IPB

Здравствуйте, гость ( Вход | Регистрация )

 
Ответить в данную темуНачать новую тему
 Нужна консультация по взлому сайта Http://www.rovesniki.su/, Видимо ломанули, что делать?
sisers
сообщение 15.1.2011, 18:45
Сообщение #1


Ветеран
****

Группа: Кандидат
Сообщений: 186
Регистрация: 4.6.2008
Из: Moooscooow
Пользователь №: 521
Вставить ник
Цитата



Недавно обратил, что позиции падают.
Добрые люди скинули ссылку: http://yandex.ru/yandsearch?text=tenormin%...c=50&lr=213

На первом месте http://www.rovesniki.su/
В снипете:
Order Tenormin Cheap Order Imitrex Cheap Buy Proscar Evista To Buy Rimonabant Discount Elavil Online Buy Metformin No Prescription Diflucan To Buy Order Zolpidem Cheap Buy Avandia No...

Это что то типа клоакинга? Где искать бяку? Заранее благодарен.


Сообщение отредактировал sisers - 15.1.2011, 19:19
Перейти в начало страницы
 
+Цитировать сообщение
Chin
сообщение 15.1.2011, 19:16
Сообщение #2


Администратор
****

Группа: root
Сообщений: 7813
Регистрация: 17.3.2007
Пользователь №: 1
Вставить ник
Цитата



Угу, похоже на клоакинг. В коде не нашел, в JS подгружаемых тоже вроде нету искомых текстов.
Проверяй коды шаблонов, все инклюды, htaccess, попробуй с разных айпишников походить посмотреть для начала.

Нихрена не понятно от какого числа кеш яндексовский, в гугле в кеше нету этого кстати.
Перейти в начало страницы
 
+Цитировать сообщение
sisers
сообщение 15.1.2011, 19:22
Сообщение #3


Ветеран
****

Группа: Кандидат
Сообщений: 186
Регистрация: 4.6.2008
Из: Moooscooow
Пользователь №: 521
Вставить ник
Цитата



В гугле есть, но по другим запросам, там дохера всего)))

Вставляет простыню ссылок:

Ахуеть, всавляется такой блок ссылок. Вот кусок простыни, может кто свое творение узнает (IMG:http://4seo.biz/style_emoticons/default/smile.gif)
Код
<div id="_wp_footer"><a href="http://endowment.org/?fring=13671" title="Lozol No Rx Required">Lozol No Rx Required</a>
<a href="http://endowment.org/?fring=19423" title="Benemid 60 Pills X 500 Mg">Benemid 60 Pills X 500 Mg</a>
<a href="http://endowment.org/?fring=6424" title="Discount Xanax Online">Discount Xanax Online</a>
<a href="http://endowment.org/?fring=11735" title="Order High Love C.O.D">Order High Love C.O.D</a>
<a href="http://www.bileblog.org/?page=742" title="Celebrex Compare Vioxx">Celebrex Compare Vioxx</a>
<a href="http://www.palsolidarity.org/main/?article=3609" title="Valium Overnight Shipping">Valium Overnight Shipping</a>
<a href="http://endowment.org/?fring=6412" title="Cheap Xanax Without Prescription">Cheap Xanax Without Prescription</a>

<a href="http://endowment.org/?fring=16366" title="Purinethol No Rx Required">Purinethol No Rx Required</a>
<a href="http://endowment.org/?fring=10705" title="Order Dostinex COD">Order Dostinex COD</a>
<a href="http://www.bileblog.org/?page=1935" title="Phentermine Pharmacy">Phentermine Pharmacy</a>
<a href="http://www.bileblog.org/?page=2859" title="Ultram Medicine">Ultram Medicine</a>
<a href="http://www.palsolidarity.org/main/?article=4282" title="How Does Xanax Work">How Does Xanax Work</a>
<a href="http://endowment.org/?fring=15656" title="Cheap Prednisone">Cheap Prednisone</a>
<a href="http://endowment.org/?fring=9106" title="Discount Cardizem">Discount Cardizem</a>
<a href="http://endowment.org/?fring=14301" title="Discount Motrin Online">Discount Motrin Online</a>
<a href="http://endowment.org/?fring=17378" title="No Prescription Sinequan">No Prescription Sinequan</a>

