Niechciane linki na stronie - polska sieć linków i wiele skażonych stron.
Strona 1 z 4 123 ... OstatniOstatni
Wyniki 1 do 10 z 35

Temat: Niechciane linki na stronie - polska sieć linków i wiele skażonych stron.

  1. #1
    Przeglądacz
    Dołączył
    14-01-2010
    Wpisy
    99
    Punkty
    12

    Joomla! 3.4 Niechciane linki na stronie - polska sieć linków i wiele skażonych stron.

    Witam.

    W moim serwisie google pokazuje linki reklamowe do kredytów i pożyczek.

    Witryna do 16 czerwca stała na 1.5 z RS firewall i licznymi zabezpieczeniami. Jednak już na niej następowały kolejne włamania i dorabianie kodu reklamowego. Najcześciej były to proste ataki na plik htaccess.

    !6 czerwca domena została wyczyszczona ze starej Joomli i wrzucono postawiony serwis na Joomli 3.4 wraz z komercyjnymi komponentami. Zmieniono wszystkie hasła do serwera.

    Od jakiegoś czasu widzę podstrony, które google bot znajduje. Blokowanie ich kolejno w DA na czas poszukiwań nie ma sensu - poblokowałem część linków do błędu 404. W kodzie domeny najprawdopodobniej jest frame do innej strony.

    Otwarcie kodu źródłowego mojej strony z linkiem podanym przez google jako link podejrzany to:

    <html><frameset rows="100%"><frame src="http://najlepiejkredytyonline.com/index2.html"></frameset></html>

    Pobrałem całą domenę na dysk lokalny i przeszukanie pod kątem tego kodu nic nie dało, użycie encodera tego fragmentu do zakodowania jako base64 i szukanie takiego base64 także.

    Skanowanie skryptem jamss.php pokazuje mnóstwo plików, jednak brak jednoznacznego wyniku.

    Link do panelu admina zabezpieczony dodatkowym hasłem w tymże standardowym linku.

    Zainstalowane skrypty:

    JHackGuard Plugin - powiadamia na mail o atakach brute force

    System - AdminExile - zabezpieczneie zaplecza

    System - Marco's SQL Injection - LFI Interceptor - chroni przed atakami za pomocą SQL incjection

    Eyesite - skanowanie pod względem zmian w plikach

    Joomla aktulizowana. Serwer to VPS.

    Używam Linuxa w komputerze.

    Oto przykładowy link do strony z doklejonego kodu:

    http://www.glucholazyonline.com.pl/p...%9Bwidnica.pdf

    lub bardziej charakterystyczna strona:

    http://www.glucholazyonline.com.pl/p...ik-krd-big.pdf

    Dodam, że kod reklamowy pożyczek pochodzi z Wrocławskiej firmy, która za umieszczanie reklam ich klientów płaci (cos jak adsense), jak rozmawiałem z ich przedstawicielem, jeden z klientów poprzez włamania do stron i wrzucaniu tego kodu zarabia na kliknięciach. To jest wg. firmy nieuczciwe i klient ten jest przez firmę sprawdzany. Problem ten dotyczy wielu stron w polsce, które poprzez te włamania stały się siecią reklamową.

    Wśród stron m. innymi strona Wojewódzkiego Funduszu Ochrony Środowiska i Gospodarki Wodenj w Warszawie ( pewnie jej admini nawet nie wiedzą o tym, że ich strona została zainfekowana - ich CMS to Drupal) - http://www.wfosigw.pl/pozyczka-got%C3%83%C2%B3wkowa-z-zajeciem-komorniczym.pdf



    ale i sporo stron firmowych:

    Oparta o Joomlę: http://www.cte-sa.pl/chwil%C3%83%C2%...e-za-darmo.pdf

    Oparta o WP: http://haipaa.com/skok-stefczyka-kredyt-opinie.pdf

    To tak na szybko.

    Problem jednak dotyczy strony mojej i pewnie sposób włamania na akurat moja Joomlę 3.4 i najprawdopodobniej jest identyczny dla wszystkich Jooml 3.4. Niestety, mi nie udało się ustalić co jest zainfekowane.

