seofuture
28-11-2017, 10:06
Hej, potrzebuję pomocy :)
Pacjent: langlia.pl
Strona była przez pare lat totalnie zawirusowana. We wrzesniu 2016 serwer został fizycznie zmieniony na inny (operator) i została postawiona nowa strona na joomli. Przez kilka miesięcy po postawieniu strony, widziałem w logach że boty sie do niej dobijały ale było pozabezpieczane, ruch w końcu się zatrzymał.
W marcu 2017 ktoś próbował się dodawać do GSC - na szczęście bezskutecznie, profilaktycznie pozmieniałem wszystkie hasła (hasła z generatora)
Kilka dni temu w serpach pod wynikiem wyszukiwania pojawił sie komunikat "Ta witryna mogła paść ofiarą ataku hakerów."
Natychmiast pełne sprawdzenie witryny, wszystkie pliki przetrzepane wirusem i ręcznie, sprawdzona baza - nic nie znalazłem co by niepokojąco wyglądało. Jedyne co odbiega od normy to zawartośc katalogu:
cache/com_templates/
Co kilkanaście minut generuje tam się plik z "krzakami"
site:langlia.pl pokazuje w google ponad 800 wyników choc strona łacznie ma około 30 zakładek.
Google pokazuje mi w koncoli jako przykład infekcji takie linki:
langlia.pl/vjezqxbgu/colorado/4389-8475/befist-metallide/circumagitation.php
do tego znalazłem (chyba) dziwny zapis na końcu .htaccesa:
<IfModule mod_headers.c>
<FilesMatch "\.(jpg|jpeg|png|gif|swf|JPG)$">
Header set Cache-Control "max-age=4838400, public"
</FilesMatch>
<FilesMatch "\.(css|js)$">
Header set Cache-Control "max-age=4838400, private"
</FilesMatch>
</IfModule>
W innych joomlach takie czegoś nie widziałem.
Na koniec po dokładniejszym przekopaniu się przez GSC znalazłem jeszcze jedna perełkę:
W dniu kiedy ktos próbował sie dodać do GSC ostro poszedł do góry SITE - do ponad 6k w szczytowym momencie - teraz wg. GSC jest juz "tylko" 500 i nadal spada.
Gdzie jeszcze to badziewie mogło się ukryc i jak tego szukać bo bez wątpienia cos jeszcze gdzieś siedzi, skoro plik z krzakami się co chwile generuje nowy?
Z góry dziekuję za sugestie i pomoc.
Stefan
Pacjent: langlia.pl
Strona była przez pare lat totalnie zawirusowana. We wrzesniu 2016 serwer został fizycznie zmieniony na inny (operator) i została postawiona nowa strona na joomli. Przez kilka miesięcy po postawieniu strony, widziałem w logach że boty sie do niej dobijały ale było pozabezpieczane, ruch w końcu się zatrzymał.
W marcu 2017 ktoś próbował się dodawać do GSC - na szczęście bezskutecznie, profilaktycznie pozmieniałem wszystkie hasła (hasła z generatora)
Kilka dni temu w serpach pod wynikiem wyszukiwania pojawił sie komunikat "Ta witryna mogła paść ofiarą ataku hakerów."
Natychmiast pełne sprawdzenie witryny, wszystkie pliki przetrzepane wirusem i ręcznie, sprawdzona baza - nic nie znalazłem co by niepokojąco wyglądało. Jedyne co odbiega od normy to zawartośc katalogu:
cache/com_templates/
Co kilkanaście minut generuje tam się plik z "krzakami"
site:langlia.pl pokazuje w google ponad 800 wyników choc strona łacznie ma około 30 zakładek.
Google pokazuje mi w koncoli jako przykład infekcji takie linki:
langlia.pl/vjezqxbgu/colorado/4389-8475/befist-metallide/circumagitation.php
do tego znalazłem (chyba) dziwny zapis na końcu .htaccesa:
<IfModule mod_headers.c>
<FilesMatch "\.(jpg|jpeg|png|gif|swf|JPG)$">
Header set Cache-Control "max-age=4838400, public"
</FilesMatch>
<FilesMatch "\.(css|js)$">
Header set Cache-Control "max-age=4838400, private"
</FilesMatch>
</IfModule>
W innych joomlach takie czegoś nie widziałem.
Na koniec po dokładniejszym przekopaniu się przez GSC znalazłem jeszcze jedna perełkę:
W dniu kiedy ktos próbował sie dodać do GSC ostro poszedł do góry SITE - do ponad 6k w szczytowym momencie - teraz wg. GSC jest juz "tylko" 500 i nadal spada.
Gdzie jeszcze to badziewie mogło się ukryc i jak tego szukać bo bez wątpienia cos jeszcze gdzieś siedzi, skoro plik z krzakami się co chwile generuje nowy?
Z góry dziekuję za sugestie i pomoc.
Stefan