| Autor | Zpráva | ||
|---|---|---|---|
| marvays Profil |
Dobrý den.
Zjistil jsem, že mám napadený web. projevuje se to tak, že se mi (ne)zobrazují divy s odkazy na ruské stránky. Div je position:absolute;left:-4800px; aby nebyl vidět. Tento div se mi vkládá na 4 různé místa stránky. Například nad div s vlaječkama na cz/sk verzi stránek. Vložený div vypadá následovně: <span style="position:absolute;left:-4800px;">Подробнее на сайте: <span><strong></strong></span><a href="https://yetimedicine.ru" title="https://yetimedicine.ru">https://yetimedicine.ru</a><em></em><em></em><ul><li></li></ul><a href="https://medicineway.ru" title="https://medicineway.ru">https://medicineway.ru</a> <!-- #menu-main --> <span></span><span></span><span></span><a href="https://rankmedicine.ru" title="https://rankmedicine.ru">https://rankmedicine.ru</a><span><strong></strong></span><em></em><a href="https://safemedicine.ru" title="https://safemedicine.ru">https://safemedicine.ru</a><ul><li></li></ul><ul><li></li></ul><!-- List Begin Here --><a href="https://whitemedicine.ru" title="https://whitemedicine.ru">https://whitemedicine.ru</a><!-- Here starts the main contents pane --> <span></span><span></span><span></span><span></span><span></span><a href="https://keepmedicine.ru" title="https://keepmedicine.ru">https://keepmedicine.ru</a><!-- Begin Comment List --><!-- Comments Are Editable --><a href="https://chinese-medicine.ru" title="https://chinese-medicine.ru">https://chinese-medicine.ru</a><!-- #end-section --> <span></span><span></span> <a href="https://bravemedicine.ru" title="https://bravemedicine.ru">https://bravemedicine.ru</a><!-- .post-single --><!-- Begin Comment List --><a href="https://focmedicine.ru" title="https://focmedicine.ru">https://focmedicine.ru</a><!-- Simple Comment --><!-- Comments Are Editable --><a href="https://medicinego.ru" title="https://medicinego.ru">https://medicinego.ru</a> <!-- #menu-main --> <!-- Head Support --><a href="https://enjoymedicine.ru" title="https://enjoymedicine.ru">https://enjoymedicine.ru</a><!-- Simple Comment --> <!-- This is a comment. Comments are not displayed in the browser --> <a href="https://natural-cure.ru" title="https://natural-cure.ru">https://natural-cure.ru</a><b></b><b></b> <!--site-inner--> <a href="https://washealth.ru" title="https://washealth.ru">https://washealth.ru</a><!-- Comments are in the browser --><!-- Comments Are Editable --><a href="https://dearmedicine.ru" title="https://dearmedicine.ru">https://dearmedicine.ru</a> <span></span> <!-- Head Support --><a href="https://indianmedicine.ru" title="https://indianmedicine.ru">https://indianmedicine.ru</a><ul><li></li></ul></span> Mám na joomle firewall Adminstools, který nic nenašel. Dal jsem TC prohledat obsah na některou adresu a nic. Stáhl jsem databázi a prohledal obsah na některou z url a také nic. Našel jsem pár obline nástrojů na skenování a nic jsem nenašel. Umíte mi někdo poradit nebo doporučit? Už mě nenapadá, jak a co mi tam může něco vkládat. Nejspíš stím souvisí i výpadky webu 504. dle hostingu se v tu chvíli výkyvy v databázi. Z pochopitelných důvodů nechci uvádět url adresu stránek veřejně. Pokud to ale bude nezbytné . . . Díky ahrefs.com a skouknutí jednoho url z výše uvedenýc jsem našel napadené weby a vše je to joomla. Zkusím napsat přímo na joomla forum, jestli někdo nebude tušit. |
||
| Kajman Profil |
#2 · Zasláno: 13. 3. 2019, 12:17:39
Zkuste si porovnat obsah souborů na webu se zálohou před napadením. To výsledné html bude asi ve zdrojáku nějak zakódované nebo brané odjinud, proto ho nenaleznete. Když se zaměříte na změny a prověříte je ručně, spíš to najdete.
|
||
| marvays Profil |
#3 · Zasláno: 13. 3. 2019, 12:19:35
Kajman:
Nad tím jsem taky uvažoval. Problém je, že jsem to našel úplnou náhodou. Takže netuším, kdy byl napaden. Budu muset vyzkoušet všechny zálohy co mám. |
||
| Keeehi Profil |
#4 · Zasláno: 13. 3. 2019, 14:33:16
marvays:
Občas pomůže hledat ne celou URL ale jen doménu a nebo jen řeba pár znaků. Čím kratší řetězec, jím je větší šance ho někde najít. Tato metoda funguje většinou pokud kód není obfuskován ale jen dynamicky generován. |
||
| marvays Profil |
#5 · Zasláno: 14. 3. 2019, 11:06:48
Keeehi:
nic nic nic. už mě nic nenapadá :( |
||
| Kajman Profil |
#6 · Zasláno: 14. 3. 2019, 12:49:15
Ještě můžete změnou šablony, vypináním pluginů a modulů postupně testovat, zda to nezmizí. Pak se zaměřit na menší část zdrojových souborů.
