Акция!  Домен  - 65 грн, домен  - 125 грн
Мы используем cookie-файлы
Для оптимизации работы нашего сайта мы используем cookie-файлы. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов.
  • RUB
  • USD
  • EUR
  • UAH
Чат техподдержки
Вы являетесь клиентом?
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 170-15-42  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

CMS Joomla. Скрытые ссылки-призраки

Форумы CMS Joomla Скрытые ссылки-призраки
callipso
5 лет
хостинг: нет
домен: есть
Скрытые ссылки-призраки
Здравствуйте, появились скрытые ссылки на моем сайте (http://an-vibor.com/). Проверяли полностью все файлы, базу данных никаких ссылок, подозрительных кодов и вирусов не нашли. Скачивали сайт и запускали на разных локальных хостингах, запускается чистый сайт без скрытого текста и ссылок.

<div class="art-box-body art-blockcontent-body">
<div style="position:absolute;left:-4501px;width:531px">
[IP:|91.206.200.82|][fn32] Взять ипотеку в банке. Хочу
<a href="http://pro-nedvijimosti.ru">взять ипотеку без первоначального взноса</a>
. Какую лучше взять ипотеку. С чего начать изучение языка objective c. Новый язык программирования
<a href="http://c-objective.ru">objective c</a>
учить. Язык objective c с нуля. Как зарабатывать в интернете. Учимся
<a href="http://garosh.ru">заработать на сайте</a>
много. Как создать сайт для заработка. Видео самоделки трактора.
<a href="http://samodelkinov.ru">Самоделки трактора своими руками</a>
чертежи. Мини трактора видео самоделки.
<br>
Кредит наличными без справок. Как получить
<a href="http://make-credit.ru">наличный кредит быстро</a>
. Выгодный кредит наличными. Какой автомобиль лучше. Какие
<a href="http://buy-vehicle.ru">лучшие марки автомобилей</a>
. Когда лучше покупать автомобиль. Как установить linux с нуля. Правильная
<a href="http://linuxe.ru">настройка linux</a>
. Учимся как запустить linux. Теплый пол своими руками. Быстрый
<a href="http://grand-builder.ru">монтаж теплого пола своими руками</a>
. Отопление теплый пол своими руками. Где скачать модули Joomla. Бесплатные
<a href="http://mejoomla.ru">модули joomla</a>
скачать. Самые популярные модули для CMS Joomla.
</div>

Еще смущает в тексте: "[IP:|91.206.200.82|][fn32]"
Кто- то сталкивался с подобным безобразием, как с ним бороться?
Не я одна с таким сюрпризом на сайте.
Прикрепленные файлы:
rudenko
5 лет
хостинг: нет
домен: есть
91.206.200.82 - это IP адрес сервера, на котором расположен Ваш сайт.
callipso
5 лет
хостинг: нет
домен: есть
я знаю, что это IP сервера хостинг-провайдера. Почему он перед скрытым тестом и ссылками?
rudenko
5 лет
хостинг: нет
домен: есть
Судя по всему у Вас в код внедрен скрипт, который загружает кусок текста с другого сервера и этот другой сервер вписывает в ответ IP, с которого пришел запрос. Я продолжаю заниматься вашим вопросом, только что определил на какой IP отправляются запросы: 193.203.51.16
Сейчас буду перехватывать трафик, для того, что б определить на какой домен запросы идут.
rudenko
5 лет
хостинг: нет
домен: есть
При каждом открытии сайта запросы идут на template-license.ru. Копаем дальше ...
rudenko
5 лет
хостинг: нет
домен: есть
Подменяем хост на 127.0.0.1 для домена template-license.ru и ссылки магическим образом - пропадают.
rudenko
5 лет
хостинг: нет
домен: есть
Видимо установлен шаблон с вшитым эксплоитом.
rudenko
5 лет
хостинг: нет
домен: есть
после подмены IP посмотрите насколько сайт быстрей начал работать. А если найти этот код и удалить его, то еще быстрей будет.
rudenko
5 лет
хостинг: нет
домен: есть
Сейчас верну все обратно и продолжу искать вредоносный код.
callipso
5 лет
хостинг: нет
домен: есть
Обидно, что этот текст отображается впоисковиках на Мозилле и Сафари, когда нажимаешь на Reader, то читешь эту ерунду, а не контент сайта.
callipso
5 лет
хостинг: нет
домен: есть
Шаблон чистый, я сама его сочиняла в Artisteer. И мы его тоже проверяли на локальном хостинге. Мы не смогли найти этот код в моих файлах.
rudenko
5 лет
хостинг: нет
домен: есть
В процесс перехвата трафика обнаружил еще один сайт на хостинге, который отсылает запросы на этот же IP, только теперь запросы идут на домен bfir.net. Как минимум будем блокировать весь исходящий трафик на этот IP, в идеале конечно сделаем возможность блокировки исходящих запросов в панели управления. В идеале конечно автоматизировать анализ исходящего трафика и показывать клиентам отчеты, но не знаю насколько это сложно будет реализовать.
rudenko
5 лет
хостинг: нет
домен: есть
Я тоже продолжаю искать место в коде, где находится эта гадость.
rudenko
5 лет
хостинг: нет
домен: есть
Разработчики Joomla победили меня, у меня не хватит времени, что б расковырять их код с бесконечно вложенными друг в друга объектами. Пословицу "гениальность в простоте" они точно не знают.
callipso
5 лет
хостинг: нет
домен: есть
Спасибо за помощь. Я понимаю, что "под раздачу" попали сайты на джумле?
rudenko
5 лет
хостинг: нет
домен: есть
Заблокировал на firewall трафик на этот IP. Но это не 100% решение, так как когда злоумышленник поменяет хостинг, то ссылки появятся опять.
callipso
5 лет
хостинг: нет
домен: есть
Илья, спасибо. Можно еще убрать "Array" в правом блоке сайта. Поиск.
callipso
5 лет
хостинг: нет
домен: есть
:) пропали кнопки поиска в правом блоке.
rudenko
5 лет
хостинг: нет
домен: есть
Готово.
joey
5 лет
хостинг: нет
домен: нет
1
Если для загрузки ссылок используется конструкция вроде file_get_contents("http://example.com")
можно в самом начале index.php добавить:
stream_wrapper_unregister("http");

