Проверить хромого на инфекцию

Точно не сидит, они просто по разному обрабатывают явоскрипт. Поэтому хром его обрабатывает правильно, а конкуеррор нет.

На правах догадок :)

Поэтому хром его обрабатывает правильно, а конкуеррор нет.

Помню, в Konqueror из KDE 3 на многих сайтах скрипты вообще не работали, пока не укажешь в UA Firefox. Ну и KHTML не подарок, что уж там.

Нет. Страница разная. На одной есть скрипт, а на другой нет. Значит, либо сервер еще на этапе запроса от клиента опеределяет мой браузер и генерирует страницу, либо скрипт внедряется уже на моей машине локально. Для меня и то, и другое звучит дико. Глупость какая-то. Почему именно хромой?

khtml тоже вроде на webkit сделан, как и хромой. Или я путаю с чем-то?

Кстати, я не один с этой проблемой на этом сайте столкнулся. Были и дргуие люди, у кого именно Хром переходил по ссылке, а другие браузеры нормально работали.

khtml тоже вроде на webkit сделан, как и хромой. Или я путаю с чем-то?

Наоборот.

Webkit сделали из KHTML.

Значит, либо сервер еще на этапе запроса от клиента опеределяет мой браузер ...

Будто сложно проверить.

Посмотри список установленных расширений. Модифицировать страницу могут только плагины.

Попробуй через curl загрузить страницу подставив юзерагент хром и например фф и посмотри разницу. Скорее всего на сервере определяется.

И да, через firefox тоже перекидывает, так что дело не в браузере.

Обязательно попробовал бы, если б знал, какой user-agent надо рописывать.

Расширения точно не при чем. Они под контролем моего гугл-аккаунта и там только мои, родные расширения. На всякий случай их отключил, но ничего не изменилось.

У меня тоже хромой, но никуда не перекидывает.

Попробуй удалить или временно переместить в другое место профиль юзера - проблема сохранится или нет?

#url -A "Mozilla/5.0 (X11; Linux i686) AppleWebKit/535.19 (KHTML, like Gecko) Ubuntu/12.04 Chromium/18.0.1025.168 Chrome/18.0.1025.168 Safari/535.19" www.disciples3.ru
...
<!-- </div> -->
</body>

Я в печали :(

~/.config/chromium и ~/.cache/chromium

у гугл хроме похоже.

да, для начала можно попробовать почистить кэш

Помогло. Удалил профиль и кэш и заново подключил аккаунт. Пока все чисто.

Возможно, было достаточно почистить кэш, не надо торопиться :-)

Теперь вопрос, как эту заразу найти в сохраненных кэше и профиле и как зараза попала на мой компьютер?

FF тоже переходит на несуществующий адрес

Писец, блин. Безопасный javascript, говорите? Ну его нафиг!

Ну в хромом достаточно дыр безопасности находят. Совсем недавно что-то эпическое было: 5 дыр и ни одна не связана с переполнением буфера. Кто знает сколько их не в паблике?

и поставь noscript ;)

Зачем? Тут встроенный есть.

Да как и в любом браузере. Сложные программы он такие.

Смени в хроме User-Agent (на Lynks например) и черкани админам форума что у них троянчик

Тут встроенный есть.

Ну судя по всему он не работает...

Уже выяснилось, что user-agent не виноват. У меня есть подозрение на печеньки, но не знаю, как проверить. Простой текстовый поиск по каталогам с кэшем и профилем хромого ничего интересного не дал. Если не считать чем-то интересным страницу chrome://network-action-predictor/.
Ее содержимое меня несколько удивило и обеспокоило.

Работал, пока я его не отключил. Уже включил обратно :)

Попробуй почистить кэш, а потом, если не поможет, и профиль. Мне помогло.

судя по тому что код отобразился в исходниках логично предположить что его в таком виде отдал сервер (или какая нить прокся по пути)... все остальные модификации (user scripts и т.д.) не отображаются в сорцах.

Тоже перекинуло на http://security.dier0.ru.

Iceweasel 13 (Debian Stable)

однако раньше там, если верить гуглу, был фишинговый сайт для вытягивания бабла с любителей поиграть в игрушки.

Админы этого disciples3 похоже не сидят сложа руки :)

Почему сейчас (после удаления профиля и кэша) все чисто? Строки со скриптом и в помине нет.

Ну да, всего несколько дней ушло на блокировку сайта. :) Если верить чьему-то блогу. Там даже дата была, когда эта хрень была обнаружена автором блога.

У меня не переходит, даже если разрешить сабжевый домен.

удалил информацию о референсной ссылке и/или печенке... попробуй перейти на сайт из какого нибудь поисковика возможно подхватишь опять

Точно! При переходе по ссылке с гугл-поиска подхватывает эту хрень.

Проверил более тщательно. Заблокировал прием сторонних куки, почистил кэш, закрыл браузер, открыл, проверил, что страница чистая. Сделал поиск в гугле и перешел по ссылке. Скрипт снова появился. Теперь вопрос: как дальше жить??? Все куки еще блокировать что ли??? Ну, ни к кому доверия нет уже :(

Официальный сайт игры, блин, а такое вытворяет.

Вот сам куки, если кому-то это что-то даст:

Имя:	        SESS3dda16f6cde13221966e7cd38894a979
Содержание:	79q7pb203bkea8h23a08n2f4o7
Домен:	        .disciples3.ru
Путь:	        /
Отправить для:	Любой тип соединения
Доступный для скрипта:	Да
Создано:	понедельник, 18 июня 2012 г. 21:23:02
Срок действия истекает:	четверг, 12 июля 2012 г. 0:56:18

ещё раз говорю... пиши админам что у них троянчик... ктото их ломанул, возможно на автомате, а может и просто добрый поклонник... и не переходи больше из поисковика, а копируй ссылку и открывай в отдельном окне... (посылаю лучи поноса в сторону яндекса с ихней кривой системой редиректа) и про шапочку из фольги не забудь...

Да уж. На свои обычные сайты я всегда захожу напрямую (даже если опечатался и гугл мне подсказал адрес), а вот на всякие проходные проще через поисковик. Сейчас письмо им намылю. Спасибо за помощь!

фильтрация идёт по референсной ссылке на стороне сервера, для того чтобы владелец сайта не сразу заметил заражение, редиректятся только новые пользователи переходящие на сайт с поисковиков.

Это я уже успел сообразить :)
Об этом тоже написал админам сайта.

Официальный сайт игры, блин, а такое вытворяет.

Что-то не особо похож.

Точно официальный. Это подтверждает Википедия и сайт Акеллы.

так же внизу страницы есть копирайт Акеллы.

думаю, дело не в webkit, rekonq отрабатывает нормально (а он то на чистом webkit, не на khtml)

я слоупок, действительно с яндекса редиректит и в firefox, и в rekonq

Opera 12
Строки <script>... не обнаружено.