Как избавится от мобильного редиректа «перенаправление на другой сайт»

В этой статье расскажу как совсем недавно столкнулся с очень неприятной штукой, такой, как мобильный редирект.Если выражаться более понятным языком, это перенаправление на другой сайт.
И эта неприятная штука произошла с моим сайтом comp-doma.ru, на котором Вы сейчас читаете эту статью.

В один прекрасный день, будучи не за компьютером, я решаю с помощью своего смартфона на Андроид, просмотреть свой сайт.

Открываю на Мобиле браузер Maxthon, кликаю по закладке comp-doma.ru Начинается загрузка, и где-то на половине загрузки, гляжу что в адресной строке меняется мой адрес сайта https://comp-doma.ru на (.sexshop-emmanuel.com.ua.), и открывается сайт порно – эротического содержания, который ещё и с подвохом. Достаточно дотронутся хотя бы до одной ссылки, автоматически попадаешь на 20 рублей в день. Внимательный человек эту надпись заметит.

Покрывшись холодным потом от происходящего ужаса, первое о чём я подумал, что это вирус, который скорее всего занёс при недавней перепрошивке телефона кастомной прошивкой.

Кастомная прошивка — это видоизмененные, модифицированные прошивки как одним пользователем, так и группой пользователей (CyanogenMod и Miui), то есть прошивка созданная не официальным производителем.

Ну что же делать…. Приезжаю домой, открываю свой сайт на компьютере. Всё нормально!

Скачиваю родную прошивку телефона, прошиваю. Захожу на свой сайт через вновь прошитый телефон. И опять эта же проблема!!! Опять переправляет на этот же зловещий сайт.

Я нервно начал думать, в чём может быть причина???

Прошивку из виновников исключили. Не могут же две разные прошивки быть заражены одной заразой.

Следующее, на что начинаю грешить — на как-то случайно установленную подписку на развлечения у сотового оператора. Мало ли, иногда дочки в телефон играют, рекламы сегодня полным полно и в игрушках. Случайно ни туда нажали, и вот тебе результат.

Зашёл к сотовым операторам на сайты (у меня 2 симки) просмотрел свои услуги и подписки, всё чисто, подписок нет!

Размышляя иду по «цепочке» дальше. Сотовых операторов исключили. Ещё раз проверяю свой сайт на компьютере, никакой переадресации сайта нет.

Второй час ночи. Утром в 6 вставать на работу.

Решаю пока успокоиться, и хорошенько подумать о возможных причинах происходящего и способах решения.

Следующим днём на работе, я весь день думал как убрать перенаправление на другой сайт, и где искать виновника редиректа. Раз сам мобильник и сотовых операторов я уже исключил из причин.

Пока находился на работе, у двух товарищей по работе взял сотовые, для проверки сайта. И что бы Вы думали??? Тоже самое! Идёт переадресация на другой сайт!

Тут уже сомнений не осталось! На мой сайт каким-то образом попал вредоносный код.

В этот момент у меня волосы «подымаются дыбом» когда я понимаю, что все мои посетители которые заходят на мой сайт с мобильного телефона или планшета, перенаправляются на порно сайты!!!!

«Пулей лечу» с работы домой! Падаю за комп, и как можно быстрее пытаюсь найти в интернете информацию, и решение этой проблемы.

Похожей ситуации найти не удаётся…На просторах интернета рекомендуют разные сервисы по проверки сайта на вредоносный код. Пробую все найденные сервисы. А так же всевозможные плагины для wordpress, по поиску вредоносного кода и ссылок. Яндил, и Гуглил до позднего вечера.

Результата ноль! Ни один сервис, ни один плагин не находят ничего подозрительного. :-(

Скачал через FTP весь свой сайт себе на компьютер, и стал рыться в коде файлов с надеждой заметить что ни будь подозрительное.

Я знаю, что редирект (переадресация, перенаправление) можно сделать несколькими способами. Самые популярные и распространённые это: с помощью файла конфигурации .htaccess, при помощи javascript, и под средством PHP кода, а так же в файлах JS.
Есть ещё разные способы, но эти самые распространённые.

Сначала, при помощи текстового редактора Notepad++, в файлах сайта стал пытаться найти URL сайта на который перебрасывает. Поиски ни к чему не привели.

