Движок для сайта DLE или DataLife Engine взламывают очень часто. Виной тому являются множественные проблемные и уязвимые места в безопасности скрипта. Осложняется этот факт использованием бесплатных версий движка, то есть уже заранее взломанных — система управления сайтами ДЛЕ платная, многие хотят сэкономить и скачивают nulled версии. Но даже использование лицензионной версии не даёт гарантий по защите вашего сайта.
Совершенно случайно на одном из таких сайтов было обнаружено скрытое перенаправление на сайт «взрослого» содержания mymobile-xxx.com. Причем, никаких явных признаков этого не было — в Яндекс.Вебмастер и в Google для вебмастеров предупреждений не возникало, при заходе на сайт с мобильных устройств перенаправления на посторонний ресурс также не было.
Заметить подозрительное поведение удалось благодаря сайту по созданию онлайн скриншотов s-shot.ru. При вводе адреса сайта (посвящён прицепной технике) для получении его скрина и обнаружилась проблема со скрытым перенаправлением на сайт mymobile-xxx.com. Вместо картинки с изображением главной страницы нужного ресурса, в окне просмотра скриншотов можно было любоваться материалами для взрослых. При этом открывая сайт mymobile…. в браузере ничего подобного там не видно.
Информации по такой проблеме в сети найти не удалось. Поиски вредоносного кода в файлах на хостинге также не принесли желаемого результата. Было принято решение — проверить базу данных и только тогда удалось найти место, где происходит перенаправление.
Алгоритм поиска скрытого перенаправления
Если вы обнаружили подобное на своих ресурсах, то для начала нужно зайти на хостинг и перейти к управлению базами данных phpMyAdmin. Когда вы это сделаете, нажимаем на кнопку поиска:
Затем в форму «Слова или значения для поиска (групповой символ: «%»):» выписываем часть названия вредоносного домена, допустим «mymob«, выделяем все таблицы и нажимаем кнопку «Ок»:
В результате, если ваш ресурс был взломан таким хитрым способом и перенаправлен на вредоносный сайт, вы должны увидеть всего один результат (к сожалению, скрин не сохранился — сайт был сначала вылечен, а потом возникла идея написать статью).
Проблема была скрыта в таблице «users» — поиском по базе данных удалось найти пользователя с ником Jemymobi (возможно любое другое имя) и непонятный исполнительный код, содержащий в себе такую конструкцию «…..mymob%….«. Удалив пользователя — проблема исчезла и на сайте создания онлайн скриншотов удалось получить скрин нужного сайта. Будьте внимательнее и проверьте свои сайты на ДЛЕ на предмет такого возможного скрытого перенаправления.
Спасибо, полезная статья мне помогла!