    Stąd prośba o pomoc która pozowli mi usunąc infekcję jak i pomoże wielu adminom stron opartych o Joomlę 3.4, którzy zapewne nawet nie wiedzą o fakcie infekcji. Człowiek ten, który stworzył system włamań zna jakąś lukę w tej Joomli.

    Udało mi się ustalić że w przypadku Joomli 2.5.4 tworzy folder o dość dziwnej nazwie. To jest znaczne ułatwienie do znalezienia infekcji bo wystarczy ów folder usunąć. W wielu innych przypadkach także infekcja opiera się na stworzeniu folderu ze skrytami do linkowania - dotyczy to stron opartych także o inne CMS.

    Niestety, w przypadku Joomli 3.4 tak najprawdopodobnie nie jest. Przeszukałem cały katalog swojej strony w poszukiwaniu nietypowych folderów i skryptów, sprawdzałem najważniejsze pliki Joomli (szablonu, konfiguracji Joomli i wielu innych). Poszukiwania spełzły na niczym.

    Przeraża mnie natomiast to, co wypluwa jamss.php - sprawdzenie każdej podanej przez skrypt możliwości infekcji to syzyfowa praca.

    Proszę zresztą sprawdzić - www.glucholazyonline.com.pl/jamss.php

    Co ciekawe - wrzucona kopia wykonana akebą na inny serwer infekcjinie wskazuje - po wejściu na link, króry działa na oryginale wskazuje błąd - You are not allowed to access this file. Ale jak podejrzewam, to ze względu na zabezpieczenia serwera, gdzie kopia została umieszczona.

    Proszę o pomoc w swoim imieniu i wielu adminów stron opartych o Joomlę.

    Znalezienie infekcji musi zostać opublikowane do wiadomości wszystkich.

    Wrocławska firma twierdzi, że złoży do prokuratury zawiadomienie o nielegalnym działaniu tego człowieka w celu zarobkowym w ich sieci afilacyjnej. Problem jest taki, że najwyraźniej u nich nie pracuje żaden informatyk - ich podpowiedzi, że na serwerze posiadam pliki pdf wrzucone przez hakera to bzdura. Nie mają pojęcia co to jest iframe, gdy im o tym mówię. Na moje pytanie to w jaki sposób stworzyli sieć affilacyjną odpowiadają, zę kupili gotowy system z Wielkiej Brytanii wraz z usługą wdrożenia na ich serwerze. Za względu na sprawy prawne nazwy firmy nie ujawniam.
    Ostanio edytowane przez przem188 : 22-08-2015 19:59 Powód: http://www.glucholazyonline.com.pl/po%C5%BCyczka-bez-bik-%C5%9Bwidnica.pdf lub bardziej charakterystyczna strona: http://www.glucholazyonline.com.pl/po%C5%BCyczki-bez-bik-krd-big.pdf

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #2
    Senior Gall Anonim awatar
    Dołączył
    19-10-2010
    Wpisy
    6 947
    Punkty
    447

    Domyślny

    1. Jeżeli faktycznie wszystko zostało zmienione (dostępy itd) - oraz wyczyszczone wszystkie katalogi to:
    widzę cztery możliwości:
    - albo masz coś w katalogach równoległych na serwerze i brak separacji katalogów
    - albo masz coś w swoim kompie (wystarczy keylogger)
    - albo hostingodawca ma jakiś syf u siebie lub nierzetelnego pracownika
    - albo masz jednak jakiś trefny komponent
    ================================================== =======
    Stwierdzenie że ktoś zna taką lukę w Joomla która pozwala mu wejść zawsze i wszędzie jest o tyle nie logiczne że by wszedł zawsze i wszędzie - a tak nie jest :-) - więc problem tkwi w czymś innym

  4. #3
    Przeglądacz
    Dołączył
    14-01-2010
    Wpisy
    99
    Punkty
    12

    Domyślny

    Odp. 2 - Używam Linuxa - nie oznacza to wprawdzie, że nic nie złapię ( zawsze taka możliwość istnieje) ale ta szansa na złapanie czegoś spada do jakieś 10 procent w porównaniu do Windows - tu sam miałem przykład - złapałem coś, co doklejało kod w artykule pisanym w JCE.

    Odp. 1 - właśnie tu podejrzewam serwer - ale nie jestem obeznany na tyle w tych sprawach - o co chodzi z tymi katalogami równoległymi?