Стал думать дальше…. Где же мог прописаться этот вредоносный код… Начал анализировать структуру сайта.

Думаю: Вредоносный код мог прописаться в четырёх местах это:

1. В базе данных сайта

2. В ядре wordpress, в конфигурационных файлах отвечающих за работу сайта

3. В файлах темы wordpress

4. Заражён сам сервер у хостера. Такое тоже случается, я пока занимался поисками похожего случая в интернете, прочитал несколько старей, где причиной редиректа на сайте был заражённый сервер хостера.

С кого из четырёх подозреваемых начать?

Продолжаю размышлять: С базы данных…., структура очень сложная, отнимет не мало времени.

Заразу у хостера, отложил на самый последний случай. После того когда будут проверены все варианты и уверенность что мой сайт 100% не заражен.

Остались ядро wordpress и тема.

В файлах движка wordpress придётся рыться долго и упорно.

Для начала решаю попробовать поменять тему. Секундная процедура, и один виновник будет откинут из подозрения, или хорошо если зараза окажется в теме. Тогда круг будет максимально сужен, и будем выворачивать «на изнанку» саму тему.

Меняю тему. Хватаю сотовый, захожу на сайт. Сайт кривой весь в ненастроенной теме Но перенаправления не происходит!!! Вот виновник! Вредоносный код прописался в моей теме.

Уже на позитиве, что виновник у меня в руках Открываю файлы заражённой темы.

Как мы уже выше говорили, вредоносный код может прописаться в файлах: htaccess, PHP, и JS.

Смотрим файлы темы. Файла htaccess в теме нет. Файлов JS немного, лежат в папке темы » в папке JS. Файлов PHP в теме достаточно много!

Решаю поступить следующим образом.

Скачиваю свою рабочею тему с сайта разработчика. Через FTP клиент открываю заражённую тему на хостинге. И начинаю из чистенькой, скаченной темы заменять файлы заражённой темы на хостинге. Но не все сразу!

редирект на мобильную версию сайта

Кликни для увеличения изображения

Если открыть папку с темой, мы увидим отдельные файлы, и целые папки.

Для начала не трогая папки, выделяю все файлы и копирую с заменой в заражённую тему на сервере как показано на скршоте. Захожу на сайт с сотового, проверяю. Перенаправление не прекратилось.

Значит фалы которые я скопировал с заменой из чистой темы не содержат вредоносный код. А файл с вредоносным кодом теперь спрятан в папках темы.

Начинаю копировать с заменой по одной папке на хостинг.

Так как знаю, что редирект может быть прописан в JS файлах, первым делом перекидываю папку с именем JS.

Опять проверяю сайт с сотового.

И вот, сайт нормально загружается, без перенаправления!!! Круг поисков сузился до одной папки!!!

С заранее скопированной на компьютер заражённой темы, забираю папку JS, и копирую её обратно на хостинг. На всякий случай проверяю с телефона сайт. Опять началось перенаправление.

Сомнений не осталось! Вредоносный код точно сидит в этой папке!

Открываю папку JS чистой темы . В ней два файла и папка. В заражённой папке JS такое же количество файлов и папка.как убрать перенаправление на другой сайт

Так как в корне папки всего два файла, решаю начать именно с них.

Начал с нижнего файла с названием nivo-slider.js. Скопировал с заменой на хостинг. Проверяю. Перенаправление никуда ни делось.
Значит зараза осталась на месте!

Копирую с заменой на хостинг файл с названием frontend.js. Проверяю. И вот перенаправление пропало!!!! :-) Ликую!!!!

Файл с заразой найден!!!! Теперь дело техники!

Открываю в текстовом редакторе Notepad++ заражённый файл, и чистый файл. Сопоставляю, и смотрю отличия в коде.

И вот он зараза!!!! Притаился в самом низу!

циклическая переадресация на сайте

Так как файл со скачанной темы и с заражённой идентичны за исключение вредоносного кода конечно в заранее сохранённую, настроенную тему, которая была заражена, я копирую файл frontend.js из чистой темы на всякий случай :-) .

Заливаю тему обратно на хостинг.

Контрольная проверка с телефона! Даже для достоверности пару проверок подряд :-) И ещё одна с телефона жены :-) .

Всё чисто!!!! Сайт загружается и работает исправно! Зло побеждено! Но нервов попортило не мало!

