Что может подгружаться раньше сайта?

Uniz Uniz  
386
  08.11.2012 16:04       803     Помощь  
Ситуация примитивная. Не можем найти вирус на сайте.
вирус работает при условии что переходишь с поиска, используя мобильные устройства. (предлагает обновить оперу или любой другой браузер через который заходишь).
Простите, сайт спалить НЕ имею права.

И так вопрос. 
Может ли что то, подгружаться раньше сайта, при этом в самом сайте НЕТ вредоносного кода.
+ все антивирусы (как ру производства, так и иностранные показывают, что вирусов НЕТ).

Ответы на пост (30) Написать ответ
lancerkil lancerkil
0
08.11.2012 16:07
может на вашем мобильном устройстве действительно старый браузер?
0
Uniz Uniz
386
08.11.2012 16:10
нет. проверяли с 10-и разных андроидов и прочей хрени гелекси.
0
leshij68 leshij68
3
08.11.2012 17:35
Нет. Это на лоха. Предлагают новую оперу, а в реале скачиваешь прогу весом примерно в 30кб которая отправляет смс на платный короткий номер. Причем ты сам разрешишь (нажмешь ок) и даже не заметишь как проскочишь.
0
stiorlark stiorlark
0
08.11.2012 16:07
Проверь .htaccess. В нем 100% есть строка, которая осуществляет редирект, а если в нем не найдеш, то проверяй шаблон, на наличие редиректящих скриптов.
0
Uniz Uniz
386
08.11.2012 16:10
.htaccess делали грубо говоря пустым, не помогло.
сидим проверяем весь сайт по 10-му кругу.
0
seven-bit seven-bit
75
08.11.2012 16:08
Ссылку в Лс можно?
0
Uniz Uniz
386
08.11.2012 16:08
большое спасибо, но НЕТ((
0
minchanin minchanin
104
08.11.2012 16:10
если в скриптах не нашел вируса значит он подключается из вне джава скриптом или тебе правильно подсказали возможен еще вариант через htaccess
0
74ivan74 74ivan74
499
08.11.2012 16:23
вирус и картинкой подгрузить можно, вместо картинки пойдет php
1
74ivan74 74ivan74
499
08.11.2012 16:31
но скорее всего где-то в js лишняя строка затаилась
0
Uniz Uniz
386
08.11.2012 16:48
у нас js кода на 6000 строк на сайте)))
с этим и проблема что бы найти.
0
74ivan74 74ivan74
499
08.11.2012 16:51
ищите по url в notepad++ есть такая функция, либо что-то вроде base64 и пр.
0
74ivan74 74ivan74
499
08.11.2012 16:51
удалить js и проверьте будет подгружать или нет
0
Uniz Uniz
386
08.11.2012 16:54
удалить файлы, весь сайт ляжет. Слишком много на них завязано функций. Да и по одному удалять не вариант.

Хотя спасибо за свежую идею, может получиться.
0
milko milko
289
08.11.2012 16:52
движок то хоть какой, таинственный вы наш?
0
Uniz Uniz
386
08.11.2012 16:53
самопис((
0
milko milko
289
08.11.2012 16:55
стоят ли у вас на сайте эти выпрыгивающие попандеры кликандеры будь они не ладны? я с мобилки хожу постоянно, только из за них вечно предлагают оперу обновить. себе на сайт тоже ставила с год назад. сняла в тот же день, потому что пошла проверять с мобилы и сразу - ОП. обновитесь.
0
milko milko
289
08.11.2012 16:56
если самопис, то вряд ли лишняя строка. а вы, парни как думаете?
0
Uniz Uniz
386
08.11.2012 16:57
нет. И никогда не было агрессивных методов монетизации.
0
milko milko
289
08.11.2012 16:59
а с компа зайти и по исходному посмотреть место вывода нельзя? ) картинки например или того же кода, в котором копать надо... и как там оно появилось, если двиг самопис, шеллов не нашли. отключите папки с графикой в конце концов.
0
milko milko
289
08.11.2012 17:00
не мучайтесь, дайте ссылку надежному человеку тут и все. никому он не скажет.
0
milko milko
289
08.11.2012 17:01
сейчас..
0
milko milko
289
08.11.2012 17:02
http://wapinet.ru/cod/ зайдите сюда. этот сканер смотрит сайты как вап версии. у вас кстати есть вап версия?... так вот посмотрите им и сходный код страницы. может что найдете. я больше причин не знаю
0
umedmoderator umedmoderator
126
08.11.2012 17:33
Была аналогичная ситуёвина.

Сайт на wordpress. Оказалось что на в директории домена, кроме папок движка, каким то таинственным образом появилась папка foto. В ней были размещены 3 фотографии с предложением обновить opera mini. Кроме этого, в файле .htaccess нашлись строчки с редиктом всех мобильных браузеров на эту картинку.

Кроме этого в файле .htaccess нашлась ссылка на интернет-библиотеку, которая показывалась только поисковикам.

Если у вас хоть стандартный - хоть самописный двиг - начинать надо с логических действий.
1) по вашим словам .htaccess пустой.
2) проверить все папки на наличие лишней папки.
3) проверить файлы в папках на наличие лишнего
3) проверить файл header.php шаблона, на наличие чужого кода.
4) проверить все файлы движка, вызываемые header-ом или index.php.

Не стоит успокаивается мыслью - что это глюк минибраузера. По вашему описанию проблемы можно сделать вывод что вирус есть на 100%.
0
leshij68 leshij68
3
08.11.2012 17:37
Часто дешевые хостеры грешат размещением такого вируса на ваших сайтах.
0
umedmoderator umedmoderator
126
08.11.2012 17:41
есть примеры ?
0
Uniz Uniz
386
08.11.2012 18:23
Всем спасибо. Вопрос решен!
0
milko milko
289
08.11.2012 19:15
ну мы тут помогали помогали, хотелось бы услышать причину неисправности?
0
Uniz Uniz
386
08.11.2012 21:02
взломали сервак.
в index.php))) (да я знаю и так уже все выслушали какие мы хорошие, а что Вы хотите от отдела оптимизаторов и пары программистов, которые этот сайт впервые видели)
суть:
добавили переменную, которая вызывала (как я понял) одну строчку из ява файла, тот в свою очередь обращался к нашей поисковой форме.
а там и был вирус, при чем в наглую как выяснилось, он при использование поиска подгружал бота пользователю (это по мимо оперы мини).
где и как он в поиске работал, мне если честно уже все равно.
п.с. я так и не понял, как он редирект вставлял.
0
NIKNN NIKNN
206
08.11.2012 22:08
если вирус типа base64 или eval прошерсти все файлы и удали вирус везде ибо он распространяется быстро и уже может в большенстве файлов быть
скачай файлы на комп
прошерсти прогой по поиску текста в файлах и автозаменой замени код вируса на пробел)
0