysty system, mimo to przekierowanie pojawia się u wielu osób.

Plik htaccess jest czysty.

Strona stoi na autorskim cmsie.

Dzisiaj opera zablokowała stronę, boje się że to samo zrobi google.

Nie mam już pomysłów.

Czy ktoś miał podobny problem?

Co robić? Jak pozbyć się tego cholerstwa? :|

[mcmagik]

dzwoń do wróża macieja - może on bez adresu pomoże (wyczyta z fusów albo z tarota)

[Bart.]

Tutaj mozesz sprawdzic https://www.virustotal.com

[sz3lo]

dzwoń do wróża macieja - może on bez adresu pomoże (wyczyta z fusów albo z tarota)

Dzieje się to przy wejściu na ten link:

https://twojetypy.pl/konto/typy.html

Tutaj mozesz sprawdzic

https://www.virustotal.com

Sprawdzałem już wcześniej. Tylko yandex coś wykrywa, konkretnie Troj/JSRedir-JC - teraz usiłuje się dowiedzieć o tym czymś więcej.

[SzlafRock]

sprawdź katalogi cache, tmp lub podobne jeśli masz. Sprawdź też pliki .js, możesz spróbować odnaleźć po dacie modyfi,acji.

[Bart.]

Troj/JSRedir-JC

Czyli można wnioskować po nazwie, że coś znalazł. Przekierowanie w javascript.

Jesteś już na jakiejś liście badware, wiec niedlugo google zablkouje strone.

Podejrzewam, że korzystasz z jakichś dodatków czy programów partnerskich (w iframe czy js) i to być może one zostały zainfekowane (zewnetrzny serwer) więc tak naprawde Tobie może nic nie wykazać w plikach.

[mcmagik]

z tego co widzę, to targasz dane jakimś frameworkiem - tam też może być problem.

[Trotyl]

W którym miejscu był złośliwy kod?

[sz3lo]

Nic nie znalazłem.

Przepatrzyłem wszystkie pliki, nic nie było ostatnio zmieniane, nic nowego sie nie pojawiło, w żadnych plikach nie widzę żadnych zmian, nic nietypowego.

Dodałem strone do narzędzi dla webmasterów yandex ale tam nie ma żadnych szczegółów. Zauważyłem że oni używają oprogramowania sophos, ściągnąłem sobie też tego anywirusa, przeskanowałem pliki strony i oczywiście nic nie wykazał.

Nie mam już pomysłów. Dzisiaj w nocy usune wszystko i wgram zbackupowane pliki sprzed paru miesięcy, potem pozmieniam wszystkie hasła. Jeśli to nic nie da, to już na prawde nie wiem...

Najgorsze jest to że u mnie na komputerze nic nie widać, sprawdzam na 3 komputerach... wszystko działa jak trzeba. Dostaje tylko wiadomości od użytkowników strony, często dość chaotyczne, trudno w ten sposób coś zdiagnozować.

[Gość]

Ilu użytkowników zgłaszało Ci ten problem? Może to jest wina po stronie konkretnego użytkownika?

Osobiście spotykałem się u innych osób z bonusowymi reklamami w przeglądarce i dziwnymi przekierowaniami, ale to był wirus po stronie klienta a nie strony www.

[SzlafRock]

Program antywirusowy blokuje mi Twoją stronę ze stopki, masz przekierowanie do trojana.

[sz3lo]

Ilu użytkowników zgłaszało Ci ten problem? Może to jest wina po stronie konkretnego użytkownika?

Osobiście spotykałem się u innych osób z bonusowymi reklamami w przeglądarce i dziwnymi przekierowaniami, ale to był wirus po stronie klienta a nie strony www.

Też tak na początku myślałem. Ale w ciągu ostatnich paru dni co najmniej 5-6 zgłoszeń, wszyscy mówią o tym samym, przekierowanie po kliknięciu w ten jeden konkretny link. Więc nie sądze że to może być przypadek.

Program antywirusowy blokuje mi Twoją stronę ze stopki, masz przekierowanie do trojana.

Jakiego programu używasz?

[SzlafRock]

Kaspersky

[Trotyl]

Myślałem, że sobie z tym poradziłeś. Dla nowych IP jest wysyłany nagłówek z przekierowaniem, więc to coś gdzieś te IP zapisuje. Problem leży w php, prawdopodobnie w którejś z wtyczek.

E: Doczytałem, że CMS jest autorski. Nie używałeś do niego jakiś gotowców?

[sz3lo]

Skanowałem te pliki darmową wersją kasperskiego i też nic nie wykazało.

Dzisiaj w nocy usunałem wszystkie pliki i w grałem te z kopii sprzed kilku miesięcy. Więc myśle że z mojej strony nic już nie ma, jeśli w ogóle było.

Odpisali mi z yandexa, bo ich męczyłem żeby mi wysłali jakieś szczegóły dlaczego moja strona jest bloknieta:

Hello, An infection has been detected at your server (you can find its description at https://www.welivesec...-also-affected/ ).

We recommend you to reset your web server and its components and check the server configs as well.

--

Sincerely yours, Platon

Yandex support team

https://help.yandex.com/search/

Czyli, dobrze rozumiem, problem jest po stronie serwera?