Редирект на мобильных. Айболит и сканеры молчат

Сообщений: 165 Регистрация: Июн 2023

15 Января 2026 14:56

Поймал странную заразу на вордпрессе. С компа сайт открывается нормально, а с телефона перекидывает на какую-то крипто-биржу или дейтинг. Перерыл все файлы, htaccess чистый, в индексе (index.php) тоже ничего левого. Плагины все обновил. Может кто сталкивался, где эта дрянь может прятаться? Может в базе где-то прописалась? Уже всю голову сломал.

discipulus

Сообщений: 165 Регистрация: Июн 2023

23 Января 2026 08:19

Неужели никто не сталкивался? Добавилось наблюдение: редирект срабатывает только при переходе с поисковиков (Яндекс/Гугл). Если вбивать адрес сайта напрямую в браузер — всё чисто. Видимо, скрипт чекает реферер. Уже грешу на кэширующие плагины или сам сервер (nginx). Техподдержка хостинга молчит. Ткните носом, в какую сторону еще можно копнуть, а то мобильный трафик теряю пачками...

Юрий

Сообщений: 8249 Регистрация: Ноя 2017

23 Января 2026 09:00

У меня есть специалист, который может помочь

Ленина|СанЛенина|Ундоры |Санаторий Дубки| Дубки

discipulus

Сообщений: 165 Регистрация: Июн 2023

26 Января 2026 05:48

Юрий, спасибо, но бюджет сейчас не тот, чтобы специалистов кормить. Да и привык я по старинке сам разбираться.
Раз файлы чистые, полезу сейчас в базу данных. Скорее всего, вредоносный код сидит в таблице wp_options или wp_posts в зашифрованном виде (base64). Обычно такая дрянь именно там прячется, когда серверные сканеры ничего не видят.

discipulus

Сообщений: 165 Регистрация: Июн 2023

2 Марта 2026 17:37

Короче, добил я этот редирект, делюсь опытом, чтоб никто больше так не влипал.

Как и подозревал, Айболит и прочие стандартные свистелки-перделки ничего не видят. Эти деятели сейчас пошли хитрые: вшивают скрипт прямо в базу (таблица wp_options) в зашифрованном виде. Редирект срабатывал только на мобильные юзерагенты, причем выборочно, чтобы владелец не сразу спалил.

Потратил кучу времени, в итоге просто снес всё нахрен. Поставил чистое ядро, тему пересобрал из исходников, базу вылизывал руками. Оказалось, залезли через старый плагин, который я "забыл" обновить.

Теперь только статика или максимально простые движки без этого мусора, ну его в баню.

sys_op Сообщений: 52 Регистрация: Янв 2026	#6 18 Марта 2026 15:04 айболит твой базу не видит поэтому и молчит. если редирект только с мобил и поиска - это классический условный редирект по рефереру. чекай таблицу wp_options и wp_posts на предмет base64_decode или eval - код скорее всего зашифрован и в базу залит. еще в консоли сервака через curl -a "googlebot" или мобильный юзерагент свой урл дерни и смотри что в хедеры прилетает. а вообще сноси все старые плагины через которые дыры светят

Новые темы	Объявления	Свободное общение
15:04 Редирект на мобильных. Айболит и сканеры молчат 14:57 как оплатить claude и gpt-5 из рф в 2026 чтобы не забанили через три дня 14:36 Ворд Пресс (или его шаблон) перестал отображать <b> болд жирный 14:31 Robots txt 12:18 С чего сейчас проще начать? 02:14 MAX попер в бурж: 40 стран, ведение каналов и горы дешевого трафика 22:19 Телега на ручнике: РКН включил замедление и логи админок покраснели	16:13 EM24.biz - обмен валют 15:22 Авито аккаунты ИП и физик 14:45 Belurk — высокоскоростные анонимные прокси от 0,24 рублей 14:22 Продажа аккаунтов HH.RU 12:29 От $0.015 за IP \| $0.68 за ГБ \| 9PROXY.COM \| 20+ млн резидентных прокси \| 99,95% аптайм \| Без чёрных списков 11:22 BestChange – обменивать электронную валюту можно быстро и выгодно 11:00 WordChecker Extension - браузерное расширение для проверки позиций в Яндексе	16:49 8 марта: желаю аптайма 99.9% и e-e-a-t без локов 15:27 молодильные яблоки и живая вода 13:54 Актуально для тех кто хочет заработать в интернете 13:53 Панель Кнопки соцсетей 13:31 Ставки на супер тренды в спорте 02:27 Точные прогнозы на футбол 21:46 блокировка youtube 2026: ркн начинает «выдавливание». кто уже пробовал вк видео?

Новые темы

Объявления

Свободное общение

15:04 Редирект на мобильных. Айболит и сканеры молчат
14:57 как оплатить claude и gpt-5 из рф в 2026 чтобы не забанили через три дня
14:36 Ворд Пресс (или его шаблон) перестал отображать <b> болд жирный
14:31 Robots txt
12:18 С чего сейчас проще начать?
02:14 MAX попер в бурж: 40 стран, ведение каналов и горы дешевого трафика
22:19 Телега на ручнике: РКН включил замедление и логи админок покраснели

16:13 EM24.biz - обмен валют
15:22 Авито аккаунты ИП и физик
14:45 Belurk — высокоскоростные анонимные прокси от 0,24 рублей
14:22 Продажа аккаунтов HH.RU
12:29 От $0.015 за IP | $0.68 за ГБ | 9PROXY.COM | 20+ млн резидентных прокси | 99,95% аптайм | Без чёрных списков
11:22 BestChange – обменивать электронную валюту можно быстро и выгодно
11:00 WordChecker Extension - браузерное расширение для проверки позиций в Яндексе

16:49 8 марта: желаю аптайма 99.9% и e-e-a-t без локов
15:27 молодильные яблоки и живая вода
13:54 Актуально для тех кто хочет заработать в интернете
13:53 Панель Кнопки соцсетей
13:31 Ставки на супер тренды в спорте
02:27 Точные прогнозы на футбол
21:46 блокировка youtube 2026: ркн начинает «выдавливание». кто уже пробовал вк видео?

25.11.2020 00:10	Бан "Редирект" от Яндекса, долго ли восстанавливается сайт?
16.10.2017 12:40	Мобильный редирект на посторонний ресурс
20.12.2016 13:29	Помогите убрать мобильный редирект с сайта
29.11.2015 21:45	Взломали все сайты и поставили редирект.
20.01.2015 16:48	Непонятная переадресация с мобильных устройств