Редирект на мобильных. Айболит и сканеры молчат

Сообщений: 165 Регистрация: Июн 2023

15 Января 2026 14:56

Поймал странную заразу на вордпрессе. С компа сайт открывается нормально, а с телефона перекидывает на какую-то крипто-биржу или дейтинг. Перерыл все файлы, htaccess чистый, в индексе (index.php) тоже ничего левого. Плагины все обновил. Может кто сталкивался, где эта дрянь может прятаться? Может в базе где-то прописалась? Уже всю голову сломал.

discipulus

Сообщений: 165 Регистрация: Июн 2023

23 Января 2026 08:19

Неужели никто не сталкивался? Добавилось наблюдение: редирект срабатывает только при переходе с поисковиков (Яндекс/Гугл). Если вбивать адрес сайта напрямую в браузер — всё чисто. Видимо, скрипт чекает реферер. Уже грешу на кэширующие плагины или сам сервер (nginx). Техподдержка хостинга молчит. Ткните носом, в какую сторону еще можно копнуть, а то мобильный трафик теряю пачками...

Юрий

Сообщений: 8400 Регистрация: Ноя 2017

23 Января 2026 09:00

У меня есть специалист, который может помочь

Ленина|СанЛенина|Ундоры |Санаторий Дубки| Дубки

discipulus

Сообщений: 165 Регистрация: Июн 2023

26 Января 2026 05:48

Юрий, спасибо, но бюджет сейчас не тот, чтобы специалистов кормить. Да и привык я по старинке сам разбираться.
Раз файлы чистые, полезу сейчас в базу данных. Скорее всего, вредоносный код сидит в таблице wp_options или wp_posts в зашифрованном виде (base64). Обычно такая дрянь именно там прячется, когда серверные сканеры ничего не видят.

discipulus

Сообщений: 165 Регистрация: Июн 2023

2 Марта 2026 17:37

Короче, добил я этот редирект, делюсь опытом, чтоб никто больше так не влипал.

Как и подозревал, Айболит и прочие стандартные свистелки-перделки ничего не видят. Эти деятели сейчас пошли хитрые: вшивают скрипт прямо в базу (таблица wp_options) в зашифрованном виде. Редирект срабатывал только на мобильные юзерагенты, причем выборочно, чтобы владелец не сразу спалил.

Потратил кучу времени, в итоге просто снес всё нахрен. Поставил чистое ядро, тему пересобрал из исходников, базу вылизывал руками. Оказалось, залезли через старый плагин, который я "забыл" обновить.

Теперь только статика или максимально простые движки без этого мусора, ну его в баню.

sys_op Сообщений: 61 Регистрация: Янв 2026	#6 18 Марта 2026 15:04 айболит твой базу не видит поэтому и молчит. если редирект только с мобил и поиска - это классический условный редирект по рефереру. чекай таблицу wp_options и wp_posts на предмет base64_decode или eval - код скорее всего зашифрован и в базу залит. еще в консоли сервака через curl -a "googlebot" или мобильный юзерагент свой урл дерни и смотри что в хедеры прилетает. а вообще сноси все старые плагины через которые дыры светят

Новые темы	Объявления	Свободное общение
01:59 Яндекс-ап 20 марта и похороны ChatGPT, Claude и Gemini. Считаем убытки 10:16 Бесплатное расширение для Chrome — проверка ссылок прямо на странице 10:15 ИКС Яндекс АПдейт 1 апреля 2026. Обновлён алгоритм расчёта 10:12 Gmail разрешил менять основной адрес - теперь можно убрать старые ники без переноса аккаунта 18:01 Раскрутка форума 13:23 Рост эффективности моего интернет‑магазина 21:08 Adsense личный опыт	08:50 Monitex: Мониторинг с кэшбэком 80% в USDT 04:11 От $0.015 за IP \| $0.68 за ГБ \| 9PROXY.COM \| 20+ млн резидентных прокси \| 99,95% аптайм \| Без чёрных списков 22:58 SOCKS5 приватные прокси на 30 дней для PayPal 22:57 Google Voice аккаунты для бесплатных SMS и звонков 22:57 PayPal аккаунты для любых целей 21:16 Crypto Mixer ↔ Bitcoin Mixer ↔ Cryptocurrency tumbler ↔ No-AML 18:54 Продам топовый аккаунт Kwork	00:06 Точные прогнозы на футбол 20:44 Огородники 19:47 молодильные яблоки и живая вода 16:25 8 марта: желаю аптайма 99.9% и e-e-a-t без локов 22:45 С юмором по жизни! 15:42 Голландцы влепили Grok по яйцам - теперь нельзя раздевать реальных людей, штраф 100к евро в день 07:17 Почему не обновляется счетчик ИКС (индекса качества сайта)

Новые темы

Объявления

Свободное общение

01:59 Яндекс-ап 20 марта и похороны ChatGPT, Claude и Gemini. Считаем убытки
10:16 Бесплатное расширение для Chrome — проверка ссылок прямо на странице
10:15 ИКС Яндекс АПдейт 1 апреля 2026. Обновлён алгоритм расчёта
10:12 Gmail разрешил менять основной адрес - теперь можно убрать старые ники без переноса аккаунта
18:01 Раскрутка форума
13:23 Рост эффективности моего интернет‑магазина
21:08 Adsense личный опыт

08:50 Monitex: Мониторинг с кэшбэком 80% в USDT
04:11 От $0.015 за IP | $0.68 за ГБ | 9PROXY.COM | 20+ млн резидентных прокси | 99,95% аптайм | Без чёрных списков
22:58 SOCKS5 приватные прокси на 30 дней для PayPal
22:57 Google Voice аккаунты для бесплатных SMS и звонков
22:57 PayPal аккаунты для любых целей
21:16 Crypto Mixer ↔ Bitcoin Mixer ↔ Cryptocurrency tumbler ↔ No-AML
18:54 Продам топовый аккаунт Kwork

00:06 Точные прогнозы на футбол
20:44 Огородники
19:47 молодильные яблоки и живая вода
16:25 8 марта: желаю аптайма 99.9% и e-e-a-t без локов
22:45 С юмором по жизни!
15:42 Голландцы влепили Grok по яйцам - теперь нельзя раздевать реальных людей, штраф 100к евро в день
07:17 Почему не обновляется счетчик ИКС (индекса качества сайта)

25.11.2020 00:10	Бан "Редирект" от Яндекса, долго ли восстанавливается сайт?
16.10.2017 12:40	Мобильный редирект на посторонний ресурс
20.12.2016 13:29	Помогите убрать мобильный редирект с сайта
29.11.2015 21:45	Взломали все сайты и поставили редирект.
20.01.2015 16:48	Непонятная переадресация с мобильных устройств