На сайте вирус!

Форум самогонщиков, пивоваров, виноделов Технический Работа сайта и форума
1 2 3 1
nstorm Научный сотрудник Ростов-на-Дону 2820 2165
21 Дек. 14, 21:09
При попытке перейти на сайт с гугла, загружается вот эта дрянь:
alco.png
Похоже сайт "заразили". Проявляется при переходе именно из гугла. Через пачку редиректов выходит туда:
alco2.png
Проверял с разных браузеров, с разных компов и инет подключений разных, т.е. проблема не у меня.

EDIT: Инспектором JS похоже нашел заражение в файле highslide-with-html.packed.js:
alco3.png alco4.png

Как видно, в начале файла приписан код, который проверяет переход из поисковых систем Google, Bing, Yahoo, Mail, Ask, Altavista и yandex и перенаправляет на другой сайт, путем создания мини-скрипта в коде сайта с перенаправлением черех document.location=

nstorm Научный сотрудник Ростов-на-Дону 2820 2165
Отв.1  21 Дек. 14, 21:23, через 14 мин
Извиняюсь перед модераторами и администраторами за создание новой темы, но боюсь что мое сообщение может пройти незамеченным.
А сайт однозначно заражен злоумышленниками и перенаправляет на говно-сайт. Все детали я описал в этом посте, заражение подтверждено на 100%: [На сайте вирус!]
bukinist Профессор Смоленск . 5771 1781
Отв.2  21 Дек. 14, 21:24, через 2 мин
и ЧТО ТЕПЕРЬ ДЕЛАТЬ?
MagadaneЦ Профессор Тула 2907 386
Отв.3  21 Дек. 14, 21:26, через 3 мин
bukinist, Выпить и закусить...
nstorm Научный сотрудник Ростов-на-Дону 2820 2165
Отв.4  21 Дек. 14, 21:27, через 1 мин
Не ходить сюда из поисковых систем пока. А вообще это для администраторов форума больше сообщение, они должны разбираться и чистить код сайта. Пока вроде только перенаправление на другой сайт, но теоретически злоумышленники раз установив такой код, могут и что по злее поставить.
bukinist Профессор Смоленск . 5771 1781
Отв.5  21 Дек. 14, 21:29, через 2 мин
Свалю пока, не понимаю ни хрена.
Выпить и закусить...MagadaneЦ, 21 Дек. 14, 21:26
француз Профессор Кырск 2959 830
Отв.6  21 Дек. 14, 21:32, через 3 мин
ЧТО ТЕПЕРЬ ДЕЛАТЬ?bukinist, 21 Дек. 14, 19:24
Под рюмочку читать древнии рецепт,помогающии бросить пить легко!
Ваще то я периодичесски замечал шо-то странное,но линь автоматом все скидивает,потому и не волновался.
hardvik Профессор саратов 2978 601
Отв.7  21 Дек. 14, 21:38, через 7 мин
Чей то не получилось на вирусный сайт попасть. И с гугля пробовал по нескольким ссылкам. Пришел куда надо. Или суда или на Игоря сайт.
nstorm Научный сотрудник Ростов-на-Дону 2820 2165
Отв.8  21 Дек. 14, 21:50, через 13 мин
http://www.homedistiller.ru/...-html.packed.js - вот тут явно видно перенаправление прописано на сайт androidex тчк ru
француз Профессор Кырск 2959 830
Отв.9  21 Дек. 14, 21:53, через 3 мин
hardvik, У меня браузер часто какие-то всплывающие окна сносит(если честно,не знаю,чего тот там сносит))))но исключительно на форуме..Почти каждыи второи день.Заикался об этом,но все видузятники свазали-нормуль,все в ажуре.В таких случаях-линь всетаки рулит Смеющийся
ykh Доцент Екатеринбург 1818 503
Отв.10  21 Дек. 14, 22:03, через 10 мин
У меня седня аваст пару раз ругался, но я так и не понял, на что. Окон было открыто мульён.
nstorm Научный сотрудник Ростов-на-Дону 2820 2165
Отв.11  21 Дек. 14, 23:07
Онлайн сканнер также подтверждает наличие "скрытого" кода перенаправления в этом скрипте:
alco5.png
Sergnikow Профессор Сибирь 2321 1045
Отв.12  21 Дек. 14, 23:15, через 9 мин
А сайт однозначно заражен злоумышленниками и перенаправляет на говно-сайт.nstorm, 21 Дек. 14, 23:23
Пользуюсь в основном Яндексом, с него на HomeDistiller по ссылке нормально заходит.
а вот с Гугла действительно перекидывает на "Монастырский чай от алкогольной зависимости"
spicarau Магистр м-в 203 25
Отв.13  21 Дек. 14, 23:17, через 2 мин
Меня из РБ направляет норм.
AllesGood Специалист из средней полосы 143 18
Отв.14  21 Дек. 14, 23:18, через 1 мин
Это происки доктора Малышевой. За здоровье народа борются.
Андрей Администратор Бухарест 3363 3571
Отв.15  22 Дек. 14, 01:13
nstorm, попробуй зайти с другого устройства.
У меня на ноуте и на сервере файл highslide-with-html.packed.js не модифицированный. Без функции R();

А то испугал, на ночь глядя!

Отпишись, как проверишь!
nstorm Научный сотрудник Ростов-на-Дону 2820 2165
Отв.16  22 Дек. 14, 08:47
попробуй зайти с другого устройства.Андрей, 22 Дек. 14, 01:13
Первым дело это и сделал. Не то что с другого ус-ва, но и с другого подключения. Было и там такое же. Сейчас обновил с обоих компов файл - уже без функции R(). В кеше вчерашний был с этой функцией, да и как минимум один другой пользователь подтвердил редирект при переходе с гугла.
Сейчас всё нормально. Возможно хостер или кто-то еще вычистил файл, но оно там было точно.
EDIT: Я же даже сторонним сервисом проверял, тоже подтвердил что в файле была левая функция, тут писал: [сообщение #12150189]
Андрей Администратор Бухарест 3363 3571
Отв.17  22 Дек. 14, 10:39
nstorm, спасибо за сигнал. Я тоже припоминаю, что видел точку вверху (R() ее выводит, если не редиректит), но только на телефоне на андроиде, и она пропала после крайнего обновления форума, я подумал что это что-то мое было по невнимательности не удаленное, а может нет, а может совпадение.
Sovereign Магистр Новосибирск 228 20
Отв.18  22 Дек. 14, 10:41, через 3 мин
В первую очередь проверьте не заражен ли ваш браузер или комп, не похоже что сайт заражен.
Rig4 Кандидат наук Санкт-Петербург 441 94
Отв.19  22 Дек. 14, 11:01, через 21 мин
На "Монастырский чай от алкогольной зависимости" меня тоже отправляло с Гугла.