Сразу после решения этой проблемы с редиректом. Принялся за написание этой статьи.

Надеюсь мой способ решения проблемы с редиректом, поможет людям попавшим в подобную ситуацию.

Желаю никому не хватать такую заразу! А кому уж не повезло, благополучно и быстро избавится от неё!

Кому помогла статья, отпишитесь в комментариях!
Поделитесь своим опытом по решению подобных проблем.
Ваши советы могут помочь многим пользователям попавшим в подобную ситуацию!

Понравилась статья? Поделитесь с друзьями:
Comp-doma.ru
Подписаться
Уведомить о
guest

48 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии
Roman
Roman
01.07.2015 09:15

А не знаете, почему редирект срабатывал только с мобильного телефона?

Александр
Александр
19.09.2015 05:26

Админ. А редирект всё равно стоит на порносайт.
Достаточно зайти с точки опсоса. Например «мегафон»

Елена
Елена
27.09.2015 20:30

Это все замечательно. Но я ничего не поняла, что делать( перенаправление идёт не только с одного конкретного сайта, а вообще с любого и всегда на разные. Что где искать? Что удалять? Можно проще как-то объяснить?
Спасибо

Елена
Елена
28.09.2015 14:58
Ответить пользователю  Дмитрий Бахирев

Ваш оптимизм обнадеживает! Спасибо!
У меня перенаправление идёт вообщетс любого сайта, на который я захожу с телефона. Чаще всего перенаправляет на сайт g6xdroid.ru. при этом появляется уведомление о том, что нужно обновиться, что-то скачать и т.д. скриншот приложила. Все это происходит при подключению к вай-фай. Роутер перенастраивали, результата ноль. То же самое у мужа на телефоне происходит. Как думаете, что это такое? Телефон сбрасывали до заводских настроек, антивирусник не находит ничего.

Елена
Елена
29.09.2015 15:38
Ответить пользователю  Дмитрий Бахирев

На ноутбуке было такое же месяц назад. Снесла хром, поставила заново-проблема исчезла. Ну и плюс антивирусником прогнала все. Телефона третьего пока не удалось найти.

Елена
Елена
05.10.2015 06:17
Ответить пользователю  Дмитрий Бахирев

Итак, проверка дала такие результаты. Подключаемые ноутбук к вайфаю-перенвправления нет. Третий телефон так же выдаёт всякую фигню вместо нужного сайта. Т.е. такое ощущение, что только в телефонах такая беда(

Елена
Елена
10.10.2015 06:28
Ответить пользователю  Дмитрий Бахирев

Спасибо! Это вредит как-то телефону?

Левон
Левон
03.11.2015 01:39

Здравствуйте!
У меня такая же проблема как и у Елены!
Выходит это проблема не в телефоне, а в сайте? И если сразу закрывать нежелательные сайты, то никакого вреда не будет?

И кстати, на этот сайт я тоже попал только со второго раза, т.к. в первый раз меня перенаправили на подписку за 20 р. в день))

Олег
Олег
09.02.2016 13:33

Добрый день, Дмитрий, не могли бы дать свою аську или почту?

Константин
Константин
22.02.2016 09:51

Дмитрий, помогите мне пожалуйста! Создал сайт, начал его продвигать, а тут вот такая ерунда происходит с моим сайтом. Когда домен вбиваешь в адресную строку и пытаешься зайти на сайт, то он перенаправляет на другие сайты. Пытался искать , но не получается, не знаю что надо искать) мой сайт kaak24.ru

Константин
Константин
22.02.2016 19:30
Ответить пользователю  Дмитрий Бахирев

WordPress. Тему в смысле да? Нет, тему не пробовал менять. Так если бы оно постоянно еще было, так можно было что-то пробовать методом исключения, а так бывает перенаправление раз в 2 дня. Я каким-то плагинов тему проверял, в теме проблем не нашлось.

