Найти скрипт скрытого пере направления мобильных пользователей.

Question

Найти скрипт скрытого пере направления мобильных пользователей.

В системе находится какой-то скрипт, перенаправляющий мобильных пользователей. Причём на разные сайты. Поиск по параметрам урл пере направлений результатов не дал. По всей видимости ссылки генерируются в самом скрипте. Сканер айболита тоже найти не может.
Если кто-нибудь сталкивался с подобной проблемой прошу помочь.
Хотя бы знать директории в которые обычно прописывают подобные вирусные коды, чтобы не искать наугад по всем файлам.

0

Ответы на пост (20) Написать ответ

Быстрая регистрация для ответа Войти

Answer 1

Иван Кривцов

1

27.11.2017 13:13

У вас движок DLE стоит?

0

Answer 2

Mnogitell

0

27.11.2017 14:29

Нет, Joomla.

0

Answer 3

KaptoLLIka

71

27.11.2017 14:51

урл кидай, в личку или тут.

0

Answer 4

Mnogitell

0

27.11.2017 14:56

Урл есть в профиле. Но по моему так на вряд ли найдёте.

0

Answer 5

nordicbook

0

27.11.2017 15:10

На 99% это прописано все в файле .htaccess в корне сайта

0

Answer 6

Mnogitell

0

27.11.2017 15:28

В .htaccess сайта или каком?

0

Answer 7

Обычно такие переадресации делают в .htaccess файле сайта в корневом каталоге, откроете этот файл и там будет, скорее всего строчек 30 с переадресациями, они ббудут находиться, скорее всего в самом верху сайта. Это стандартный вирус на joomla

Answer 8

У меня все норм редиректа нет, заходил с телефона через wifi и пк(сменой user agent под мобилки)

Answer 9

Спасибо вам большое! По всей видимости скрипт действует выборочно.

Answer 10

Опиши подробно, нужна такая инфа: моб оператор или wifi, мобильное устройство или пк, с какой страницы сработал.

Answer 11

Я бы мог дать примеры вредоносных кодов, но скрипты очень длинные, а здесь нельзя установить споллер.

Answer 12

KaptoLLIka

71

27.11.2017 15:21

В архив закинь и ссылку на яндекс диск или облако майл

0

Answer 13

Мобильные операторы, страны и IP пользователей:
#mts
80.83.224.0/20
81.195.238.0/23
84.17.254.0/23
85.140.0.0/21
85.140.76.0/22
95.153.128.0/20
95.153.148.0/22
95.153.152.0/18
95.153.244.0/22
95.153.248.0/21
194.54.148.0/22
212.248.21.0/26
212.248.24.192/26
213.87.0.0/16
217.8.226.0/24
217.8.227.0/21
217.8.238.0/23
217.66.146.0/23
217.66.148.0/22
217.66.152.0/21
217.74.244.13/32
217.74.244.128/25
217.74.245.0/24
217.74.246.0/21
#megafon
31.173.80.0/21
188.170.72.0/22
188.170.80.0/22
85.26.232.0/29

#beeline
31.13.144.1/31
31.13.144.3/30
31.13.144.7/29
31.13.144.15/28
31.13.144.31/27
83.220.236.1/31
83.220.236.3/30
83.220.236.7/29
83.220.236.15/28

#tele2
93.93.137.0/25
93.93.139.0/24
94.240.112.0/21
176.59.0.0/19
176.59.32.0/17
176.59.192.0/19
185.78.92.0/23
#by
5.100.192.0/19
46.191.0.0/17
77.67.128.0/17
81.30.80.0/20

#uk
37.228.104.0/21
46.211.0.0/21
46.211.24.0/21
46.211.64.0/21
46.211.96.0/19
46.211.128.0/18
46.211.200.0/21
46.211.248.0/21
58.67.157.0/24
59.151.95.128/25
59.151.98.128/27
59.151.106.224/27
59.151.120.32/27
80.84.1.0/24
81.23.17.0/24

Answer 14

KaptoLLIka

71

27.11.2017 15:33

Это просто диапазон ip адресов

0

Answer 15

Mnogitell

0

27.11.2017 15:45

https://yadi.sk/i/1OXvuPWB3Q5vjK

0

Answer 16

Mnogitell

0

27.11.2017 15:50

https://yadi.sk/d/priJJa8j3Q5wJM
https://yadi.sk/i/2B-56dFO3Q5wSo

0

Answer 17

Ну, что скажите? Где будем искать?
По моему остался единственный вредоносный скрипт, но найти его никак не удаётся.

Answer 18

Mnogitell

0

27.11.2017 15:54

Сейчас ещё раз проверю архив базы данных.

0

Answer 19

Сайт смотреть лень.
Заход на мобилу отображается через шаблон responsive-версии. Там и надо искать.
Перенаправления сейчас достаточно хитро "маскируют". Реально, в принципе. Плевать на скрипт, нужно искать триггер в шаблоне, что заставляет скрипт работать.

Answer 20

У меня на сайте реклама с партнерок редиректила, убрал скрипты партнерок и редиректы пропали

Найти скрипт скрытого пере направления мобильных пользователей.

Похожие посты

Анализ сайта