Sugestie dotyczące forum, systemu WinduCMS 2 oraz inne tematy.

Moderator: Moderatorzy

Wirus zmieniający tytuł i opis strony

Postprzez Flyin » 19 Lut 2016, 13:25

Witam. Nie wiem czy jest to dobry dział, jeśli nie to proszę o przeniesienie.

Mam następujący problem ze stroną na WinduCMS. Otóż strona stoi na home.pl (hosting oraz domena). Ostatnio została zainfekowana przez jakiegoś chyba wirusa który zmienia jej tytuł oraz opis widoczny w Google. Wygląda to tak, że po wpisaniu adresu jakasstrona.pl w wyszukiwarkę Google pojawia strona z nazwą "cheap pandora silver orange pattern charm uk clear" oraz opisem "cheap pandora silver orange pattern charm uk clear. cheap pandora silver orange pattern charm uk clear. online outlet pandora earring barrelpandora 2016". Na ftp sprawa jest też dziwna, bo plik index.php zamieniony zostaje na index.php.backup.txt, powstaje nowy plik index.php który zawiera linijki złośliwego kodu, dodają się również pliki takie jak: index.tmp.html oraz index.tmp.txt. Po usunięciu tych plików oraz usunięciu złośliwego kodu na kilka godzin jest spokój, potem pliki znów się podmieniają i infekują (zawsze ten sam index.php).

Złośliwy kod wygląda mniej więcej tak: //78x0p912 ${"\x47\x4cO\x42\x41\x4cS"}["fl\x6dvw\x6e\x62"]="co\x6e\x74e\....... i ma długość prawie 16 tys. znaków (wkleiłem fragment). Problem wystąpił jakoś miesiąc temu, home.pl naprawiło problem ale nie napisali co zrobili dokładnie. Przez jakiś czas było dobrze a teraz znów jest ten sam problem.

Akcje jakie zostały wykonane: oczywiście zmiana haseł po naprawieniu strony (do paneli admina, do baz danych które tam były, do konta admina na stronie, do ftp), skanowanie skanerami stron www online (np. sitecheck.sucuri.net - nic nie wykryto), skanowanie plików strony ściągniętych na domowy komputer przez Kaspersky Internet Security 16
Po naprawieniu strony przez firmę hostingową pliki nie były modyfikowane przez nikogo. Nikt się tam nie logował i nic nie zmieniał.

Prawa plików na ftp jak widzę są różnie poustawianie. Index.php ma 644, folder app - 744, nowe pliki które wirus tworzy mają atrybuty 644.

Bardzo proszę o pomoc, jakąkolwiek wskazówkę w postępowaniu. Jeśli trzeba podam adres strony. Dołączam zdjęcie z Google oraz z ftp.
http://zapodaj.net/daba8bc4dda8e.jpg.html
http://zapodaj.net/9583bdc48944b.jpg.html
Flyin
 
Posty: 3
Rejestracja: 02 Wrz 2015, 12:35
Miejscowość: Mielec
Podziękował: 1 raz(y)
Pomagał(a): 0 raz(y)

Re: Wirus zmieniający tytuł i opis strony

Postprzez Osik » 25 Lut 2016, 12:51

Proszę usunąć wszystko prócz tych ścieżek:
data/files/
i data/database/
Jeżeli korzysta Pan z jakiegoś customowego szablonu należy też zachować pliki folder
data/themes/
data/widgets/

Później trzeba sprawdzić jeszcze czy w tych folderach nie ma zadnych niechcianych plików "wirusowych" i Zachować gdzieś te foldery w oddzielnym katalogu.
Po upewnieniu się że wszytsko jest czyste zainstlować świeżą instalkę windu i później nadpisać foldery
data/files/
data/database/
plikami ze starej instalki
W przypadku folderu z widgetami i szablonami należy zwórcić szczególna uwagę czy nie ma tam powsadzanego złosliwego kodu, bo ktoś się Panu włamał na stronę/serwer i ją zainfekował.
Osik
Wyjadacz
 
Posty: 133
Rejestracja: 12 Mar 2013, 17:09
Podziękował: 0 raz(y)
Pomagał(a): 16 razy

Re: Wirus zmieniający tytuł i opis strony

Postprzez Flyin » 25 Lut 2016, 15:24

Dziękuję za pomoc.
Zrobiłem dokładnie tak jak Pan napisał. Nie orientuje się Pan ile trzeba czekać na 'odświeżenie' informacji przez Google? Ponieważ ciągle widnieją stare dane. Przy wchodzeniu na kopię strony w pamięci podręcznej Google jest tam data jej pobrania, 14 luty 2016r., a dziś jest już 25 luty, nie wiem czemu to nie jest zaktualizowane np. na wczorajszą datę. Wg mnie strony są odświeżane częściej niż np. raz na 2 tygodnie, ale mogę się mylić. Oczywiście czyszczę też pamięć podręczną przeglądarki przed sprawdzeniem oraz ipconfig /flushdns w cmd (chociaż nie wiem czy ma to sens)

EDIT
Po tych krokach jakie Pan podał strona wreszcie działa normalnie. Trzeba było czekać ponad tydzień na ponownie 'odczytanie' strony przez google (zgłosiłem jej url jeszcze raz). Bardzo dziękuję za pomoc.
Flyin
 
Posty: 3
Rejestracja: 02 Wrz 2015, 12:35
Miejscowość: Mielec
Podziękował: 1 raz(y)
Pomagał(a): 0 raz(y)


Kto jest na forum

Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 1 gość

cron