Autor Zpráva
marvays
Profil
Dobrý den.
Zjistil jsem, že mám napadený web. projevuje se to tak, že se mi (ne)zobrazují divy s odkazy na ruské stránky. Div je position:absolute;left:-4800px; aby nebyl vidět.
Tento div se mi vkládá na 4 různé místa stránky. Například nad div s vlaječkama na cz/sk verzi stránek.

Vložený div vypadá následovně:
<span style="position:absolute;left:-4800px;">Подробнее на сайте: <span><strong></strong></span><a href="https://yetimedicine.ru" title="https://yetimedicine.ru">https://yetimedicine.ru</a><em></em><em></em><ul><li></li></ul><a href="https://medicineway.ru" title="https://medicineway.ru">https://medicineway.ru</a> <!-- #menu-main --> <span></span><span></span><span></span><a href="https://rankmedicine.ru" title="https://rankmedicine.ru">https://rankmedicine.ru</a><span><strong></strong></span><em></em><a href="https://safemedicine.ru" title="https://safemedicine.ru">https://safemedicine.ru</a><ul><li></li></ul><ul><li></li></ul><!-- List Begin Here --><a href="https://whitemedicine.ru" title="https://whitemedicine.ru">https://whitemedicine.ru</a><!-- Here starts the main contents pane --> <span></span><span></span><span></span><span></span><span></span><a href="https://keepmedicine.ru" title="https://keepmedicine.ru">https://keepmedicine.ru</a><!-- Begin Comment List --><!-- Comments Are Editable --><a href="https://chinese-medicine.ru" title="https://chinese-medicine.ru">https://chinese-medicine.ru</a><!-- #end-section --> <span></span><span></span> <a href="https://bravemedicine.ru" title="https://bravemedicine.ru">https://bravemedicine.ru</a><!-- .post-single --><!-- Begin Comment List --><a href="https://focmedicine.ru" title="https://focmedicine.ru">https://focmedicine.ru</a><!-- Simple Comment --><!-- Comments Are Editable --><a href="https://medicinego.ru" title="https://medicinego.ru">https://medicinego.ru</a> <!-- #menu-main --> <!-- Head Support --><a href="https://enjoymedicine.ru" title="https://enjoymedicine.ru">https://enjoymedicine.ru</a><!-- Simple Comment --> <!-- This is a comment. Comments are not displayed in the browser --> <a href="https://natural-cure.ru" title="https://natural-cure.ru">https://natural-cure.ru</a><b></b><b></b> <!--site-inner--> <a href="https://washealth.ru" title="https://washealth.ru">https://washealth.ru</a><!-- Comments are in the browser --><!-- Comments Are Editable --><a href="https://dearmedicine.ru" title="https://dearmedicine.ru">https://dearmedicine.ru</a> <span></span> <!-- Head Support --><a href="https://indianmedicine.ru" title="https://indianmedicine.ru">https://indianmedicine.ru</a><ul><li></li></ul></span>

Mám na joomle firewall Adminstools, který nic nenašel. Dal jsem TC prohledat obsah na některou adresu a nic. Stáhl jsem databázi a prohledal obsah na některou z url a také nic. Našel jsem pár obline nástrojů na skenování a nic jsem nenašel.

Umíte mi někdo poradit nebo doporučit? Už mě nenapadá, jak a co mi tam může něco vkládat. Nejspíš stím souvisí i výpadky webu 504. dle hostingu se v tu chvíli výkyvy v databázi.

Z pochopitelných důvodů nechci uvádět url adresu stránek veřejně. Pokud to ale bude nezbytné . . .


Díky ahrefs.com a skouknutí jednoho url z výše uvedenýc jsem našel napadené weby a vše je to joomla. Zkusím napsat přímo na joomla forum, jestli někdo nebude tušit.
Kajman
Profil
Zkuste si porovnat obsah souborů na webu se zálohou před napadením. To výsledné html bude asi ve zdrojáku nějak zakódované nebo brané odjinud, proto ho nenaleznete. Když se zaměříte na změny a prověříte je ručně, spíš to najdete.
marvays
Profil
Kajman:
Nad tím jsem taky uvažoval. Problém je, že jsem to našel úplnou náhodou. Takže netuším, kdy byl napaden. Budu muset vyzkoušet všechny zálohy co mám.
Keeehi
Profil
marvays:
Občas pomůže hledat ne celou URL ale jen doménu a nebo jen řeba pár znaků. Čím kratší řetězec, jím je větší šance ho někde najít. Tato metoda funguje většinou pokud kód není obfuskován ale jen dynamicky generován.
marvays
Profil
Keeehi:
nic nic nic. už mě nic nenapadá :(
Kajman
Profil
Ještě můžete změnou šablony, vypináním pluginů a modulů postupně testovat, zda to nezmizí. Pak se zaměřit na menší část zdrojových souborů.

