Новости Joomla

0 Пользователей и 1 Гость просматривают эту тему.
  • 29 Ответов
  • 1239 Просмотров
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
jqnlpxhd.php
« : 18.08.2015, 13:47:00 »
В логах сервера у меня была куча обращений к файлу jqnlpxhd.php в корне сайта. Наверно искали шелл. Так как я недавно перенес сайт с 1.5 до 3.3 то мне очень интересны всякие 404 ошибки, для восстановления ссылок. И меня этот мусор стал напрягать и я создал этот файл, который просто записывает IP, откуда, какие аргументы были.
И тут приходит Google и грит, слу, а тубя же вирус сидит.

Код
Malware infection detected: http://mysite.ru/ 18 августа 2015 г.
Unfortunately, it appears some pages on your site may infect visitors with software designed to access confidential information or harm their computers. You may not be able to easily see these problems if the hacker has configured your server to only show malicious content to certain visitors. To protect visitors to your site from malware, Google’s search results now display a warning when users click a link to your site.
Sample URLs
http://mysite.ru/jqnlpxhd.php?id=3699324

И как быть?
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: jqnlpxhd.php
« Ответ #1 : 18.08.2015, 13:53:09 »
А может это и есть шелл? ))

Проверь айболитом весь сайт. Не панацея, но много чего интересного покажет.
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: jqnlpxhd.php
« Ответ #2 : 18.08.2015, 13:59:48 »
Проверю, конечно, но в сообщении именно этот файл указан. Это точно не шел, так как я его сам писал :)

ЗЫ А если в этом файл "отдавать" 404 ошибку, она в логи будет попадать? По идее ее же не сервер "генерит", а мой скрипт, не должна...
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: jqnlpxhd.php
« Ответ #3 : 18.08.2015, 16:26:25 »
А что под идом этого номеро должно выводиться? может если из БД, то там вредоносный javascript может быть?
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: jqnlpxhd.php
« Ответ #4 : 18.08.2015, 17:03:32 »
Я не знаю что там должно выводиться, но там ничего не выходиться. Этот файл писал я сам. Он пишет в файл данные об обратившемся и все. Даже не выводит ничего
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: jqnlpxhd.php
« Ответ #5 : 18.08.2015, 17:07:35 »
...но там ничего не выходиться...
Ты собрался спорить с Google?

P.S. При переносе со старого сайта тянешь много данных. Еще раз советую - поставь айболит и просканируй. Это минимум, что нужно сделать в твоем случае. А если не хочешь в дальнейшем геморроя, советую послушать, что говорит winstrool.
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: jqnlpxhd.php
« Ответ #6 : 18.08.2015, 18:33:29 »
Ты собрался спорить с Google?
Я бы поспорил бы, но непонятно куда писать что бы попасть на нужного человека.

Цитировать
P.S. При переносе со старого сайта тянешь много данных. Еще раз советую - поставь айболит и просканируй. Это минимум, что нужно сделать в твоем случае. А если не хочешь в дальнейшем геморроя, советую послушать, что говорит winstrool.
Ну я не то что взял весь старый сайт и поставил на новый. Только статьи и пользователей скопировал. Все остальное с нуля. Да и хостинг тут следит что неверное движение и у площадки половину функций отрубают. И смысла сканировать свой же файл который я и писал и в котором две строчки - нет.

PS Добавил вывод 404 ошибки, отправил на перепроверку в Google. Посомтрим как там и что.
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: jqnlpxhd.php
« Ответ #7 : 18.08.2015, 19:04:18 »
хоть бы показали тогда уж свой файлик, сайт, если не страшно))
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: jqnlpxhd.php
« Ответ #8 : 18.08.2015, 19:18:26 »
вот файл
Код
<?php

$log= date("d.m H:i:s").' - http://'.$_SERVER['SERVER_NAME'].$_SERVER['REQUEST_URI']." <- ".$_SERVER['HTTP_REFERER'].' ('.$_SERVER["REMOTE_ADDR"].') ('.$_SERVER['HTTP_USER_AGENT'].')';

file_put_contents ('./../logs/spam.log', $log."\n", FILE_APPEND);

header("HTTP/1.0 404 Not Found");
exit;
?>
Так же на сайте установлена защита от sql иньекций и всяких хитрых запросов (GET/POST).
сайт aleksin24 ru /jqnlpxhd.php

посомтрите, там отдается 404 ошибка. А то у меня страница пустая, но в консоли хрома пишет 404
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: jqnlpxhd.php
« Ответ #9 : 18.08.2015, 19:22:12 »
И смысла сканировать свой же файл который я и писал и в котором две строчки - нет.
Я про сайт говорил, а не про файл.
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: jqnlpxhd.php
« Ответ #10 : 18.08.2015, 19:45:02 »
Да причем тут сайт то? Google обнаружил на моем сайте файл, который я написал, и говорит что это вирус. И в панели вэбмастера и в письмах он упоминает только его. Зачем сканировать весь сайт? Понимаю если бы он нашел действительно какую-нить заразу, то имеет смысл, так как она могла располстись, но тут нет ни намека на заражение - я сам написал этот файл. Сам его создал. Зачем?