Это отключит дефолтный обработчик и в error.log будет PHP Warning с указание файла и номера строки.
Если применяют сокеты то можно покрутить настроки php в disable_functions добавить socket_connect.
rudenko
5 лет
хостинг: нет
домен: есть
joey - спасибо, отличная идея, не знал про такой функционал.
joey
5 лет
хостинг: нет
домен: нет
В лог не будет сообщений после error_reporting(0) или ini_set(“error_reporting”, 0).
Также оператор управления ошибками знак @ скроет все ошибки, но можно установить собственную функцию обработки ошибок с помощью set_error_handler().

stream_wrapper_unregister("http");

set_error_handler('myErrorHandler', E_WARNING);

function myErrorHandler($errno, $errstr, $errfile, $errline)
{
        $log = date('[Y-m-d H:i:s]')." $errstr $errfile $errline\n";
        file_put_contents('myerror.log', $log, FILE_APPEND);
        return false;
}
callipso
5 лет
хостинг: нет
домен: есть
Ребята, спасибо вам огромное! Я в php полнейший чайник, когда заканчивала институт он только набирал обороты и нам достался только html и java script, я начала работать в другой сфере, программирование ушло на задний план. Теперь жалею.
ts02
5 лет
хостинг: нет
домен: нет
Всем привет. ВОзникла такая же проблема с моим сайтом. Появилось несколько месяцев назад, ничего не устанавливал. Найти код не смог, поэтому тупо закомментировал.
Подтягивания на турнике
все находится перед закрывающим тего body
rudenko
5 лет
хостинг: нет
домен: есть
Иногда код так прячут сурово, что его даже опытному программисту очень тяжело найти. Нужно обновлять CMS всегда до последней версии, это защитит от использования уязвимостей.
20175
5 лет
хостинг: нет
домен: нет
Привет!
01.04.2014 Яндекс нашел вредоносный код в <head>:
<iframe src="http://tpp2.ru/news?c2">
Проверил файлы по датам изменений, ничего не нашел, последние изменения были 2011-12 годах.
До этого незамечал iframe на сайте. А сейчас ссылки на Электронный каталог книг
Кто знает как боротся?
Сайт Трактир Поручик - Кафе-бар

Как-то, что-то получилось. Попробовал ограничить доступ по IP, закрыл показ погоды meteoprog.ua и все, проблема исчезла.
Прикрепленные файлы:
rudenko
5 лет
хостинг: нет
домен: есть
1
Искать, где в коде iframe и удалять его.
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.

Тема закрыта по истечению срока давности.