Přihlásit se

Joomla 5.2.2 Security & Bugfix Release

Joomla 5.2.2 je nyní k dispozici. Jedná se o bezpečnostní vydání pro Joomla 5.x.

Google zastavil PPC a reklamu - důvod odkazy za nedůvěryhodné servery

18. úno 2020 14:00 #141755
Ahoj všem,
už 3 dny se snažím přijít na to, jak vyřešit problém s webem, který si nechal před 8 lety udělat klient s tím, že si jej bude spravovat sám.
Před třemi dny mne informoval, že jeho web obsahuje odkazy na servery, které nejsou označeny jako "důvěryhodné".

Nejde o klasické hacknutí webu v tom, že by web nejel, nebo přesměrovával někam, či zobrazoval v rámci stránek nežádoucí odkazy.

Web je aktualizovaný - v tuto chvíli je na něm Joomla 3.9.14, je na něm nainstalována Akeeba Admin Tools včetně firewallu (a ať se na mne hosting zlobí nebo ne), tak jednou týdně tato komponenta dělá fullscan webu na změněné soubory.

I podle logů z Akeeby je vidět, že tam byly pokusy o iSQL, MUAShield a další známé praktiky.

Ani toto mi bohužel nedokázalo ukázat na soubory, které by mohly být takto infikovány (a to přitom s Akeebou dělám od roku 2011, kdy jsem čistil pro jistou společnost celou řadu webů, které měla zcela nezabezpečené).

Už jsem zkoušel hledat i takové fousaté fígle jako PHP ukrytý v JPG souboru, ale bez výsledku.

Otázka je - dá se nějak zjistit alespoň namátkově, odkud (z které stránky webu) jde odkaz na ty škodlivosti?

Samozřejmě, že Bongův článek o čištění hacknutého webu mám jako mantru načtený i pozpátku již několik let, takže odkaz na něj je v tuto chvíli asi zbytečný.

Nicméně díky za nakopnutí správným směrem - bohužel hledání pověstné jehly v kupce sena je v tuto chvíli daleko jednodušší úkol.

18. úno 2020 14:30 - 18. úno 2020 14:32 #141756
Odpověď od Bong
Moderátor

Martens napsal: web obsahuje odkazy na servery, které nejsou označeny jako "důvěryhodné"

To by chtělo vidět. Z informací o Google jsem už chvíli pryč, ale jestli je všechno čisté:

Jedou stránky alespoň na HTTPS?
Jsou na stránkách nějaké odkazy (třeba v textu) na cizí stránky?
Není hosting, nebo IP adresa serveru někde na blacklistu?
Není tam nějaká subdoména?
V emailu od Google není něco podrobněji, třeba odkazy?

I'm sorry, my responses are limited...you must ask the right questions.

18. úno 2020 14:52 - 18. úno 2020 14:58 #141757
Odpověď od Martens
Návštěvník
Ahoj Bongu,

takže postupně:

1) Na https je web cca 2 roky

2) Ano, odkazy na cizí weby tam jsou - jde vesměs o odkazy na mezinárodní kongresy případně na weby výrobců zubních implantátů. Jsou tam i nějaké odkazy na youtube videa - co jsem si tam všiml.

3) Hosting je na WEDOSu, takže nepředpokládám,že by byl WEDOS na blacklistu

4) Subdomény tam nejsou žádné. Jen v adresáři domains mám uloženou statickou html stránku pro případ odstavení webu - je to statický html kód a 3 obrázky, které už jsem rovněž manuálně prověřil

5) Co se týče mailu od googlu, tak v příloze je plné znění včetně odkazů,které mu vadí. Na můj dotaz, zda by byli schopni vyjet, ze kterých stránek tyto odkazy jsou, tak mi řekli, že nejsou a že to neumí - což mi příjde jako nesmysl v okamžiku, kdy mají zindexované stránky přes přes Google Search consoli, která žádné bezpečnstní problémy pro tento web nehlásí.

Ještě zkouším stáhnout celý web ve verzi pro off-line prohlížení a zkusit prohledat obsah html, zda tam někde ten odkaz nenajdu. Nicméně nevím proč, ale čím dál tím víc té zprávě od Google nevěřím, ač je autentická a s jejich helpdeskem se již ohledně ní taky komunikovalo.

Z textu od Google mne zaráží jeden odstavec, který si (ač člověk, který se slovenčinou nemá problém) můžu vyložit špatně:

Postupujte podľa našich pokynov a môžete dôsledne vykonávať všetky potrebné kroky. Uistite sa, že škodlivý softvér bol odstránený z hlavnej domény a všetkých subdomén, ako aj z overených stránok, ktoré sú presmerované.



Jo a adresa je www.implantaty-kriz.cz/

Martin

18. úno 2020 22:20 #141762
Odpověď od Bong
Moderátor
Netuším. Ten email se mi nezdá, nic podobného jsem nenašel.
A když kouknu přes Whois, tak se všechno tváří, že je u forpsi, to by se mi nelíbilo.

Musí přijít někdo chytrej.

I'm sorry, my responses are limited...you must ask the right questions.

18. úno 2020 22:36 #141763
Odpověď od Martens
Návštěvník
No já právě z toho taky moc chytrej nejsem, ale i tak díky.

Jinak u Forpsi je jen registrovaná doména a mají tam DNS záznamy. Ale A-record odkazuje na WEDOS, kde je to i hostováno.

Jediné, co mne ještě napadá, že DNS není nastaveno u WEDOSu taky - tím se zřejmě příjde o možnost mít aktivní DNSSEC, ale fakt nevím - už vařím z vody.

21. úno 2020 14:57 #141777
Odpověď od Cony
Moderátor
Neni něco schovanýho v .htaccess?

Powered by Fórum