Посторонние ссылки

Тема в разделе "Вопросы юзабилити", создана пользователем Gritsay, 16.06.2010.

  1. Offline

    Gritsay Недавно здесь

    Регистрация:
    16.06.2010
    Сообщения:
    11
    Симпатии:
    0
    Пол:
    Мужской
    Нужна помощь,:( на сайте появились посторонние ссылки, сначала в модуле Производители , в баннерах, потом обратил внимание, что в мета данных.:( Откуда берутся не понятно, проверка NODом ничего не дала, где нашел повыковыривал, а как их и где искать? И главное, как устранить их появление в дальнейшем.
    За ранее спасибо за помощь.=O:'(
     
  2.  
  3. DKraev
    Offline

    DKraev <i>(aka gft)</i>

    Регистрация:
    16.08.2008
    Сообщения:
    1 627
    Симпатии:
    216
    Пол:
    Мужской
    А адрес сайта и что за ссылки - эту информацию телепатически получать?
     
  4. Offline

    Gritsay Недавно здесь

    Регистрация:
    16.06.2010
    Сообщения:
    11
    Симпатии:
    0
    Пол:
    Мужской

    Вложения:

    Последнее редактирование: 16.06.2010
  5. DKraev
    Offline

    DKraev <i>(aka gft)</i>

    Регистрация:
    16.08.2008
    Сообщения:
    1 627
    Симпатии:
    216
    Пол:
    Мужской
  6. Offline

    Gritsay Недавно здесь

    Регистрация:
    16.06.2010
    Сообщения:
    11
    Симпатии:
    0
    Пол:
    Мужской
    Открыто для просмотра
     
  7. DKraev
    Offline

    DKraev <i>(aka gft)</i>

    Регистрация:
    16.08.2008
    Сообщения:
    1 627
    Симпатии:
    216
    Пол:
    Мужской
    Проверьте /www/modules/mod_virtuemart_manufacturers/mod_virtuemart_manufacturers.php на наличие постороннего кода. В вашем случае - данных рекламных ссылок.
     
  8. Offline

    Gritsay Недавно здесь

    Регистрация:
    16.06.2010
    Сообщения:
    11
    Симпатии:
    0
    Пол:
    Мужской
    Подозрительного ничего нет, когда искал решение проблемы этот модуль перезаписал
    Результата нет. А как этот код может выглядеть??? javascript ?????
     
  9. DKraev
    Offline

    DKraev <i>(aka gft)</i>

    Регистрация:
    16.08.2008
    Сообщения:
    1 627
    Симпатии:
    216
    Пол:
    Мужской
    Чаше всего скрипт. Либо include. А вообще - выкачивайте сайт, ищите при помощи того же Drima все посторонние ссылки. Если все чисто - смотрите базу.

    Если посторонние записи в базе - то явно SQL иньекция.
     
  10. Offline

    Gritsay Недавно здесь

    Регистрация:
    16.06.2010
    Сообщения:
    11
    Симпатии:
    0
    Пол:
    Мужской
    насчет посторонних ссылок то их я не нашел, а в SQL что искать? готовые ссылки? их там нет, или что?
    просмотрел через исходный код посмотрел SQL , и ничего не понял, они из под земли чтоль возникают?))))
     
    Последнее редактирование: 16.06.2010
  11. DKraev
    Offline

    DKraev <i>(aka gft)</i>

    Регистрация:
    16.08.2008
    Сообщения:
    1 627
    Симпатии:
    216
    Пол:
    Мужской
    Я в исходнике их вижу. А ссылки искали по всему дистрибутиву сайта?

    Сделайте дамп базы, откройте его и попробуйте найти искомый текст.
     
  12. Offline

    Gritsay Недавно здесь

    Регистрация:
    16.06.2010
    Сообщения:
    11
    Симпатии:
    0
    Пол:
    Мужской
    да, и пробовал, искал и конкретную ссылку и зараженные модуля переливать, не помогает, вообще остается непонятным как они там вылазят, и в гугле ничего не найду по этой теме, щас еще пойду задам поиск ссылки
     
  13. Offline

    Gritsay Недавно здесь

    Регистрация:
    16.06.2010
    Сообщения:
    11
    Симпатии:
    0
    Пол:
    Мужской
    Ура кусочек нашел в SQL
    Баннерная сеть BANNER.UA</a></div>\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n <a href=http://www.areanda.com/ >раскрутка сайтов</a>\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n <a href=http://parts.avtoprom.ua/ >японские запчасти</a>', 18, '\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n раскрутка сайтов\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n японские запчасти', 0, 1, '0000-00-00 00:00:00', '0000-00-00 00:00:00', '\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n раскрутка сайтов\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n японские запчасти', 'width=0\nheight=0');

    -- --------------------------------------------------------

    --
    -- Структура таблицы `jos_bannerclient`


    это оно???? как его теперь выгрызть с базы?
     
  14. DKraev
    Offline

    DKraev <i>(aka gft)</i>

    Регистрация:
    16.08.2008
    Сообщения:
    1 627
    Симпатии:
    216
    Пол:
    Мужской
    Сделайте бекап базы. Сохраните отдельно на всякий случай, скопируйте его. Все работы проводите с копией.

    Открываете бекап редактором, вычищаете ненужный код. Сносите все таблицы в базе. И заливаете чистую. Только предельно внимательно, а то можно натворить делов :)

    У Вас стоит какой-то уязвимый компонет, через который была сделана иньекция в базу. Проверяйте.

    Логи отсмотрите. Там можно отследить.
     
    Последнее редактирование: 16.06.2010
  15. Offline

    Gritsay Недавно здесь

    Регистрация:
    16.06.2010
    Сообщения:
    11
    Симпатии:
    0
    Пол:
    Мужской
    Спасибо, буду коварять))) в базе только код прописан или чтото из javascript ?
     
  16. DKraev
    Offline

    DKraev <i>(aka gft)</i>

    Регистрация:
    16.08.2008
    Сообщения:
    1 627
    Симпатии:
    216
    Пол:
    Мужской
    Только код, по идее. Отсмотрите логи сервера. По ним можно отследить через что был взлом.
     
  17. Offline

    Gritsay Недавно здесь

    Регистрация:
    16.06.2010
    Сообщения:
    11
    Симпатии:
    0
    Пол:
    Мужской
    Я думаю, что причина в уязвимости самой joomla? надо обновиться было на 1.5.18.
     

Поделиться этой страницей

Загрузка...