PDA

Zobacz pełną wersję : strona ciągle łączy się z domeną freshmodel.pw - co to za gów... ?



adam.branicki
26-02-2017, 19:20
Jak kliknę w jakikolwiek link na swojej stronie to widać na dolnym pasku że moja strona łączy się dodatkowo z stat4u i google analitycs (i to jest OK) oraz dodatkowo z domeną freshmodel.pw
Kółko ładowania się kręci, kręci i po chwili przestaje. Sama strona ładowana jest poprawnie i do końca. Występuje to tylko w firefoksie w IE tego nie ma.
Przeskanowałem zawartość plików jak i bazy mysql pod kątem występowania tej nazwy - (nic nie znaleziono)
Jak zapuszcze nslookup na freshmodel.pw to:

Non-authoritative answer:
Name: freshmodel.pw
Address: 85.25.110.8
8.110.25.85.in-addr.arpa name = static-ip-85-25-110-8.inaddr.ip-pool.com.

Spotkaliście się z podobnym przypadkiem ? Czy to włamanie na serwer ? Choć nie sądze bo wszystkie pozostałe strony tego serwera działają bez tego gówna freshmodel.

adam.branicki
26-02-2017, 20:24
ok już namierzyłem problem.
Otóż google wzieło się za tych którzy mają stronki posadzone na starych wersjach joomli i poblkowało te strony serwujac komunikat o niebezpiecznej zawartości i wysyła maila z info:

Otrzymaliśmy i przetworzyliśmy Twoją prośbę o sprawdzenie bezpieczeństwa witryny. Niestety nasze systemy w dalszym ciągu zgłaszają, że strony witryny http://kos.fc.pl przekierowują użytkowników do złośliwego oprogramowania lub zawierają linki do materiałów do pobrania zawierających złośliwe lub niechciane oprogramowanie. Przeglądarki takie jak Google Chrome będą w dalszym ciągu wyświetlać ostrzeżenie użytkownikom odwiedzającym Twoją witrynę lub klikającym umieszczone w niej linki prowadzące do pobierania materiałów zawierających złośliwe lub niechciane oprogramowanie.

a problem leży w JavaScriptach takich jak np.

media/system/js/mootools-core.js
media/system/js/caption.js
media/system/js/core.js
media/system/js/mootools-more.js
media/system/js/statbe2.php

ale oczywiście nie tylko w w/w .js

tu można sobie wygenerować raport
http://urlquery.net/report.php?id=1488059306668

Bazyl
26-02-2017, 20:33
Miałem się nie odzywać, z powodu języka, jakim się posługujesz, ale napiszę: masz zainfekowaną stronę.

adam.branicki
26-02-2017, 20:41
eee nie bądź taki delikatny.
Chodzi o stare pliki .js w starej wersji joomli które roboty google interpretują jako niebezpieczne.
O infekcji nie ma mowy.

Karol99
05-03-2017, 21:26
O infekcji nie ma mowy
Pogratulować dobrego samopoczucia. Ja bym bazylowych rad nie lekceważył... A i na język zwróciłbym uwagę.

Gall Anonim
05-03-2017, 21:38
Chodzi o stare pliki .js w starej wersji joomli które roboty google interpretują jako niebezpieczne.
O infekcji nie ma mowy.
Życzę powodzenia na nowej drodze życia - z kolegą syfem na stronie - powtórzę po przedmówcach - zawirusowana :-)