Дмитрий Платонов написал: Больше никто не сталкивался с проблемой ? Код обнаруживается только на сайтах под управление Битрикс
Найди файл виновник через поиск по всем файлам сайта, например по номеру, либо через тотал коммандер или нотепад++, выложи код, и путь где лежит виновник.
Сегодня обнаружил заказчик рекламу в мобильной версии сайта. Код такой-же. Так мы уже заполняли форму в ГУГЛЕ, что с таким кодом идёт реклама. Они, якобы, должны были провести расследование и прикрыть аккаунт с этой компанией.
Специалисты Сотбит хорошо потрудились, устанавливая коды от Google Adsense. В корне сайта ещё ищите файл ads.txt это тоже из этой серии. Т.е. сотрудник Сотбит добавляет к себе в аккаунт сайт клиента, проходит одобрение и получает деньги.
Сергій Кругліков написал: Сегодня обнаружил заказчик рекламу в мобильной версии сайта. Код такой-же. Так мы уже заполняли форму в ГУГЛЕ, что с таким кодом идёт реклама. Они, якобы, должны были провести расследование и прикрыть аккаунт с этой компанией.
Код
ca-pub-2354472562823288
Подскажите, какую форму заполняли, тоже хочу заполнить
Здравствуйте, уважаемые и взволнованные клиенты и партнеры! Мы понимаем вашу обеспокоенность, поэтому в этом сообщении выражаем официальную позицию Сотбит относительно свершившегося факта.
Итак, действительно, в январе-феврале месяце 2020 года были выявлены случаи, когда после взаимодействия с нашей бесплатной ТП на клиентских сайтах начал появляться сторонний вредоносный рекламный контент.
Сразу же нашими специалистами был произведен анализ данной ситуации. В результате чего было обнаружено несколько "дырок" на сайте ТП, с помощью которых злоумышленники похищали доступы клиентских сайтов, выписанные на сотрудников Сотбит. В оперативном порядке уязвимые места нашего сайта были локализованы и устранены.
На текущий момент опасность хищения доступов мошенниками полностью ликвидирована. Мы ежедневно мониторим сайт ТП на наличие вредоносного кода. И самое главное, после устранения "дырок" жалоб и обращений от клиентов с подобным вопросом более не поступало. Юрий Пузанков, в Вашем же случае, вредоносный код был размещен на сайте еще 21 января. Просто, к сожалению, выявлен он был только сейчас.
И обращаемся ко всем пользователям, которые используют решения Сотбит. В обязательном порядке поменяйте доступы к сайтам, которые Вы предоставляли нашей ТП в январе-феврале месяце. Так же проверьте сайт на наличие вредоносного кода или обратитесь в нашу ТП за помощью по этому вопросу.
Всем клиентам, которые пострадали от действий вышеуказанных злоумышленников, мы готовы возместить ущерб в виде бесплатно или частично оплаченных модулей и продлений к ним.
А мы, дорогие наши клиенты и партнеры, еще раз приносим Вам свои извинения за сложившуюся ситуацию. Мы сделаем все от нас зависящее, чтобы подобная ситуация впредь не повторилась.
Вот моя теория подтвердилась. Обращаю внимание, что на некоторых сайтах появлялся не только код рекламной системы, но и внешние ссылки на чужие сайты. Рекомендую провести сканирование сайта, на их наличие. Бесплатная программа Xenu.
Теоретически злоумышленники долгий период могут эксплуатировать чужой сайт, если у них были ftp доступы к корневым папкам сервера. Тогда они могут создать лазейку (которую найти проблематично) и проникать на сайт без пароля.