    Odp. 4 - chyba raczej nie wina komponentu. Używałem naprawde dobrych i sprawdzonych komponentów kupionych od znanych producentów dostępnych na JED. Jak ognia unikam niepewnych developerów.

    odp 3 - hosting - chmm... tu akurat mało mam do czynienia - ząłatwiam bieżące sprawy bez pomocy admina hosta. Zresztą ten mało jest dostępny.

    Co można sądzić o podanych pozostałych przykładach włamań? Dodam, że znaleźć można ich wiele więcej.

    I jak widać - włamania są w także w WP, Drupalu

    O włamaniu sam nie wiedziałem. Otrzymałem maila od nieznajomego najprawdopodobniej webmastera z kraju. Oto fragment:

    W Państwa przypadku jest to zrobione sprytnie. Po kliknieciu w link np. po wyszukaniu tutaj:
    https://www.google.pl/search?q=chwil...ernet&start=30
    ukazuje sie inna strona affilacyjna do zarabiania na pożyczkach. Firma, która generuje ten skrypt już wie, że jeden z ich klientów nadużywa go w hackowanych stronach. Jak go rozpoznają mają powiadomić organa ścigania. Tutaj Wasza współpraca byłaby wskazana - Jest to: https://convertiser.com/pl

    Może oni coś doradzą
    Wasza strona jest z wielu zaatakowanych


    Podałem nazwę firmy, a co tam. W końcu to ich system.
    Ostanio edytowane przez przem188 : 22-08-2015 21:59

  5. #4
    Senior Gall Anonim awatar
    Dołączył
    19-10-2010
    Wpisy
    6 947
    Punkty
    447

    Domyślny

    Cytat Wysłane przez przem188 Zobacz wiadomość
    złapałem coś, co doklejało kod w artykule pisanym w JCE.
    Edytor JCE - był swojego czasu przyczyną wielu udanych ataków - na chwilę obecną nie wiem jak to wygląda bo po prostu przestałem go całkowicie używać skoro autorzy skupili się na komercji nie bezpieczeństwie - standardowo edytory są szczególnie podatne na ataki ponieważ jedną z prostszych form ataku (a jednocześnie skuteczniejszych) jest "wstrzyknięcie" pliku udającego fotkę do katalogu images lub media i uruchomienie go zewnętrznie poprzez właściwą ścieżkę po adresie domeny dlatego wskazane jest między innymi zmienianie oryginalnego katalogu images i media na nietypowy - człowiek i tak się połapie ale robot już musiałby być n to przygotowany a zazwyczaj nie jest (bo i po co jak są miliony witryn standardowych). Jak się przyjrzeć logom zabezpieczeń widać że atakowane są głównie edytory nie zależnie od CMS'a. Prawdopodobnie masz "syf" właśnie tego typu - musisz sprawdzić foty na "bycie" fotami - jak nie najdziesz skryptu - to zazwyczaj mają n=one jakąś "kretyńską lub nietypową nazwę" ale zawsze możesz zrzucić na kompa i optycznie przepatrzeć - fota ok - nieotwierająca się fota - prawdopodobnie syf - najczęściej taki pliki maja format gif albo png.
    To tyle na szybko.

  6. #5
    Przeglądacz
    Dołączył
    14-01-2010
    Wpisy
    99
    Punkty
    12

    Domyślny

    I o tym pomyślałem. Wprawdzie główny folder z grafikami to images, ale dalej już wszystko inaczej. Foto do artykułów jest w images/content/artykuly/2015/8 - to dla tego miasiąca - czyli sierpnia 2015.

    Reszta grafik także w innych folderach.

    Wszystkie grafiki są grafikami - tak to fajnie jest w linuxie, że wchodząć na serwera przez ftp z systemowego managera plików Linuxa widzę że zdjęcie to zdjęcie, tekst to tekst, pdf to pdf bo linux od razu pokazuje zawartośc w ikonie jako mini podgląd. Więc na pewno zauważyłbym nieprawidłowośc. Zresztą serwis ma zaledwie 2 miesiące - mało w nim jeszcze fotografii i znam każdą wrzucaną przez dziennikarzy.