Pokud máte jádro joomly ve svých zálohách také infikované, tak zkuste porovnat obsah souborů z webu vůči souborům z odpovídající verze instalace. |
||
| marvays Profil |
#7 · Zasláno: 14. 3. 2019, 12:52:47
Kajman:
to už jsem všechno udělal. Nevypl jsem ale vše. Nahodil jsem na hosting zálohu zhruba 14 dní starou a ta s tváří, že není napadena. Takže dnes udělám zálohu aktuální , rozjedu ji a budu postupně odinstalovávat jednotlivé části až na holou joomlu. Na podpoře píší, že mám udělat čistou instalaci na nové databázi. Postupně instalovat všechny použité moduly, pluginy a komponenty a nakonec místo nové databáze nasměrovat takovýto web na tu starou. Tak bych měl dle nich mít jistotu, že mám čisté data na ftp a staré aktuální nastavení všech komponent. Asi taky vyzkouším. I když u eshopu to bude trochu složitější :( |
||
| marvays Profil |
#8 · Zasláno: 14. 3. 2019, 15:46:24
takže. mám originální web. pak mám dvě kopie . . . jedna aktuální a druhá je 10 dní stará záloha. na kopiích sem za celý den nenašel žádné odkazy. je možné, že se to zobrazení váže na doménu, nebo na hosting? testovací weby mám na jiném hostingu u jiné firmy
|
||
| TomášK. Profil * |
#9 · Zasláno: 14. 3. 2019, 16:00:18
marvays:
Jak zkoumáš přítomnost toho divu? * Může ho tam vkládat javascript? (test: v odpovědi,kterou posílá server není, zobrazí ji třeba curl nebo vývojářské nástroje přihlížeče v síťové komunikaci) * Může ho tam vkládat tvůj prohlížeč? (test: v jiném prohlížeči tne div není) * Může ho tam vkládat něco po cestě? (test: stažení stránky na serveru, případně s HTTPS ověření správného certifikátu) * Může ho tam vkládat webserver? (test: za logovat to, co php posílá webserveru; mohl by to umět webserver, případně v php tuším ob_buffer). Objevují se tam onen div pokaždé? |
||
| marvays Profil |
#10 · Zasláno: 14. 3. 2019, 16:36:32 · Upravil/a: Moderátor (editace znemožněna) 29. 9. 2020, 06:47:10
TomášK.:
Když pominu to, že zkouším náhodné stránky, tak mám předplacený ContentKing, který mi prochází stránky a nachází nefunkční odkazy. Takže mi jednou denně přijde mailem info, že na těch a těch podstránkách je nefunkční odkaz na například url yetimedicine.ru
Když už tam div je, tak nepomůže ani smazat cache, ani reload prohlížeče. Možná pomůže url stránek. Aktuálně například na této podstránce: smazáno Na stejné podstránce v kopii asi 3 hodiny staré nic není: smazáno |
||
| TomášK. Profil * |
#11 · Zasláno: 14. 3. 2019, 17:54:25
Ok, to řeší první 3 body. Je poměrně pravděpodobné, že to tam dává joomla. V tom vloženém kódu vidím
.ilovewp-page-intro, to vypadá jako jméno použité šablony. Je-li tam něco s podobným jménem použitého, začal bych tam.
Můžeš zkusit experimentovat s bufferováním outputu, viz http://php.net/manual/en/function.ob-start.php. Dá se tam nastavit velikost bufferu, po které se flushne, a fukce, která se při flushi zavolá. Buffer bych nastavil třeba na 50 znaků a v té funkci kontrolovat, že výstup neobsahuje škodlivé odkazy, pokud ano, tak vyhodit nějakou výjimku. Tím by mohlo jít celkem rychle najít, který kus kódu to vkládá.
|
||
| marvays Profil |
#12 · Zasláno: 14. 3. 2019, 19:20:32
TomášK.:
„.ilovewp-page-intro“ hehe . . . takže to programoval nějaký milovník Wordpressu? Tvé rady si vážím, ale tohle je úplně mimo mé schopnosti. Myslím ten ob-start. |
||
| DarkMeni Profil |
#13 · Zasláno: 14. 3. 2019, 21:19:15
Jestli tam nebyl žádný výskyt těch konkrétních adres co se vkládají, tak by se dalo ještě kouknout jestli někde v php kódech není výskyt slov jako
file_get_contents nebo curl_setopt, ty umí stáhnout obsah z jiné url.
|
||
| blaaablaaa Profil |
#14 · Zasláno: 15. 3. 2019, 07:37:33
DarkMeni:
Vetsino use takove fce nevolaji primo, ale jejich nazvy se skladaji treba pres chr a pak se zavolaji. |
||
|
Časová prodleva: 2 roky
|
|||
| martin6541 Profil |
marvays:
„Možná pomůže url stránek.“ Přeji pěkné ráno. Měl bych prosbu na moderátory. Můžete mi prosím smazat, nebo anonymizovat v odpovědi #10 obě url adresy? Když dám vyhledat brand, tak mi díky síle tohoto fora vyskakuje vlákno v serpu a to nevypadá dobře. Hlavně tedy v situaci, kdy řeším problém s napadeným webem. Chtěl sem to udělat sám, ale změnu mohu provést do 24 hodin od napsání, což už dávno bylo :( Děkuji |
||
|
Časová prodleva: 4 roky
|
|||
0