• UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 449-04-21  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

CMS Joomla. Скрытые ссылки-призраки

Форумы CMS Joomla Скрытые ссылки-призраки
callipso
27.02.2014
хостинг: есть
домен: есть
Скрытые ссылки-призраки
Здравствуйте, появились скрытые ссылки на моем сайте (http://an-vibor.com/). Проверяли полностью все файлы, базу данных никаких ссылок, подозрительных кодов и вирусов не нашли. Скачивали сайт и запускали на разных локальных хостингах, запускается чистый сайт без скрытого текста и ссылок.

<div class="art-box-body art-blockcontent-body">
<div style="position:absolute;left:-4501px;width:531px">
[IP:|91.206.200.82|][fn32] Взять ипотеку в банке. Хочу
<a href="http://pro-nedvijimosti.ru">взять ипотеку без первоначального взноса</a>
. Какую лучше взять ипотеку. С чего начать изучение языка objective c. Новый язык программирования
<a href="http://c-objective.ru">objective c</a>
учить. Язык objective c с нуля. Как зарабатывать в интернете. Учимся
<a href="http://garosh.ru">заработать на сайте</a>
много. Как создать сайт для заработка. Видео самоделки трактора.
<a href="http://samodelkinov.ru">Самоделки трактора своими руками</a>
чертежи. Мини трактора видео самоделки.
<br>
Кредит наличными без справок. Как получить
<a href="http://make-credit.ru">наличный кредит быстро</a>
. Выгодный кредит наличными. Какой автомобиль лучше. Какие
<a href="http://buy-vehicle.ru">лучшие марки автомобилей</a>
. Когда лучше покупать автомобиль. Как установить linux с нуля. Правильная
<a href="http://linuxe.ru">настройка linux</a>
. Учимся как запустить linux. Теплый пол своими руками. Быстрый
<a href="http://grand-builder.ru">монтаж теплого пола своими руками</a>
. Отопление теплый пол своими руками. Где скачать модули Joomla. Бесплатные
<a href="http://mejoomla.ru">модули joomla</a>
скачать. Самые популярные модули для CMS Joomla.
</div>

Еще смущает в тексте: "[IP:|91.206.200.82|][fn32]"
Кто- то сталкивался с подобным безобразием, как с ним бороться?
Не я одна с таким сюрпризом на сайте.
Прикрепленные файлы:
Илья
27.02.2014
хостинг: есть
домен: есть
91.206.200.82 - это IP адрес сервера, на котором расположен Ваш сайт.
callipso
27.02.2014
хостинг: есть
домен: есть
я знаю, что это IP сервера хостинг-провайдера. Почему он перед скрытым тестом и ссылками?
Илья
27.02.2014
хостинг: есть
домен: есть
Судя по всему у Вас в код внедрен скрипт, который загружает кусок текста с другого сервера и этот другой сервер вписывает в ответ IP, с которого пришел запрос. Я продолжаю заниматься вашим вопросом, только что определил на какой IP отправляются запросы: 193.203.51.16
Сейчас буду перехватывать трафик, для того, что б определить на какой домен запросы идут.
Илья
27.02.2014
хостинг: есть
домен: есть
При каждом открытии сайта запросы идут на template-license.ru. Копаем дальше ...
Илья
27.02.2014
хостинг: есть
домен: есть
Подменяем хост на 127.0.0.1 для домена template-license.ru и ссылки магическим образом - пропадают.
Илья
27.02.2014
хостинг: есть
домен: есть
Видимо установлен шаблон с вшитым эксплоитом.
Илья
27.02.2014
хостинг: есть
домен: есть
после подмены IP посмотрите насколько сайт быстрей начал работать. А если найти этот код и удалить его, то еще быстрей будет.
Илья
27.02.2014
хостинг: есть
домен: есть
Сейчас верну все обратно и продолжу искать вредоносный код.
callipso
27.02.2014
хостинг: есть
домен: есть
Обидно, что этот текст отображается впоисковиках на Мозилле и Сафари, когда нажимаешь на Reader, то читешь эту ерунду, а не контент сайта.
callipso
27.02.2014
хостинг: есть
домен: есть
Шаблон чистый, я сама его сочиняла в Artisteer. И мы его тоже проверяли на локальном хостинге. Мы не смогли найти этот код в моих файлах.
Илья
27.02.2014
хостинг: есть
домен: есть
В процесс перехвата трафика обнаружил еще один сайт на хостинге, который отсылает запросы на этот же IP, только теперь запросы идут на домен bfir.net. Как минимум будем блокировать весь исходящий трафик на этот IP, в идеале конечно сделаем возможность блокировки исходящих запросов в панели управления. В идеале конечно автоматизировать анализ исходящего трафика и показывать клиентам отчеты, но не знаю насколько это сложно будет реализовать.
Илья
27.02.2014
хостинг: есть
домен: есть
Я тоже продолжаю искать место в коде, где находится эта гадость.
Илья
27.02.2014
хостинг: есть
домен: есть
Разработчики Joomla победили меня, у меня не хватит времени, что б расковырять их код с бесконечно вложенными друг в друга объектами. Пословицу "гениальность в простоте" они точно не знают.
callipso
27.02.2014
хостинг: есть
домен: есть
Спасибо за помощь. Я понимаю, что "под раздачу" попали сайты на джумле?
Илья
27.02.2014
хостинг: есть
домен: есть
Заблокировал на firewall трафик на этот IP. Но это не 100% решение, так как когда злоумышленник поменяет хостинг, то ссылки появятся опять.
callipso
27.02.2014
хостинг: есть
домен: есть
Илья, спасибо. Можно еще убрать "Array" в правом блоке сайта. Поиск.
callipso
27.02.2014
хостинг: есть
домен: есть
:) пропали кнопки поиска в правом блоке.
Илья
27.02.2014
хостинг: есть
домен: есть
Готово.
joey
27.02.2014
хостинг: нет
домен: нет
1
Если для загрузки ссылок используется конструкция вроде file_get_contents("http://example.com")
можно в самом начале index.php добавить:
stream_wrapper_unregister("http");