Pokud máte jádro joomly ve svých zálohách také infikované, tak zkuste porovnat obsah souborů z webu vůči souborům z odpovídající verze instalace.
marvays
Profil
Kajman:
to už jsem všechno udělal. Nevypl jsem ale vše. Nahodil jsem na hosting zálohu zhruba 14 dní starou a ta s tváří, že není napadena. Takže dnes udělám zálohu aktuální , rozjedu ji a budu postupně odinstalovávat jednotlivé části až na holou joomlu.

Na podpoře píší, že mám udělat čistou instalaci na nové databázi. Postupně instalovat všechny použité moduly, pluginy a komponenty a nakonec místo nové databáze nasměrovat takovýto web na tu starou. Tak bych měl dle nich mít jistotu, že mám čisté data na ftp a staré aktuální nastavení všech komponent. Asi taky vyzkouším. I když u eshopu to bude trochu složitější :(
marvays
Profil
takže. mám originální web. pak mám dvě kopie . . . jedna aktuální a druhá je 10 dní stará záloha. na kopiích sem za celý den nenašel žádné odkazy. je možné, že se to zobrazení váže na doménu, nebo na hosting? testovací weby mám na jiném hostingu u jiné firmy
TomášK.
Profil *
marvays:
Jak zkoumáš přítomnost toho divu?

* Může ho tam vkládat javascript? (test: v odpovědi,kterou posílá server není, zobrazí ji třeba curl nebo vývojářské nástroje přihlížeče v síťové komunikaci)
* Může ho tam vkládat tvůj prohlížeč? (test: v jiném prohlížeči tne div není)
* Může ho tam vkládat něco po cestě? (test: stažení stránky na serveru, případně s HTTPS ověření správného certifikátu)
* Může ho tam vkládat webserver? (test: za logovat to, co php posílá webserveru; mohl by to umět webserver, případně v php tuším ob_buffer).

Objevují se tam onen div pokaždé?
marvays
Profil
TomášK.:
Když pominu to, že zkouším náhodné stránky, tak mám předplacený ContentKing, který mi prochází stránky a nachází nefunkční odkazy. Takže mi jednou denně přijde mailem info, že na těch a těch podstránkách je nefunkční odkaz na například url yetimedicine.ru

Když už tam div je, tak nepomůže ani smazat cache, ani reload prohlížeče.

Možná pomůže url stránek. Aktuálně například na této podstránce: vybaveniprovozu.cz/gastro-vybaveni/mlynky-na-maso

Na stejné podstránce v kopii asi 3 hodiny staré nic není: vybaveni2.richta.eu/gastro-vybaveni/mlynky-na-maso
TomášK.
Profil *
Ok, to řeší první 3 body. Je poměrně pravděpodobné, že to tam dává joomla. V tom vloženém kódu vidím .ilovewp-page-intro, to vypadá jako jméno použité šablony. Je-li tam něco s podobným jménem použitého, začal bych tam.

Můžeš zkusit experimentovat s bufferováním outputu, viz http://php.net/manual/en/function.ob-start.php. Dá se tam nastavit velikost bufferu, po které se flushne, a fukce, která se při flushi zavolá. Buffer bych nastavil třeba na 50 znaků a v té funkci kontrolovat, že výstup neobsahuje škodlivé odkazy, pokud ano, tak vyhodit nějakou výjimku. Tím by mohlo jít celkem rychle najít, který kus kódu to vkládá.
marvays
Profil
TomášK.:
.ilovewp-page-intro
hehe . . . takže to programoval nějaký milovník Wordpressu?

Tvé rady si vážím, ale tohle je úplně mimo mé schopnosti. Myslím ten ob-start.
DarkMeni
Profil
Jestli tam nebyl žádný výskyt těch konkrétních adres co se vkládají, tak by se dalo ještě kouknout jestli někde v php kódech není výskyt slov jako file_get_contents nebo curl_setopt, ty umí stáhnout obsah z jiné url.
blaaablaaa
Profil
DarkMeni:
Vetsino use takove fce nevolaji primo, ale jejich nazvy se skladaji treba pres chr a pak se zavolaji.

Vaše odpověď

Mohlo by se hodit

Příspěvky nesouvisející s webem budou odstraněny.

Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm:

0