Niechciane linki na stronie - polska sieć linków i wiele skażonych stron.

[przem188]

Witam.

W moim serwisie google pokazuje linki reklamowe do kredytów i pożyczek.

Witryna do 16 czerwca stała na 1.5 z RS firewall i licznymi zabezpieczeniami. Jednak już na niej następowały kolejne włamania i dorabianie kodu reklamowego. Najcześciej były to proste ataki na plik htaccess.

!6 czerwca domena została wyczyszczona ze starej Joomli i wrzucono postawiony serwis na Joomli 3.4 wraz z komercyjnymi komponentami. Zmieniono wszystkie hasła do serwera.

Od jakiegoś czasu widzę podstrony, które google bot znajduje. Blokowanie ich kolejno w DA na czas poszukiwań nie ma sensu - poblokowałem część linków do błędu 404. W kodzie domeny najprawdopodobniej jest frame do innej strony.

Otwarcie kodu źródłowego mojej strony z linkiem podanym przez google jako link podejrzany to:

<html><frameset rows="100%"><frame src="http://najlepiejkredytyonline.com/index2.html"></frameset></html>

Pobrałem całą domenę na dysk lokalny i przeszukanie pod kątem tego kodu nic nie dało, użycie encodera tego fragmentu do zakodowania jako base64 i szukanie takiego base64 także.

Skanowanie skryptem jamss.php pokazuje mnóstwo plików, jednak brak jednoznacznego wyniku.

Link do panelu admina zabezpieczony dodatkowym hasłem w tymże standardowym linku.

Zainstalowane skrypty:

JHackGuard Plugin - powiadamia na mail o atakach brute force

System - AdminExile - zabezpieczneie zaplecza

System - Marco's SQL Injection - LFI Interceptor - chroni przed atakami za pomocą SQL incjection

Eyesite - skanowanie pod względem zmian w plikach

Joomla aktulizowana. Serwer to VPS.

Używam Linuxa w komputerze.

Oto przykładowy link do strony z doklejonego kodu:

http://www.glucholazyonline.com.pl/p...%9Bwidnica.pdf

lub bardziej charakterystyczna strona:

http://www.glucholazyonline.com.pl/p...ik-krd-big.pdf

Dodam, że kod reklamowy pożyczek pochodzi z Wrocławskiej firmy, która za umieszczanie reklam ich klientów płaci (cos jak adsense), jak rozmawiałem z ich przedstawicielem, jeden z klientów poprzez włamania do stron i wrzucaniu tego kodu zarabia na kliknięciach. To jest wg. firmy nieuczciwe i klient ten jest przez firmę sprawdzany. Problem ten dotyczy wielu stron w polsce, które poprzez te włamania stały się siecią reklamową.

Wśród stron m. innymi strona Wojewódzkiego Funduszu Ochrony Środowiska i Gospodarki Wodenj w Warszawie ( pewnie jej admini nawet nie wiedzą o tym, że ich strona została zainfekowana - ich CMS to Drupal) - http://www.wfosigw.pl/pozyczka-got%C3%83%C2%B3wkowa-z-zajeciem-komorniczym.pdf



ale i sporo stron firmowych:

Oparta o Joomlę: http://www.cte-sa.pl/chwil%C3%83%C2%...e-za-darmo.pdf

Oparta o WP: http://haipaa.com/skok-stefczyka-kredyt-opinie.pdf

To tak na szybko.

Problem jednak dotyczy strony mojej i pewnie sposób włamania na akurat moja Joomlę 3.4 i najprawdopodobniej jest identyczny dla wszystkich Jooml 3.4. Niestety, mi nie udało się ustalić co jest zainfekowane.

Stąd prośba o pomoc która pozowli mi usunąc infekcję jak i pomoże wielu adminom stron opartych o Joomlę 3.4, którzy zapewne nawet nie wiedzą o fakcie infekcji. Człowiek ten, który stworzył system włamań zna jakąś lukę w tej Joomli.

Udało mi się ustalić że w przypadku Joomli 2.5.4 tworzy folder o dość dziwnej nazwie. To jest znaczne ułatwienie do znalezienia infekcji bo wystarczy ów folder usunąć. W wielu innych przypadkach także infekcja opiera się na stworzeniu folderu ze skrytami do linkowania - dotyczy to stron opartych także o inne CMS.

Niestety, w przypadku Joomli 3.4 tak najprawdopodobnie nie jest. Przeszukałem cały katalog swojej strony w poszukiwaniu nietypowych folderów i skryptów, sprawdzałem najważniejsze pliki Joomli (szablonu, konfiguracji Joomli i wielu innych). Poszukiwania spełzły na niczym.

Przeraża mnie natomiast to, co wypluwa jamss.php - sprawdzenie każdej podanej przez skrypt możliwości infekcji to syzyfowa praca.

Proszę zresztą sprawdzić - www.glucholazyonline.com.pl/jamss.php

Co ciekawe - wrzucona kopia wykonana akebą na inny serwer infekcjinie wskazuje - po wejściu na link, króry działa na oryginale wskazuje błąd - You are not allowed to access this file. Ale jak podejrzewam, to ze względu na zabezpieczenia serwera, gdzie kopia została umieszczona.

Proszę o pomoc w swoim imieniu i wielu adminów stron opartych o Joomlę.

Znalezienie infekcji musi zostać opublikowane do wiadomości wszystkich.

Wrocławska firma twierdzi, że złoży do prokuratury zawiadomienie o nielegalnym działaniu tego człowieka w celu zarobkowym w ich sieci afilacyjnej. Problem jest taki, że najwyraźniej u nich nie pracuje żaden informatyk - ich podpowiedzi, że na serwerze posiadam pliki pdf wrzucone przez hakera to bzdura. Nie mają pojęcia co to jest iframe, gdy im o tym mówię. Na moje pytanie to w jaki sposób stworzyli sieć affilacyjną odpowiadają, zę kupili gotowy system z Wielkiej Brytanii wraz z usługą wdrożenia na ich serwerze. Za względu na sprawy prawne nazwy firmy nie ujawniam.