Найти скрипт скрытого пере направления мобильных пользователей.
В системе находится какой-то скрипт, перенаправляющий мобильных пользователей. Причём на разные сайты. Поиск по параметрам урл пере направлений результатов не дал. По всей видимости ссылки генерируются в самом скрипте. Сканер айболита тоже найти не может.
Если кто-нибудь сталкивался с подобной проблемой прошу помочь.
Хотя бы знать директории в которые обычно прописывают подобные вирусные коды, чтобы не искать наугад по всем файлам.
#mts
80.83.224.0/20
81.195.238.0/23
84.17.254.0/23
85.140.0.0/21
85.140.76.0/22
95.153.128.0/20
95.153.148.0/22
95.153.152.0/18
95.153.244.0/22
95.153.248.0/21
194.54.148.0/22
212.248.21.0/26
212.248.24.192/26
213.87.0.0/16
217.8.226.0/24
217.8.227.0/21
217.8.238.0/23
217.66.146.0/23
217.66.148.0/22
217.66.152.0/21
217.74.244.13/32
217.74.244.128/25
217.74.245.0/24
217.74.246.0/21
#megafon
31.173.80.0/21
188.170.72.0/22
188.170.80.0/22
85.26.232.0/29
#beeline
31.13.144.1/31
31.13.144.3/30
31.13.144.7/29
31.13.144.15/28
31.13.144.31/27
83.220.236.1/31
83.220.236.3/30
83.220.236.7/29
83.220.236.15/28
#tele2
93.93.137.0/25
93.93.139.0/24
94.240.112.0/21
176.59.0.0/19
176.59.32.0/17
176.59.192.0/19
185.78.92.0/23
#by
5.100.192.0/19
46.191.0.0/17
77.67.128.0/17
81.30.80.0/20
#uk
37.228.104.0/21
46.211.0.0/21
46.211.24.0/21
46.211.64.0/21
46.211.96.0/19
46.211.128.0/18
46.211.200.0/21
46.211.248.0/21
58.67.157.0/24
59.151.95.128/25
59.151.98.128/27
59.151.106.224/27
59.151.120.32/27
80.84.1.0/24
81.23.17.0/24
https://yadi.sk/i/2B-56dFO3Q5wSo
По моему остался единственный вредоносный скрипт, но найти его никак не удаётся.
Заход на мобилу отображается через шаблон responsive-версии. Там и надо искать.
Перенаправления сейчас достаточно хитро "маскируют". Реально, в принципе. Плевать на скрипт, нужно искать триггер в шаблоне, что заставляет скрипт работать.