Приховане перенаправлення в DLE mymobile

приховане

Цілком випадково на одному з таких сайтів було виявлено приховане перенаправлення на сайт «дорослого» змісту mymobile-xxx.com. Причому, жодних явних ознак цього не було — у Яндекс.Вебмайстер та Google для вебмайстрів попереджень не виникало, при заході на сайт з мобільних пристроїв перенаправлення на сторонній ресурс також не було.

Інформації з такої проблеми у мережі знайти не вдалося. Пошуки шкідливого коду у файлах на хостингу також не дали бажаного результату. Вирішили — перевірити базу даних і тільки тоді вдалося знайти місце, де відбувається перенаправлення.

Алгоритм пошуку прихованого перенаправлення

Якщо ви виявили подібне на своїх ресурсах, то спочатку потрібно зайти на хостинг і перейти до управління базами даних phpMyAdmin. Коли ви це зробите, натискаємо кнопку пошуку:

вдалося

сайт

Потім у форму «Слова чи значення для пошуку (груповий символ: «%»):» виписуємо частину назви шкідливого домену, допустимо «mymob», виділяємо всі таблиці та натискаємо кнопку «Ок»:

mymobile

В результаті, якщо ваш ресурс був зламаний таким хитрим способом і перенаправлений на шкідливий сайт, ви повинні побачити лише один результат (на жаль, скрін не зберігся — сайт спочатку вилікували, а потім виникла ідея написати статтю).

Проблема була прихована в таблиці «users» — пошуком по базі даних вдалося знайти користувача з ніком Jemymobi (можливо будь-яке інше ім'я) і незрозумілий виконавчий код, що містить таку конструкцію «…..mymob%….«. Видаливши користувача - проблема зникла і на сайті створення онлайн-скриншотів вдалося отримати скрін потрібного сайту. Будьте уважнішими та перевірте свої сайти на ДЛЕ на предмет такого можливого прихованого перенаправлення.