<a href="http://endowment.org/?fring=18740" title="Order Xeloda Overnight Delivery">Order Xeloda Overnight Delivery</a>
<a href="http://endowment.org/?fring=2617" title="Common Drug Overdoses">Common Drug Overdoses</a>
<a href="http://endowment.org/?fring=5570" title="Order Levitra No Rx">Order Levitra No Rx</a>
<a href="http://www.palsolidarity.org/main/?article=3224" title="Effects Side Treatment Valium">Effects Side Treatment Valium</a>
<a href="http://endowment.org/?fring=15013" title="Order Oxytrol Online">Order Oxytrol Online</a>
<a href="http://www.bileblog.org/?page=424" title="Identify Xanax">Identify Xanax</a>
<a href="http://endowment.org/?fring=15307" title="Order Pilex Online">Order Pilex Online</a>
<a href="http://www.palsolidarity.org/main/?article=3613" title="C.o.d. Valium">C.o.d. Valium</a>
<a href="http://www.palsolidarity.org/main/?article=2467" title="Drug Ponderax Tenuate">Drug Ponderax Tenuate</a>

<a href="http://endowment.org/?fring=17280" title="No Prescription Shallaki">No Prescription Shallaki</a>
<a href="http://www.bileblog.org/?page=3975" title="Discount Generic Viagra">Discount Generic Viagra</a>
<a href="http://endowment.org/?fring=12648" title="Purchase Kytril No Rx">Purchase Kytril No Rx</a>
<a href="http://endowment.org/?fring=18498" title="Cheap Vasodilan">Cheap Vasodilan</a>
<a href="http://www.palsolidarity.org/main/?article=4455" title="What Happens If U Abuse Xanax">What Happens If U Abuse Xanax</a>
<a href="http://www.bileblog.org/?page=4561" title="Stories Of Xanax Addiction">Stories Of Xanax Addiction</a>
<a href="http://www.palsolidarity.org/main/?article=1310" title="Buy Generic Levitra">Buy Generic Levitra</a>
<a href="http://endowment.org/?fring=986" title="What Are The Dangers Of Xanax">What Are The Dangers Of Xanax</a>
<a href="http://endowment.org/?fring=10228" title="Depakote Online Without Prescription">Depakote Online Without Prescription</a>
</div>


Но в темплетах пусто. Нет там ничего... Как это вставляется и почему визуально не видно???
Перейти в начало страницы
 
+Цитировать сообщение
Chin
сообщение 15.1.2011, 19:28
Сообщение #4


Администратор
****

Группа: root
Сообщений: 7813
Регистрация: 17.3.2007
Пользователь №: 1
Вставить ник
Цитата



Визуально не видно, потому что вставляется не для всех. На то он и клоакинг.
Хост какой, дедик, виртуал, вдс?
Хтакцесс смотрел? Инклюдящиеся файлы смотрел? Попробуй сделать поиск текстовый по файлам с куском текста из твоей простынки с прошлого поста. Хотя может быть эта хуйня грузится вообще не с твоего сервера, а с твоего уже подргуженная извне отображается.
Перейти в начало страницы
 
+Цитировать сообщение
sisers
сообщение 15.1.2011, 19:33
Сообщение #5


Ветеран
****

Группа: Кандидат
Сообщений: 186
Регистрация: 4.6.2008
Из: Moooscooow
Пользователь №: 521
Вставить ник
Цитата



Этот сайт на ВДС.
Спасибо. Буду тады копать, есть занятие на субботний вечер пока жена на корпоративе бухает (IMG:http://4seo.biz/style_emoticons/default/smile.gif)
Перейти в начало страницы
 
+Цитировать сообщение
Sebastano Perero
сообщение 15.1.2011, 19:35
Сообщение #6


Ветеран
****

Группа: Кандидат
Сообщений: 1158
Регистрация: 11.9.2008
Из: Козолупы
Пользователь №: 636
Вставить ник
Цитата



Цитата(sisers @ 15.1.2011, 19:14) *
Этот сайт на ВДС.

Не на серваге, случайно ?
Мне там постоянно в блоги чего то пихают.
Перейти в начало страницы
 
+Цитировать сообщение
sisers
сообщение 16.1.2011, 0:12
Сообщение #7


Ветеран
****

Группа: Кандидат
Сообщений: 186
Регистрация: 4.6.2008
Из: Moooscooow
Пользователь №: 521
Вставить ник
Цитата



Цитата(Sebastano Perero @ 15.1.2011, 19:16) *
Цитата(sisers @ 15.1.2011, 19:14) *
Этот сайт на ВДС.

Не на серваге, случайно?
Мне там постоянно в блоги чего то пихают.


Нет, не они. Тут хостер не виноват, сам профукал,нужно было сразу бить тревогу, когда позиции падать начали.

А кто какие плагины безопасности для ВП юзает:
Я эти:
http://wordpress.org/extend/plugins/wp-security-scan/
http://wordpress.org/extend/plugins/antivirus/

но что то они особо не помогают...
Перейти в начало страницы
 
+Цитировать сообщение
prantiol
сообщение 16.1.2011, 16:48
Сообщение #8


Ветеран
****

Группа: Кандидат
Сообщений: 283
Регистрация: 30.10.2008
Пользователь №: 682
Вставить ник
Цитата



Скорее всего инклюд скрипта клоакинга в одном из php-файлов твоего Вордпресса, или в .htaccess.
Перейти в начало страницы
 
+Цитировать сообщение
Deschain
сообщение 16.1.2011, 23:31
Сообщение #9


Ветеран
****

Группа: Кандидат
Сообщений: 154
Регистрация: 8.10.2007
Пользователь №: 408
Вставить ник
Цитата



Если хочешь, можешь скинуть мне реквизиты доступа, постараюсь вычистить - опыт есть.
Потом поменяешь логин/пароль, чтобы я не знал (IMG:http://4seo.biz/style_emoticons/default/smile.gif)
Перейти в начало страницы
 
+Цитировать сообщение
sisers
сообщение 17.1.2011, 2:00
Сообщение #10


Ветеран
****

Группа: Кандидат
Сообщений: 186
Регистрация: 4.6.2008
Из: Moooscooow
Пользователь №: 521
Вставить ник
Цитата



Цитата(Deschain @ 16.1.2011, 23:12) *
Если хочешь, можешь скинуть мне реквизиты доступа, постараюсь вычистить - опыт есть.
Потом поменяешь логин/пароль, чтобы я не знал (IMG:http://4seo.biz/style_emoticons/default/smile.gif)

Спасибо. Возможно попрошу помощи чуть позже.

Вроде все обновил, но инклудов так и не нашел. Посмотрел как выглядит код сайта глазами Гугл бота, вроде ссылки исчезли, до этого через вебмастер тулз гугла их видно было.

Сообщение отредактировал sisers - 17.1.2011, 2:34
Перейти в начало страницы
 
+Цитировать сообщение
Rusl
сообщение 17.1.2011, 14:59
Сообщение #11


Ветеран
****

Группа: Кандидат
Сообщений: 393
Регистрация: 14.5.2007
Из: Украина
Пользователь №: 195
Вставить ник
Цитата



Сайт в яндекс вебмастер не добавлял? Они маякуют, если обнаружен вредоносный код или другое зло (IMG:http://4seo.biz/style_emoticons/default/smile.gif)
Перейти в начало страницы
 
+Цитировать сообщение
sisers
сообщение 17.1.2011, 19:04
Сообщение #12


Ветеран
****

Группа: Кандидат
Сообщений: 186
Регистрация: 4.6.2008
Из: Moooscooow
Пользователь №: 521
Вставить ник
Цитата



Цитата(Rusl @ 17.1.2011, 14:40) *
Сайт в яндекс вебмастер не добавлял? Они маякуют, если обнаружен вредоносный код или другое зло (IMG:http://4seo.biz/style_emoticons/default/smile.gif)

Добавлен, но они предупреждают, если вирусняк или сплоит стоит. А тут просто добавление простыни ссылок было, поэтому Яндекс не предупредил.
На самом деле ребята грамотно делают. Сайт вирусами не загаживают, а втихую суют ссылки, которые видны только для поисковых ботов. Я даже и не знаю, возможно ли такое на автомате выявлять? Ведь по идее для этого нужно каждый раз просматривать сайт глазами поискового робота.
Перейти в начало страницы
 
+Цитировать сообщение
Deschain
сообщение 17.1.2011, 21:15
Сообщение #13


Ветеран
****

Группа: Кандидат
Сообщений: 154
Регистрация: 8.10.2007
Пользователь №: 408
Вставить ник
Цитата



sisers, возможно. Всё возможно. Достаточно просто проверять время изменения файлов (IMG:http://4seo.biz/style_emoticons/default/smile.gif) Ну, и хэши файлов, и пмного что ещё, чтобы быстро вылавливать взлом.
Перейти в начало страницы
 
+Цитировать сообщение
Chin
сообщение 20.1.2011, 3:47
Сообщение #14


Администратор
****

Группа: root
Сообщений: 7813
Регистрация: 17.3.2007
Пользователь №: 1
Вставить ник
Цитата



Deschain, а если из базы инклюд идет? Время изменения файлов в таком случае не проканает.
Есть вариант. Брать например гуглькеш и смотреть наличие внешних ссылок хотя бы с морды. Это можно делать автоматом. У меня даже тулза похожая на 4сео есть. Там просто всё достаточно.
Другой вопрос как все-таки взломали и куда засунули говно это.
Кстати, на вдсе ведь к консоли доступ то должен быть. Надо попробовать поискать в файлах фрагменты текста. Бекап перед обновлением сделал? А то ведь не помешало бы узнать куда въебали то код этот.
Перейти в начало страницы
 
+Цитировать сообщение
Inquisitor
сообщение 23.1.2011, 16:00
Сообщение #15


друг 4seo
****

Группа: Newsposter
Сообщений: 1157
Регистрация: 1.12.2007
Пользователь №: 434
Вставить ник
Цитата



Нашел то куда вставили бяку?
Перейти в начало страницы
 
+Цитировать сообщение
Deschain
сообщение 23.1.2011, 20:35
Сообщение #16


Ветеран
****

Группа: Кандидат
Сообщений: 154
Регистрация: 8.10.2007
Пользователь №: 408
Вставить ник
Цитата



Chin, если сунули в базу, то в скрипте должен где-то идти код выполнения содержимого из базы. Как правило, это eval().
Перейти в начало страницы
 
+Цитировать сообщение
sisers
сообщение 24.1.2011, 14:28
Сообщение #17


Ветеран
****

Группа: Кандидат
Сообщений: 186
Регистрация: 4.6.2008
Из: Moooscooow
Пользователь №: 521
Вставить ник
Цитата



Цитата(Inquisitor @ 23.1.2011, 15:41) *
Нашел то куда вставили бяку?

Неа, но после обновления все работает в штатном режиме.
Перейти в начало страницы
 
+Цитировать сообщение
Chin
сообщение 25.1.2011, 7:14
Сообщение #18


Администратор
****

Группа: root
Сообщений: 7813
Регистрация: 17.3.2007
Пользователь №: 1
Вставить ник
Цитата



Цитата(Deschain @ 23.1.2011, 22:46) *
Chin, если сунули в базу, то в скрипте должен где-то идти код выполнения содержимого из базы. Как правило, это eval().

Согласен, но это в случае если части шаблонов в базе не хранятся. Я хз есть ли у вордпресса темы, которые могут куски шаба в базе хранить. Если нету, то действительно вставка евала палит смену чексуммы и даты файла, через который вызов идет.
sisers, а попробуй интереса ради через phpmyadmin например найти тексты, которые гугля видела, а ты - нет. Задай поиск по базе? Мож найдешь чего.
Перейти в начало страницы
 
+Цитировать сообщение

Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



RSS Текстовая версия Сейчас: 28.5.2018, 6:54