Константин
Константин
22.02.2016 21:56
Ответить пользователю  Дмитрий Бахирев

Ты вот когда перешел на мой сайт тебя сразу перебросила? Хорошо, попробую поменять тему

Константин
Константин
23.02.2016 11:46
Ответить пользователю  Дмитрий Бахирев

Давай спишимся в vk? Моя страница http://vk.com/slukitos

Константин
Константин
22.02.2016 09:52

Забыл добавить, он не всегда перенаправляет, а очень редко

Камила
Камила
12.03.2016 14:57

Добрый вечер! У меня та же самая проблема(( при открытии любой страницы, что с гугла, что с фэйсбука, идет редирект на порно сайт aviadeator.com, не знаю что и делать

Ольга Орлова
Ольга Орлова
10.04.2016 12:17

Дмитрий, у меня точь в точь такая же проблема. Я нанимала специалиста, но он ничего не нашёл. Редирект так и остался, только с мобильного с МТС номеров. Помогите, не могу потерять сайт, он мой единственный источник дохода.

Сергей
Сергей
11.04.2016 18:42
Ответить пользователю  Дмитрий Бахирев

Дмитрий и Ольга, можно поинтересоваться, нашли код? И если нашли, то где он был?

Сергей
Сергей
11.04.2016 18:14

А у меня есть подозрение, что это могли сделать сами хостеры. При чем они могут хорошо все развить, т.е. придумают или уже придумали код который будет перенаправлять только с определенных моделей телефонов или версии андроид. Они легко это могут сделать. Во время помощи, всегда просят доступы. Вывод: нужно учиться как администрировать виртуальный сервер без чужой помощи.

Сергей
Сергей
11.04.2016 18:25

У меня случай такой. Начал постепенно падать трафик. При чем страницы все в индексе и не упали в выдаче, даже поднялись. Кроме того добавлялись новые статьи…Это как минимум нелогично. Со смартфона (андроид 4,2) перенаправлений нет. Вот я и думаю, может они есть с других устройств, но проверить возможности нет. Может есть способ который выявляет любые перенаправляения с сайта, кроме как выискивать их в его логах?

vasili
vasili
06.07.2016 12:34

у меня тожы было код от мобилный ридирект я пользуюсь смс dle в шаблоне в main.tpl нашол вот такой код после удаление кода исчез мобилный ридирект.
после удаление мобилнова ридиректа я сменил права доступа к файлу main.tpl на 0444.

Николай
Николай
30.01.2017 18:21

здравствуйте Дмитрий, попробовал ваш способ редирект остался, где он может еще сидеть ?

Аня
Аня
01.02.2017 16:26

Помогите мне пожалуйста….молю)
с этим редиректом…так и не поняла откуда качать…что и куда!

Артем
Артем
07.09.2017 14:08
Ответить пользователю  Дмитрий Бахирев

Здравствуйте. А как настроить этот плагин? У меня появляется редирект только на ios и переводит на страницы платных подписок от мтс. Что делать?

Иван
Иван
27.10.2017 11:44

Спасибо за статью! Перечитал кучу форумов, но не мог найти ответ. Помог Ваш совет с поочерёдной заменой файлов. У меня оказалась похожая ситуация, только вредоносный код сидел в файле header.php самой темы ПЛЮС создался левый файл с названием empty.gif с зашифрованной ссылкой (Base64)

Степан
Степан
12.07.2018 13:57

У меня на сайте тоже какаято мистика при заходе с телефона перекидывает на порно шляпу aviadeator,com, причем мистика в том что это происходит с ресурсов посвященных сантехнике. Бред короче какой-то. 5 раз нормально заходит. 6 перекидывает на порно, блин хрень какая-то. Пригласил знакомого который разберается, будем ковырять сегодня движок, темы сайта.

Степан
Степан
12.07.2018 13:58
Ответить пользователю  Степан

Да забыл сказать про какой сайт идёт речь сантехникростова. рф

Алексей
Алексей
26.10.2018 07:27

у меня кругом была подмена в каталогах форума и распихнуты дополнительные .htacсess файлы

Денис
Денис
13.12.2018 09:06

Такая же проблема, что и описана в статье, практически один в один. Поставил рекомендуемый плагин, но не могу разобраться, что и как настраивать. Дмитрий, может подскажете?

Виталий
Виталий
02.02.2019 08:23

Вместо поиска методом исключения не проще ли было скачать файлы с сервера и потом сравнить скачанные и оригинальные файлы какой-нибудь тулзой, которая отображает различия в файлах? Типа Kaleidoskope для MacOS. Не поверю что нет подобного инструмента для других операционных систем.

Даже обычный diff сэкономил бы вам кучу времени

diff —brief -r dir1/ dir2/