PS Просканировал сайт. Нету ничего там.
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: jqnlpxhd.php
« Ответ #11 : 18.08.2015, 19:50:39 »
Firefox тоже жалуется на твой сайт! говорит что ты чето пользователям грузишь без их ведома! Смотрю у вас там всяких левых скриптов установлено дофига, бывает что ломают сторонние сайты и троянят те скрипты, которые инклудится пользователям... не факт, но мысль!

P.S: Вот к чему я клоню:https://vk.com/siteprotect?w=wall-37695705_1042 только на вашем примере может быть что то другое....
« Последнее редактирование: 18.08.2015, 19:54:14 от winstrool »
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: jqnlpxhd.php
« Ответ #12 : 18.08.2015, 19:55:13 »
Ну правильно. Там я так понимаю база то одна. Как Google пометил сайт то все, тушите свет, сливайте воду. Да дело то не в скриптах, не в инклудах. Нету там у меня сейчас вирусов.
Я сам создал файл-заглушку, Google решил что это вирус и понеслось. Я спрашивал что делать в данном случае.
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: jqnlpxhd.php
« Ответ #13 : 18.08.2015, 19:59:57 »
Ну правильно. Там я так понимаю база то одна. Как Google пометил сайт то все, тушите свет, сливайте воду. Да дело то не в скриптах, не в инклудах. Нету там у меня сейчас вирусов.
Я сам создал файл-заглушку, Google решил что это вирус и понеслось. Я спрашивал что делать в данном случае.
интиресно... интиресно.... а вот куки принимаются с сайта http://yadro.ru/, а сам сайт пустой белая страница.... очень интиресно.... ну да ладно, думаю разберетесь ;-)
да и поддомен очень интиресный http://qip.yadro.ru/ очень уж больно он мне напоминает http://qip.ru/
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: jqnlpxhd.php
« Ответ #14 : 18.08.2015, 20:35:52 »
интиресно... интиресно....
Второй пост - мой первый ответ. Там много чего интересного.... ))

В довесок это:

« Последнее редактирование: 18.08.2015, 20:45:27 от SeBun »
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: jqnlpxhd.php
« Ответ #15 : 18.08.2015, 20:45:54 »
это счетчик лайфдинтернета
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: jqnlpxhd.php
« Ответ #16 : 18.08.2015, 20:46:54 »
это счетчик лайфдинтернета

 :o

p.s. Скажу проще. Joomla4ever счетчиками не занимается. Она занимается варезными шаблонами и внедрением кода в них.
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: jqnlpxhd.php
« Ответ #17 : 18.08.2015, 20:47:35 »
а это ссылки на сторонние ресурсы. В чем тут криминал? Вопрос то вообще не про это был
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: jqnlpxhd.php
« Ответ #18 : 18.08.2015, 20:51:27 »
а это ссылки на сторонние ресурсы. В чем тут криминал? Вопрос то вообще не про это был
Криминал? Да ни в чем. Просто ты скачал ворованный шаблон с сайта, где его владельцы маленько поковырялись в коде, а ты теперь расхлебываешь свою любовь к халяве. А криминала тут никакого...
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: jqnlpxhd.php
« Ответ #19 : 18.08.2015, 20:54:36 »
Да причем тут шаблон? Причем тут вообще Joomla? Объясняю еще раз:
1. На сайт ломилось куча народа в поискак файла jqnlpxhd.php и тем самым замусоревая лог.
2. Что бы не пачкать лог  я сам создал этот файл jqnlpxhd.php
3. Мусор в логах прекратился
4. Этот файл обнаружил Google и и думает что это вирус. И в пиьсмах и в панели вэбмастера он указывает именно на этот файл.
Вопрос что делать.
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: jqnlpxhd.php
« Ответ #20 : 18.08.2015, 21:01:20 »
Вопрос что делать.
Зайдите сюда.
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

robert

  • Живу я здесь
  • 4974
  • 457 / 20
Re: jqnlpxhd.php
« Ответ #21 : 18.08.2015, 21:02:53 »
1. На сайт ломилось куча народа в поискак файла jqnlpxhd.php
Зачем? И почему именно этот файл? Его название мне совсем не нравится.
P.S. И зачем вместо того, чтобы просто отдавать 404, вы ведете лог информации о странице, с которой пользователь перешел, его IP, браузере и т.д.?
« Последнее редактирование: 18.08.2015, 21:09:57 от robert »
Не будь паразитом, сделай что-нибудь самостоятельно!
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: jqnlpxhd.php
« Ответ #22 : 18.08.2015, 21:19:45 »
Цитата: Sergey2
Кстате, то что выложили сайт на который жалуется Google, отдельное спасибо, протестировал свой чекер на зараженность в ПС!