  7. #6
    Senior Gall Anonim awatar
    Dołączył
    19-10-2010
    Wpisy
    6 947
    Punkty
    447

    Domyślny

    Właśnie kończę coś podobnego migrować - też było ofiarą ataków - ale - po czyszczeniu od dwóch miesięcy nie było żadnego udanego a obecnie ląduje na j343 - tylko 10805 artykułów - i około 500 000 fotek :-)
    Przerzuć to jednak przez najnowszą wersję RS Firewall'a - warto - naprawdę mało co mu się opiera (nie jest to to co było dla 1.5)

  8. #7
    Przeglądacz
    Dołączył
    14-01-2010
    Wpisy
    99
    Punkty
    12

    Domyślny

    Ile kosztuje rs firewall?
    Piszę z fona, nie mam jak sprawdzić.

    Pewnie drogi. Nie będzie mnie stać, wydałem mnóstwo pieniędzy na szablony i komponenty.

  9. #8
    Senior Gall Anonim awatar
    Dołączył
    19-10-2010
    Wpisy
    6 947
    Punkty
    447

    Domyślny

    49 euro - wart tej ceny

  10. #9
    Wiarus
    Dołączył
    17-07-2009
    Wpisy
    1 375
    Punkty
    210

    Domyślny

    Podobnie jak Gall skłaniam się do opinii, że atakujący znalazł "wejście" poza samym J!.

    Czy dobrze rozumiem, że te "dodatkowe linki" nie występują nigdzie na stronach j!, a widać je wyłącznie w wynikach wyszukiwania G? W takim razie radziłbym dokładnie przyjrzeć się plikowi .htaccess - swojego czasu i na naszym forum były sygnały o atakach polegających na jego podmienianiu. (Może ktoś bardziej biegły wskaże jeszcze inny sposób na to, by serwer na żądanie pliku /dowolna_nazwa.pdf wysłał plik html, w tym wypadku zawierający iframe)

    Na wszelki wypadek warto też użyć skryptu wypier.php (szukaj na naszym forum jako wypier.rar). On pokaże Ci daty modyfikacji plików na serwerze, skoro strona jest na nowo niedawno zainstalowana nie będzie tego bardzo dużo (a łatwiej analizować niż efekty pracy jamms-a). Wspierając się logami serwera masz wtedy możliwość porównania zmian ze swoimi (i redakcji) pracami. Mam jednak przeczucie, że to jednak nie kwestia modyfikacji plików J!

  11. #10
    Przeglądacz
    Dołączył
    14-01-2010
    Wpisy
    99
    Punkty
    12

    Domyślny

    Czyli podejrzewacie, że gdy miało miejsce włamanie na stronę jeszcze z J1.5 doszło do podmiany innych niż nowa strona plikóœ na serwerze? Gdzie takie są? Poza public_html na serwerze jest kilka folderów. Czy o nie chodzi?

    To bardzo proawdopodobne bo strona skopiowana i postawiona Akeebą na serwerze firmy linux.pl nie wykazuje ataku. Jak pisąłem - po wpisaniu po adresie strony linku typu pozyczki-online.pdf pokazuje komuniukat: You are not allowed to access this file

    Strona aktualana została w aktualnej domenie rozpakowana Akeebą a powstała na innej domenie jako subdomena. Tam została spakowana i przeniesiona do aktualnego katalogu domeny. Folder tejże domeny zostął usunięty i jeszcze raz utworzony więc nic co nawet jest jako plik ukryty nie pozostało z czasów Joomli 1.5.

Strona 1 z 4 123 ... OstatniOstatni

Podobne tematy

  1. Niechciane linki w kodzie strony
    przez csluk na forum Administracja - ogólnie
    Odpowiedzi: 9
    Ostatni post/autor: 08-07-2014, 15:50
  2. Odpowiedzi: 2
    Ostatni post/autor: 02-04-2014, 15:28
  3. Wiele stron na jednej Joomli
    przez mariuszek471 na forum Różne
    Odpowiedzi: 6
    Ostatni post/autor: 06-09-2013, 00:24
  4. Niechciane linki na stronie.
    przez freeart na forum Bezpieczeństwo
    Odpowiedzi: 7
    Ostatni post/autor: 20-08-2013, 19:39
  5. Wiele stron na jednej Joomli
    przez reeaver na forum Administracja - ogólnie
    Odpowiedzi: 3
    Ostatni post/autor: 27-12-2011, 14:39

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •