Zajímavý vir

marvays
03. bře 2019 16:12 #139302
Tento týden se mi smůla lepí na paty a aby byl seznam úplný, musel jsem odhalit napadený starší, ale aktualizovaný eshop.
Odhalil jsem to úplnou náhodou, když mi KontentKing zahlásil nefunkční odkaz v obsahové části stránek. Kouknu a vidím link na ruský web.

Zistil jsem že mám v kodu toto:
<span style="position:absolute;left:-4800px;">Подробнее на сайте: <!-- end #container --><a href="https://caremedicine.ru" title="https://caremedicine.ru">https://caremedicine.ru</a><i></i> <!-- Document Starts --> <a href="https://luckmedicine.ru" title="https://luckmedicine.ru">https://luckmedicine.ru</a><strong></strong><strong></strong><!-- End Begin Block of DIV --><a href="https://boomhealth.ru" title="https://boomhealth.ru">https://boomhealth.ru</a><em></em><i></i><a href="https://primemedicine.ru" title="https://primemedicine.ru">https://primemedicine.ru</a><b></b> <!-- .ilovewp-page-intro --><a href="https://enjoyhealth.ru" title="https://enjoyhealth.ru">https://enjoyhealth.ru</a><!-- .post-single --><!-- Ready page. --><a href="https://elmedicino.ru" title="https://elmedicino.ru">https://elmedicino.ru</a><!-- end #container --><span><strong></strong></span><a href="https://forcehealth.ru" title="https://forcehealth.ru">https://forcehealth.ru</a><i></i><ul><li></li></ul><a href="https://firehealth.ru" title="https://firehealth.ru">https://firehealth.ru</a><!-- Begin Comment List --><i></i><a href="https://medicinearea.ru" title="https://medicinearea.ru">https://medicinearea.ru</a> <!-- .ilovewp-page-intro --><i></i><em></em><i></i><a href="https://youmedicine.ru" title="https://youmedicine.ru">https://youmedicine.ru</a><b></b><b></b><!-- Document End Here --><a href="https://plusmedicine.ru" title="https://plusmedicine.ru">https://plusmedicine.ru</a><span></span><span></span><span></span><span></span><span></span><!-- #end-section --><a href="https://qualitymedicine.ru" title="https://qualitymedicine.ru">https://qualitymedicine.ru</a><i></i><em></em><i></i><strong></strong><strong></strong><strong></strong><a href="https://honeymedicine.ru" title="https://honeymedicine.ru">https://honeymedicine.ru</a><a href="#">Go to top of page</a><ul><li></li></ul><a href="https://fullmedicine.ru" title="https://fullmedicine.ru">https://fullmedicine.ru</a><!-- Ready page END. --><!-- List Begin Here --><a href="https://italianmedicine.ru" title="https://italianmedicine.ru">https://italianmedicine.ru</a><i></i></span>

Problém je ale ten, že v souborech na ftp nic takového není. Podle umístění kodu jsem koukl na daný soubor a nic. Dal jsem TC vyhledat na jednu url adresu text v celém ftp a nic nenašel. Projel jsem dnes stránky vším možným co sem našel v JED. Vyzkoušel jsem i online nástroje. vše bez úspěchu.

Vyházel jsem všechny staré pluginy. Vše aktualizoval na nejnovější verze. Nic nepomohlo.

Tak píšu sem, jestli máte nějaký nápad, na který jsem zapomněl?

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Ernst
03. bře 2019 16:49 #139304
je to k vidění?

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Bong
03. bře 2019 17:49 #139306
A v databázi?

I'm sorry, my responses are limited...you must ask the right questions.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Pavel [byPV]
03. bře 2019 18:08 #139308
Jak píše Bong, tak je prakticky jistota, že je to db. Na první pohled to ani nepůsobí jako nějaký hack, ale prostě je na webu pravděpodobně nějaký neošetřený formulář (nefiltruje HTML, bez captchy, ...) a diky tomu si to tam někdo (nebo robot) vložil.

