Linki do dziwnych stron widoczne tylko dla googla.

[as80]

Witam,

Mam problem ze sklepem prestashop 1.6.0.9

Ogólnie nic złego nie widać, podgląd strony przez przeglądarkę, firebuga itp nie widać nic złego. Skanery malware online również nic. Jednak kiedy w narzędziach dla webmasterów google użyję opcji pobierz jako google wywala mi kilka dziwnych linków na początku skanu po nagłówku.

"

HTTP/1.1 301 Moved Permanently

Date: Mon, 04 Apr 2016 22:03:27 GMT

Server: Apache

X-Powered-By: PHP/5.6.18

Cache-Control: no-cache

Set-Cookie: PrestaShop-kod cookies ........ 

domain=blabla.pl; httponly

Location: https://blabla.pl/

Keep-Alive: timeout=15, max=100

Connection: Keep-Alive

Transfer-Encoding: chunked

Content-Type: text/html; charset=utf-8

 

<div id="foot" align="left"><ul><li id='foot'><a href="http://avtogumi-online.com/totally/plough/348-tamoxifen-citrate-20-mg-per-ml-x-30ml/">

Tamoxifen citrate 20 mg per ml x 30ml</a></li><li id='foot'><a href="http://exoandamiajes.com/rut/extending/859-duplicity-game--free/">

Duplicity game  free</a></li><li id='foot'>http://christian-curth.de/suspended/prepare/350-serial-de-adobe-flash-professional-cs5-5/</li></ul></div>

.... dalej treść strony

"

 

Linków tych niema w szablonie strony w plikach tpl nic znaleźć nie mogę. Tak jak pisałem na początku nie znajduje tych linków w normalnym podglądzie kodu wyświetlonej strony. Gdzie mogę szukać? javascript? podpowie ktoś coś?

[hatak]

trudno tak ocenic bez linka - to co znajduje google jest napewno zhakowane - moze serwis masz pod domena a w consoli googla masz pod www.domena - cokolwiek co mozna niezauwazyc

[as80]

Linka mogę podesłać na priv lub maila tak aby nie udostępniać podatnej strony, poproszę o jakiś kontakt do siebie.

[as80]

Strona to: "wszys"tkodoka"wy-skl"ep"."pl"  pisane bez "

[hatak]

nie spotkalem sie / nie mam wiedzy -  z takim czyms 

 

wyglada jakby jakis skrypt wsadzal swoj kod gdy strone odwiedza robot googla

 

sprawdz  moze masz jakis darmowy modul ktory jest zhakowany

przeszukaj wszystko czy nie ma tego:

<div id="foot" align="left"> 

id foot nie istnieje w prescie oryginalnej wiec cokolwiek go ma moze byc tym czyms

 

jeszcze jedno - taki modul moze byc zakodowany jest ioncubem - wiec sprawedz czy stan taki wystepuje dalej po wylaczeniu ioncuba

 

temat uwazam za istotny do rozwiazania / to moze byc zainfekowany jakis znany modul

[hatak]

widze, ze sobie poradziles z problemem ... ale podzielic sie ze spolecznoscia presty to za duzy wysilek co?

[endriu107]

Łatwiej pytać niż odpowiadać.

[as80]

Sorki że długo się nie odzywałem, brak czasu. Problem rozwiązany, znalazłem w kilku modułach oraz w części szablonu dopisane do plików coś zakodowane,

wyglądało to mniej więcej tak:

komentarz CASHE START

później kodowane znaki, można je rozpoznać i wyszukać po początku czyli: "riny(onfr64" potem kilka kB znaków

na końcu koment CASHE END. zawsze na końcu pliku było dodane.

Głównie dodane do plików które w nazwie miały index, header, footer, więc pewnie złośliwy bot.

Podejrzewam że to nie wina samej presty ani modułów, miałem jakiś czas temu włamanie na jeden stary skrypt na starym php z register globals, wysłało troszke spamu i pewnie też dodało te śmieci do plików.

[hatak]

oki