U mnie też pokazują się googlowskie reklamy. Irytuje mnie to jak nie wiem i w dodatku nie wiem jak się tego pozbyć.
Proszę bardzo:
https://faraon24.pl/opinie/225-wlamania
nie ma za co.
Straus
Wielkie podziękowania za cierpliwość , poświęcenie i zawzięcie dla MStraus.
Kolega z postu powyżej mocno zaangażował się w znalezioenie problemu.
Szkodliwa wklejka siedziała w folderze bibliotek :
/libraries/
gdzie w tym folderze
w kodzie import.legacy.php znajdowała się wklejka z odnośnikiem do kolejnego pilku w folderze libraries:
(kod w pliku zip)włamanie.zip
Powyżej kod zawiera odnośnik do pliku facts.php znajdującego się w libraries/spcyend/utilities/ (folder należy do bibliotek kompnentu SPupgrade, który posłużył mi do przeniesienia treści z J 1.5 do J3).
W pliku facts znajduje się natomiast kod:
(kod w pliku zip)włamanie.zip
Jedynym sposobem na znalezienie wklejki było kolejne usuwanie katalogów z kopii serwisu i sprawdzanie działania niechcianych linków.
To była ciężka praca kolegi Straus. Moje wcześniejsze poszukiwania właśnie pod kątem znalezienia eval64 jak i też daty modyfikacji/zapisu plików (znałem datę uruchomienia serwisu oraz datę otrzymania informacji z Google o ataku) spezły na niczym.
Zanim do tego doszło, sprawdzana i przeszukiwana była baza SQL, testowanie strony za pomocą skanera Vegi także nic nie dało.
Świetnie, że udało Ci się znaleźć szkodliwy kod. Istotne jest jednak ustalenie jaką drogą dostał się on na serwer - zarówno dla Ciebie (bo jeśli nie zablokujesz tej drogi, to problem najprawdopodobniej powróci), jak i dla innych.
Cracker włamał się poprzez stary serwis oparty o J.1.5. Mimo moich starań ochrony serwisu, różnych zabezpieczeń i tak doszło do włamania i dorzucenia kodów spamu. Nowy serwis powstawał w między czasie jako subdomena.
1)
"Cracker" - marzy mi się aby świat powrócił do tej prawidłowej nomenklatury
Hacker - dobry
Cracker - zły
2)
Polecam wszystkim w pierwszej kolejności słabości swoich skryptów CMS sprawdzić narzędziem Vega od Subgraph (jest za darmo).
3)
Dostałem w Faraon24 informację o zawiadomieniu ambasady Grecji w Warszawie - rządowa www wyspy Kreta uległa temu włamaniu i wgrano tam te pożyczki internetowe.
Kto pierwszy ten lepszy - jeśli ktoś marzy o odszkodowaniu to należy wziąć pod uwagę możliwość extradycji ;)
Michael Straus
Jako właściciel strony http://www.terve.pl chciałbym poinformować szanowne grono użytkowników forum.joomla.pl, że niestety nie mamy nic wspólnego z włamaniami na wasz CMS oraz injectowanymi setkami stron pdf'ów. Michael Strauss na swojej stronie oskarza niewłaściwą firmę i niszczy nasz dobry wizerunek. Oskarzenie nas o włamania na strony rządowe to już było przegięcie! Jak tak można??? On ewidetnie chce się nas pozbyć wszelkimi metodami. Sam chwali się na swoim blogu, że skutecznie podesłał wirusa właścicielowi konkurencyjnego forum pożyczkowego, później idzie i niszczy nas próbując się włamać na naszą stronę. Czy tak można? Ten człowiek kilka dni temu próbował się do nas włamać i rozwalił nam stronę. Nie możemy pracować wszędzie są jakieś dziwne kody. Jak chcemy to skasować wyskakuje błąd 414. Jeżeli komuś z konkurencji Pan Michael Strauss z Kielec groził lub włamał się czy zaspamował stronę prosimy o kontakt kontakt@terve.pl (czekamy tylko do środy). A i jeszcze jedno Panie Michale zanim spotkamy się w sądzie może Pan przestać zgłaszać naszą stronę do google ( wszystkie spam linki na bierząco są dodawane do disavow tool i jesteśmy czyści jak łza).
https://www.terve.pl/spam/m_01.png
https://www.terve.pl/spam/m_02.png
https://www.terve.pl/spam/m_2.png
https://www.terve.pl/spam/m_4.png
https://www.terve.pl/spam/m_1.png
Pozdrawiamy zespół Terve
@terve sp. z o.o.
odnieś się dlaczego na twoich serwerach są strony z przekierowaniami do włamań
odnieś się czemu dziwnym trafem te same linki partnerskie co twoje są na stornach z włamaniami
czemu widniejecie jako spółka zoo (błąd w KRS?)
czemu na twój email została zarejestrowana strona służąca do włamań (błąd w CEIDG?)
czemu nagle o teraz znikają wszystkie strony służące do włamań - mam je zarchiwizowane wszystkie, firmy hostingowe tez mają backupy
i tak dalej
a o wirusach i twoich zgłoszeniach i innych spamach nic nie wiem - nie wmawiaj
i ostatnie:
nie napisałem, ze stoisz za włamaniami tylko, że twoj email został użyty do zarejestrowania strony służącej do włamań
i, że masz ten sam link partnerski co strony na które się włamano
Ostanio edytowane przez MStraus : 02-10-2015 14:15
Z uwagi na pilne usuwanie efektów włamań wpis z Faraon24 został usunięty - jak zawsze.
Backupy, archiwa, logi pozostają bezpieczne do wykorzystania w razie spełnienia pogróżek sądowych.