Kde se to zobrazuje? Někde v komentářích?

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od marvays
03. bře 2019 18:14 #139309
view-source:https://vybaveniprovozu.cz/gastro-vybaveni/kutry

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Pavel [byPV]
03. bře 2019 19:35 #139311
Jasně, můžu si to dohledat sám, proč ne, ale to mi nic moc neřekne ;-)...

Pokud sis všiml, tak to máš prakticky na každém výpisu z kategorie, ale pouze u prvního produktu (pokaždé je tam něco trošku jiného). Je to vložené u konce hlavního DIVu k produktu mezi:

<div class="image-shadow2"> 
.....
</div>

U dalších produktů na stránce je již tento DIV prázdný a v detailu produktu to nevidím. Dohledej tedy layout, který tento DIV obsahuje (případně pokud ani ten DIV není napevno v layoutu, tak hledej layout, který se pro výpis těch produktů v kategorii používá) a zjisti co se na tomto místě má generovat. To bude vodítko.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od marvays
03. bře 2019 19:44 - 03. bře 2019 19:45 #139312
Aha. Já tě prvně nepochopil. Zobrazuje se to v tempalte VMka. A to je právě to, čemu nerozumím. V tom souboru nic není. Div je prázdný.

Soubor přílohy:

Název: default.txt
Velikost:48 kB
Přílohy:

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Pavel [byPV]
03. bře 2019 20:08 #139314
No jestli je to skutečně ten layout, který se používá a není ještě někde přetížený, tak bych to viděl skutečně na nějaký hack webu (například šablony, VM nebo pluginu - nejspíš systémového), který pak v tom layoutu hledá právě tento DIV a do něj si vloží co potřebuje. Jinak by bylo divné, že to je pořád na stejném místě. A jelikož to přichází již ze serveru, tak to nebude problém v JS.

Zkus prohledat celý web, když ho máš u sebe, na tu třídu u toho DIVu, jestli ti to nenajde nějaký další kód, který tento DIV hledá a pak ho nahrazuje.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Ernst
03. bře 2019 20:51 #139315
radil jsem mu to samé, jen bych doporučil ještě ten div s třídou image-shadow2 dočasně okomentovat, aby tam nebyl, jestli to hledá výhradně tuhle třídu

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od marvays
14. bře 2019 15:52 #139427
takže.

mám originální web. pak mám dvě kopie . . . jedna aktuální a druhá je 10 dní stará záloha. na kopiích sem za celý den nenašel žádné odkazy. je možné, že se to zobrazení váže na doménu, nebo na hosting? testovací weby mám na jiném hostingu u jiné firmy.

jinak ty odkazy to zobrazuje na náhodných pozicích a náhodných stránkách . . . není to na každé stránce stejné. Navíc mi přijde, že se neustále přesouvají. Napadené podstránky z 1. března již napadené nejsou. Z 8. března taky. Ovšem napadené stránky z 10. března jsou stále napadeny.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Rudolf
14. bře 2019 21:07 #139438
Takto napadnuté weby odvirovávám upraveným a doplněným postupem jako psal Bong v roce 2013 na svém blogu jen jako placený zásah.

Rád bych Vám napsal několik zaručených kouzelných rad, ale bohužel postupuji podle vyzkoušeného postupu a teprve v průběhu jsem schopen říct co je důvodem napadení.

Takto to z mého pohledu bude zase jen ta křišťálová koule :D a to Vám nepomůže ani neušetří Váš ani můj čas.

Doporučuji tedy vyčkat až jedna z rad zafunguje a zkoušet metodou pokus omyl nebo si někoho na tuto práci objednat.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od marvays
15. bře 2019 09:54 #139446
Návod o d Bonga jsem četl. Ten je ale založen na předpokladu, že mám nenapadnutou zálohu. Zde vidím dva problémy. Zaprvé se v mém případě jedná o eshop a ten se každý den mění. (noví uživatelé, objednávky, změny ve zboží). A zadruhé, nejsem schopen takovouto zálohu identifikovat, protože i když vytvořím zálohu napadeného webu teď a rozjedu ji na testovacím hostingu, tváří se jako že je web v pořádku.

Celkově mi "hack" přijde jako povedený, protože se neustále mění. jako by byl načasovaný a odkazy na ony ruské stránky nechal jen pár dní (asi dokud je google nezaindexuje a nepřipíše si zpětný odkaz) a následně hack smaže a zveřejní jinde. Navíc čas od času zachytím 503, což by mohlo nasvědčovat tomu, že se hack spustil, smazal stávající hacky a nahodil nové.

Právě z toho důvodu spíš čekám na nějaký nápad z "křišťálové koule" který bude úspěšný. protože doposud všechny stávající postupy selhaly.

A taky jsem si to nechtěl nechat pro sebe . . . .

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od HonzaG
15. bře 2019 13:12 #139449
Teda tohle náhodou číst jako Tvůj zákazník, tak silně znervózním... Mimo jiné z důvodu, že nechceš pustit ani chlup, aby Ti s tím někdo pomohl a nabídka je daná.
A nesouhlasím, že nemáš čistou zálohu.
Víš ve které části webu a kdy se kód zobrazuje, takže dokážeš identifikovat kterých souborů se to týká. No a když ty soubory porovnáš s těmi z instalaček... Ani nemusíš celé, Víš přeci které řádky, tak podle mé křišťálové koule najdeš rozdíl
Jen musíš koukat na celé řádky. Když includnu svinstvo, dám před něj 500 mezer, aby to nepraštilo do očí, například

Pokud to není zde a jsem v databázi. Tak si zapnu debugování a podle výpisu dotazů kouknu, co vše se načítá. Vůbec tam nemusí být nějaká URL, ale skript, který ta url načte z externího serveru.

Tak to mi pravila křišťálová koule. Pokud to pomohlo mám u Tebe oběd ma srazu.

A napiš pak, kde byl zakopaný samojed.

HonzaG

::: Nejsem tak bohatý, abych kupoval levné věci... :::

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od marvays
15. bře 2019 13:57 #139450
Honzo, já neřekl, že nechci pustit chlup :) K tomuto jsme se zatím ještě nedostali. Akorát Rudolf naznačil, že vtom má bohatou praxi a dělají to.

Co se týče té zálohy. Psal jsem, že se to vše chová nestandardně. Tudíž nemám jistotu, že moje zálohy jsou čisté. Porovnej si například originál
https://vybaveniprovozu.cz/gastro-vybaveni/mlynky-na-maso
a včerejší již zaručeně napadenou zálohu:
vybaveni2.richta.eu/gastro-vybaveni/mlynky-na-maso
liší se pouze umístěním stránek. A na te kopii prostě nic nenajdu. Teď jsem to sjel Website Auditorem a nemám na celém webu ani jeden externí ruský odkaz. A to mi vysvětli :)

Teď zkusím udělat zálohu a rozjet ji na stejným hostingu v podadresáři.

Pokud náhodou má někdo chuť se stím otravovat za peníze, můžeme se domluvit.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od HonzaG
15. bře 2019 14:06 #139451
No Asi jsem to napsal blbě. Prostě je zbytečné v tomto případě porovnávat nějaké zálohy. Musíš porovnávat čisté soubory z instalaček s těmi co jsou na webu. Proto píšu o pár souborech.
Nehledáš totiž přímo ta URL ale patrně nějaké include, které je tam navíc....

Takže jestli chceš, pošli mi přístupy a mrknu na to. O víkendu migruju asi 20 webů, tak se tohle k té práci přidá.

Honza

::: Nejsem tak bohatý, abych kupoval levné věci... :::

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.