Цитировать
aleksin24.ru - Google - Black list || Yandex - White list
*

robert

  • Живу я здесь
  • 4974
  • 457 / 20
Re: jqnlpxhd.php
« Ответ #23 : 18.08.2015, 21:41:25 »
Ваш сайт был замечен при проверке сторонних сайтов, таких как putanapitera.com, ogbuztikb.com, telemachines.ru. Возможно, все из-за варезных расширений.
Здесь в принципе ничего нет на ваш сайт, кроме подозрительной активности, но все же он занесен в список подозрительных. Заведите аккаунт Google, подключите услугу " Инструментов Google для веб-мастеров" и напишите им.
Вы так и не ответили на мой вопрос
Зачем? И почему именно этот файл? Его название мне совсем не нравится.
P.S. И зачем вместо того, чтобы просто отдавать 404, вы ведете лог информации о странице, с которой пользователь перешел, его IP, браузере и т.д.?
Не будь паразитом, сделай что-нибудь самостоятельно!
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: jqnlpxhd.php
« Ответ #24 : 18.08.2015, 22:16:20 »
Ваш сайт был замечен при проверке сторонних сайтов, таких как putanapitera.com, ogbuztikb.com, telemachines.ru.
Вот оттуда они и ломяться. По крайней мере первый сайт частенько упоминается.

Цитировать
Возможно, все из-за варезных расширений.
Вот очень сильно в этом сомневаюсь.

Цитировать
Здесь в принципе ничего нет на ваш сайт, кроме подозрительной активности, но все же он занесен в список подозрительных. Заведите аккаунт Google, подключите услугу " Инструментов Google для веб-мастеров" и напишите им.
Я там зареген и аккаунт есть, только что им писать?
Они сами там пишут
"На 0 из 4 страниц сайта, протестированных нами за последние 90 дней". Написать им что на всех страницах (в количестве 0 штук) убрана загрузка вредоносного ПО?

Цитировать
Вы так и не ответили на мой вопрос
Я не знаю зачем они туда ломятся.  Раньше сайт был на Joomla 1.5 и ломали иногда. Потом мне это надоело и я вот переехал на 3.4. Возможно они "по старой памяти", но такого файла я не припомню, так как корень сайта помню "наизусть".
Логи виду так, на всякий случай. Вот например тут вот пригодилось. Ну и что бы лог не мусорился.
*

SeBun

  • BanMaster
  • 4015
  • 259 / 5
  • @SeBun48
Re: jqnlpxhd.php
« Ответ #25 : 18.08.2015, 22:21:00 »
Возможно, все из-за варезных расширений...
Да он думает, что Google его забанил несправедливо за самописный скрипт. Я его так же послал разбираться (видимо напрасно)... Он почему то не хочет слушать, что ему говорят, не хочет принимать доводов, весь мир сошелся на одном этом самописном файлике. А то, сколько дряни у него на сайте, он не захотел увидеть. Кроме того, он написал, что проверил сайт айболитом. После того, что написал winstrool и увидел лично сам, я ему не верю.

p.s. В некоторой части этого сайта за последние 90 дней была замечена подозрительная активность (число таких случаев: 1). Если все же подозрение на этот самописный файл, да удалите его и сообщите Google, что по его письму рекомендации выполнены и файл удален. В чем проблема то?
« Последнее редактирование: 18.08.2015, 22:25:23 от SeBun »
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

robert

  • Живу я здесь
  • 4974
  • 457 / 20
Re: jqnlpxhd.php
« Ответ #26 : 18.08.2015, 22:36:27 »
Файл jqnlpxhd.php все-таки был создан, не вами, конечно. А потом вы его удалили и создали свой. Я угадал?
Не будь паразитом, сделай что-нибудь самостоятельно!
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: jqnlpxhd.php
« Ответ #27 : 18.08.2015, 22:40:26 »
Да не было его. Кто нить вообще читает что я пишу?
*

SmokerMan

  • Гуру
  • 5293
  • 720 / 26
Re: jqnlpxhd.php
« Ответ #28 : 19.08.2015, 00:36:17 »
Да не было его. Кто нить вообще читает что я пишу?
а смысл читать?
тут все написано

Раньше сайт был на Joomla 1.5 и ломали иногда. Потом мне это надоело и я вот переехал на 3.4. Возможно они "по старой памяти", но такого файла я не припомню, так как корень сайта помню "наизусть".
Логи виду так, на всякий случай. Вот например тут вот пригодилось. Ну и что бы лог не мусорился.

Сайт на варезе - т.е. напичканный хз чем был изначально.
Под фразой "иногда" я так думаю постоянно, если это как-то и исправлялось, то исправлялись последствия, а не причины.
Т.е. шелы как сидели там месяцами - годами так и будут сидеть. А через эти дыры может проходить все что угодно.

Про это файл - да не вопрос, он может создаваться динамически и обзываться как угодно, сегодня он будет так называться, завтра по другому, а послезавтра его может и не быть.
Другой вопрос если боты от поисковиков на него стучатся, значит они знают о нем и видимо их туда что-то притягивает, а не они сами вот его нашли)
А перестанут они туда стучаться естественно не за день и может даже не за месяц если им отдавать 404 или 303.
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: jqnlpxhd.php
« Ответ #29 : 19.08.2015, 15:22:19 »
Если кому интересно, то, как я и писал ранее  - добавил вывод 404 ошибки в файл, отправил на перепроверку и сегодня с утра сайт больше не "потенциально опасный"
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться