Посторонние материалы на сайте

Тема в разделе "Вопросы безопасности", создана пользователем Алиса 2к, 22.01.2013.

  1. Offline

    Алиса 2к Недавно здесь

    Регистрация:
    22.01.2013
    Сообщения:
    13
    Симпатии:
    0
    Пол:
    Женский
    итак, вчера обнаружила странные переходы на мой сайт через яндекс-метрику. проверила - на ссылающихся страницах явного ничего нет (скрыто). посмотрела исходный код - вышла на целый скрытый архив у меня под носом - основная страница называет себя sitemap http:// gumannaja-pedagogika .ru/ ?option=/cat/sitemap.html с нее ведут 2500 (!) ссылок на тексты, размещенные уровнем ниже. нашла через исходный даты создания - с 1 по 15 января. в придачу появилась rss лента, которой у меня нет
    уже делала:
    закрыла от поисковиков через robots - ибо нефиг
    проверила весь контент через админку - новых разделов, категорий, материалов нет
    проверила images - дверей нет
    проверила ftp по дате создания файлов - нет
    проверила базу поиском по дате и именам и тексту - нет
    пересоздала sitemap - ничего незнакомого нет
    попутно поправила пару-тройку косяков
    ленту вроде "нашла" - в компонентах вырубила вообще все разом (а так можно?) потом включала по одной - так и не поняла, куда злодейская делась.
    ключевое - оформление чужих страниц полностью совпадает с основным содержимым сайта
    если вырубить через админку сайт, этот массив тоже выключается.
    из всего вижу, что где-то сидит и хихикает, но уже голову сломала - где...
    помогите, пожалуйста, найти:)
     
  2.  
  3. Offline

    Алиса 2к Недавно здесь

    Регистрация:
    22.01.2013
    Сообщения:
    13
    Симпатии:
    0
    Пол:
    Женский
    дополню нагляднее... это 3д вид инспектора, собственно все чужое - красное
    0_af3b7_9c1d2006_L.jpg
     
  4. Fanamura
    Offline

    Fanamura Доброта

    Регистрация:
    12.03.2007
    Сообщения:
    5 108
    Симпатии:
    159
    Пол:
    Мужской
    Ну вообще очень похоже на автоматическую генерацию статей через сервисы вроде sape.ru
    Посмотрите в корне FTP директории с длинными именами в виде хэшей 89sl232427rgkjhlkjghfas;fhlafjfas . Вот вроде этого. Если такое есть, то:
    1. Удалите директорию
    2. Из файла шаблона удалите вызов этой папки
     
  5. Offline

    Алиса 2к Недавно здесь

    Регистрация:
    22.01.2013
    Сообщения:
    13
    Симпатии:
    0
    Пол:
    Женский
    мдя... а директорий то нету лишних... у меня только те, которые я и создавала... в базе длинных таблиц тоже нету и даты изменений совпадают с теми, которые я делала%)
     
  6. Offline

    Алиса 2к Недавно здесь

    Регистрация:
    22.01.2013
    Сообщения:
    13
    Симпатии:
    0
    Пол:
    Женский
    по идее 2500 материалов должны же где-то засветиться???
     
  7. Offline

    sofuwa Недавно здесь

    Регистрация:
    28.09.2010
    Сообщения:
    16
    Симпатии:
    0
    Пол:
    Мужской
    У меня такая же фигня, это не сапа и не траст линк, обрнаружил вирусную вставку в файле шаблона, удалил, но всё равно это не пропало, не знаю где ещё искать в .htaccess всё нормально. Нигде этих статей ни в БД ни на хостинге нету.
    Ссылка точно такая же на sitemap, очень много статей в сайтмапе и они все перелинкованы, внешних ссылок нет, наверное пока =)
     
  8. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 044
    Симпатии:
    519
    Пол:
    Мужской
    Ищи шелл и бекдор в файлах сайта
     
  9. Offline

    sofuwa Недавно здесь

    Регистрация:
    28.09.2010
    Сообщения:
    16
    Симпатии:
    0
    Пол:
    Мужской
    в /templates/system/ был какой то файл вроде шелл, удалил, но статьи то не пропали.
     
  10. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 044
    Симпатии:
    519
    Пол:
    Мужской
  11. Offline

    sofuwa Недавно здесь

    Регистрация:
    28.09.2010
    Сообщения:
    16
    Симпатии:
    0
    Пол:
    Мужской
    кеш джумлы я очищал естественно.
    файл gftry.php - это который я удалил
    начинался так
    Код (PHP):
    1. <?php
    2. $auth_pass = "d738664f57d0cc63169931feb9f91cb5";
    3. $color = "#df5";
    4. $default_action = 'FilesMan';
    5. $default_use_ajax = true;
    6. $default_charset = 'Windows-1251';
    7. preg_replace("/.*/e",


    дальше зашифоровано пару листов.
     
  12. Offline

    Михаил М Недавно здесь

    Регистрация:
    06.05.2011
    Сообщения:
    57
    Симпатии:
    2
    Пол:
    Мужской
    У меня такая ситуация была

    1. Если дамп на хостере делается каждый день и ничего не менял за сегодня или вчера перезалей его просто и все.
    2. Если знаешь когда примерно появилось "г" на сайте по ФТП смотри даты изменения (чаще всего индексные файлы index.php - портят)
    Хотя как показывает практика могут влепить вызов и в js код.
     
  13. Offline

    Алиса 2к Недавно здесь

    Регистрация:
    22.01.2013
    Сообщения:
    13
    Симпатии:
    0
    Пол:
    Женский
    приключения продолжаются... найти и убить бяку не удалось, как и моим "друзьям по несчастью" с которыми мы теперь знакомы. описала проблему техподдержке яндеха - кричу, помогите!!! на полтора листа описала в деталях что-где-когда. получила спустя неделю лаконичный ответ По всей очевидности, проблемные страницы были удалены с Вашего сайта автоматически, это нормально.
    голова сломалась :( а падлюка таки висит и таки работает...
     
  14. Offline

    Алиса 2к Недавно здесь

    Регистрация:
    22.01.2013
    Сообщения:
    13
    Симпатии:
    0
    Пол:
    Женский
    по датам появления фильтровала - в индексах в этот период не было изменений....
     
  15. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 044
    Симпатии:
    519
    Пол:
    Мужской
    пока ищешь ,сделай редирект левых запросов на 404
     
  16. Offline

    Михаил М Недавно здесь

    Регистрация:
    06.05.2011
    Сообщения:
    57
    Симпатии:
    2
    Пол:
    Мужской
    Сейчас пока будете искать дамп то попросите у хостера - а то потом еще более лаконичный ответ получите. а вообще если не дорабатывала модули и компоненты - то можно сделать выгрузку БД и шаблона с картинками, перезалить CMS и накатить модули заново. Не знаю какой сложности сайт - но чуйствую что это будет быстрее...
     
  17. Offline

    Алиса 2к Недавно здесь

    Регистрация:
    22.01.2013
    Сообщения:
    13
    Симпатии:
    0
    Пол:
    Женский
    так... пошла заново читать теорию... спасибо, мужики :)
     
  18. Offline

    Алиса 2к Недавно здесь

    Регистрация:
    22.01.2013
    Сообщения:
    13
    Симпатии:
    0
    Пол:
    Женский
    итак, пакость обнаружена. спасибо форумцу с аналогичной проблемой - предложил временное решение с толковым редиректом, а затем и ключ к проблеме отыскался у такого же пострадавшего. я после обнаружения этой напасти быстренько нашла еще два десятка жертв и разослала им письма с описанием проблемы. больше половины ответили. (Элит-работа - зараза еще та!) на одном из таких бедняг админ проделал таки пофайловую проверку и нашел источник - генерилось из папки libraries / причем изменений не вносилось - если по датам смотреть. болел index и еще несколько файлов. проще всего оказалось полностью перезалить папку из дистрибутива. проблема полностью устранена. страдали сайты общественных организаций, местных органов власти, школ... рекомендую пользователям 1.5 проверить сайт путем добавления к адресу кусочка prostosait.ru / ?option=/cat - вбить в гугл и посмотреть не выскочит ли. зараза идет двухуровневой сетью - на одних сайтах вбиты невидимые ссылки (в коде в районе нижних строк с командой "скрыть"), ссылки идут на второй уровень - там на сайтах уже сами генераторы со статьями. атаки идут примерно раз в две недели с конца декабря. дверь я так вдохновенно раздолбала, что не дотумкала зафиксировать где она. но была простая. все манипуляции идут непосредственно в джумле, шаблоны не задействованы.
     

Поделиться этой страницей

Загрузка...