Это отключит дефолтный обработчик и в error.log будет PHP Warning с указание файла и номера строки.
Если применяют сокеты то можно покрутить настроки php в disable_functions добавить socket_connect.
Илья
27.02.2014
хостинг: есть
домен: есть
joey - спасибо, отличная идея, не знал про такой функционал.
joey
28.02.2014
хостинг: нет
домен: нет
В лог не будет сообщений после error_reporting(0) или ini_set(“error_reporting”, 0).
Также оператор управления ошибками знак @ скроет все ошибки, но можно установить собственную функцию обработки ошибок с помощью set_error_handler().

stream_wrapper_unregister("http");

set_error_handler('myErrorHandler', E_WARNING);

function myErrorHandler($errno, $errstr, $errfile, $errline)
{
        $log = date('[Y-m-d H:i:s]')." $errstr $errfile $errline\n";
        file_put_contents('myerror.log', $log, FILE_APPEND);
        return false;
}
callipso
28.02.2014
хостинг: есть
домен: есть
Ребята, спасибо вам огромное! Я в php полнейший чайник, когда заканчивала институт он только набирал обороты и нам достался только html и java script, я начала работать в другой сфере, программирование ушло на задний план. Теперь жалею.
ts02
24.03.2014
хостинг: есть
домен: нет
Всем привет. ВОзникла такая же проблема с моим сайтом. Появилось несколько месяцев назад, ничего не устанавливал. Найти код не смог, поэтому тупо закомментировал.
Подтягивания на турнике
все находится перед закрывающим тего body
Илья
26.03.2014
хостинг: есть
домен: есть
Иногда код так прячут сурово, что его даже опытному программисту очень тяжело найти. Нужно обновлять CMS всегда до последней версии, это защитит от использования уязвимостей.
20175
03.04.2014
хостинг: нет
домен: нет
Привет!
01.04.2014 Яндекс нашел вредоносный код в <head>:
<iframe src="http://tpp2.ru/news?c2">
Проверил файлы по датам изменений, ничего не нашел, последние изменения были 2011-12 годах.
До этого незамечал iframe на сайте. А сейчас ссылки на Электронный каталог книг
Кто знает как боротся?
Сайт Трактир Поручик - Кафе-бар

Как-то, что-то получилось. Попробовал ограничить доступ по IP, закрыл показ погоды meteoprog.ua и все, проблема исчезла.
Прикрепленные файлы:
Илья
03.04.2014
хостинг: есть
домен: есть
1
Искать, где в коде iframe и удалять его.
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.

Тема закрыта по истечению срока давности.
Горячая линия
(044)
392 74 33
другие города