Добавляются ссылки с рекламным содержанием в разметку сайта

[Александр Тихий]

Сайт https://restoll.ru/. Работает под управлением CMS Битрикс + Аспро + много плагинов и самописа.

 

Некоторое время назад сео-специалистами при анализе вебвизора Яндекс были обнаружены посторонние ссылки на страницах сайта. Во всех обнаруженных случаях это три ссылки с анкорами про онлайн-казино на главной странице сайта под слайдером https://skr.sh/sQ3AoBr2YUf После обновления страницы они исчезли. Поиск этих анкоров на других страницах и в коде не дал результатов.

 

Сео-спецы пишут, что смогли увидеть ссылки только при разрешении как у пользователя 1138 на 712. Ссылок всегда по три, но они имеют разные анкоры и url (хотя все про казино). Вот эти удалось сохранить:
https://petathome.ru/com/igrovye-avtomaty-onlayn-slot-81
https://garantspecstroy.ru/com/kazino-onlayn-prilozhenie-83
https://petathome.ru/com/igrovoy-avtomat-garazhi-skachat-besplatno-79
https://petathome.ru/com/igrat-v-kazino-na-dengi-yandeks-dengi-20

 

Но и я смог зафиксировать подобного рода ссылки на 2560х1440 с масштабом 125%. В моем случае код добавленных ссылок исключительно простой (скриншот😞
<div id="footer" class="content foot footer"><ul><li><a href="https://markov-dom.com/pr/sildenafil-s3-otzyvy-forum-muzhchin-5b">силденафил с3 отзывы форум мужчин</a></li><li><a href="https://markov-dom.com/pr/tadalafil-cena-gde-kupit-af">тадалафил цена где купить</a></li><li><a href="https://markov-dom.com/pr/sildenafil-otzyvy-muzhchin-pri-razovom-primenenii-s-alkogolem-otzyvy-realnyh-lyudey-a5">силденафил отзывы мужчин при разовом применении с алкоголем отзывы реальных людей</a></li></ul></div> 

 

Закономерности в появлении ссылок найти не удалось.

 

Сайт был просканирован онлайн сканером DrWeb - вирусов найдено не было

 

Сервер у нас выделенный, но хостер дедалик не предоставляет услуг по сканированию и удалению вирусов. Сервер управляется последней версией ISP Manager, в ней куплен модуль Dr. Web, который при сканировании ничего не обнаружил. Ручной поиск вредоноса к успеху не привел и идеи у меня закончились. 

 

Может быть уважаемые пользователи форума сталкивались с подобными случаями или знают как с этим бороться. Будем благодарны за помощь.
 

Изменено 3 июня пользователем Александр Тихий

[akoK]

Самый простой вариант, это сравнить содержимое файлов с эталоном, например с старым бекапом

 

Ну и в помощь
https://urlscan.io/result/4ecaacb2-b595-4b00-8418-a07442620d4a/

[Александр Тихий]

6 минут назад, akoK сказал:

Самый простой вариант, это сравнить содержимое файлов с эталоном, например с старым бекапом

 

Ну и в помощь
https://urlscan.io/result/4ecaacb2-b595-4b00-8418-a07442620d4a/

 

Спасибо, проанализируем результаты сканирования и попытаемся сравнить версии файлов

[akoK]

И совет, на время диагностики поотключайте все внешние сервисы, аналитика, реклама и прочее

[Александр Тихий]

На сайте были бэкдоры.

Они находились в файлах /bitrix/modules/main/include/epilog_main.php (вредоносный файл), /bitrix/modules/main/include/epilog.php, где подключался файл epilog_main.php.
 

[Sandor]

@Александр Тихий, вылечить получилось?

[akoK]

Не забудьте сменить все пароли и (если применимо) обновить скрипты, чтоб снова не взломали.